+ tss.exe==> analyser mon log hijack!

+ tss.exe==> analyser mon log hijack! - Sécurité - Windows & Software

Marsh Posté le 16-02-2005 à 00:00:35    

Bonjour,
alors voila, jai differentes questions:
Ai je besoin dinstaller un firewall du style zonealarme si jai deja le firewall de win SP2? Est il efficace?
 
Je suis quelqun qui est tres actif sur mon PC, je passe bcp de temps sur le net et notament sur du P2P et sur des sites illegaux (et je nincite personne a y aller!) ou tout le monde sait quil y traine de nombreux virus, ça fait 1 ans que jai pas fait de maj norton (plus dabonement) et jme suis dit jvais faire un scan chez secuser.com et il na rien trouvé sur mon PC! je suis etonné!
 
Cette entivirus en ligne est t il vraiment efficace?
 
voila!  
merci  :D
 
EDIT: Ou la la la la! lol jai parlé trop vite!
Jviens de voir que jai un trojan du nom de "Clisser.b" dans mon windows\system32!  le fichier infecté est "telnet.exe.tmp" et secuser me dit quil est "non cleanable" donc sa veut dire quil ne peut pas virer le trojan du fichier dans lequel il est contenu ou bien quil ne peut pas delete le fichier pcq il est chargé en memoire?
Pensez vous que je dois le supprimer manuelement? Je ne sais pas si je dois, pcq si apres jai des bug a cause de win qui bug...quen pensez vous??? merci!
 
Je les ouvert avec le bloc note par curiosité...ai je mal fait?
Il pese 30ko tt de meme !


Message édité par coincoin1307 le 16-02-2005 à 10:34:26
Reply

Marsh Posté le 16-02-2005 à 00:00:35   

Reply

Marsh Posté le 16-02-2005 à 00:34:42    

jai trouvé un lien explicant comment sen debarrasser, il disent aussi quil infecte les clef de registre,,,mais cest en anglais...voici le lien, jai pas tout compris et jai peur de faire une betise, pouvez vous mexpliquer rapidement svp?  
 
un grand merci!  :sweat: ==> http://www3.ca.com/securityadvisor [...] =453088435

Reply

Marsh Posté le 16-02-2005 à 00:46:18    

cest bon! jai fait comme un grand... :bounce:  
mais ils disent de supprimer ce fichier:
==>systemroot+\system32\sfpsvr.exe
9a veut dire quoi le "systemroot+"? Ca veut dire quil faut etre en mode admin pour supprimer ce fichier? Moi je les supprimé a partir de ma session... :??:  
 
Aussi, ils disent de supprimer ce fichier mais...moi celui qui est infecté cest "telnet.exe.tmp", alors dois je le virer?
 
Merci  :sarcastic:  

Reply

Marsh Posté le 16-02-2005 à 00:52:08    

jai vu que javais un tss.exe, il mintrigue, cest quoi? cest un virus? thx

Reply

Marsh Posté le 16-02-2005 à 01:08:48    

coincoin1307 a écrit :

jai vu que javais un tss.exe, il mintrigue, cest quoi? cest un virus? thx


 
tss;exe = Trojan.Win32.Small variant

Reply

Marsh Posté le 16-02-2005 à 01:12:36    

jai aussi 5 svshost.exe et un spoolsv.exe ??
Cest bizarre..secuser est cencé scanner la memoire,,,il na rein vu!
 
tu/vous croyez que je dois supprimer mon telnet.exe.tmp??
Cest risqué de louvrir avec le bloc note ? Il est toujours offenssif sil ny a plus le fichier que jai supprimé tt a leur?
Je doute qun fichier tmp seul puisse faire des degats...ça minterresserait bien de le desassembler pr voir... :pt1cable:  
 
merci


Message édité par coincoin1307 le 16-02-2005 à 01:18:20
Reply

Marsh Posté le 16-02-2005 à 01:19:30    

coincoin1307 a écrit :

jai aussi 5 svshost.exe et un spoolsv.exe ??
Cest bizarre..secuser est cencé scanner la memoire,,,il na rein vu!
 
merci


 
T'es sûr de l'orthographe du fichier en gras ci-dessus  :??:  
 
spoolsv.exe est un processus normal

Reply

Marsh Posté le 16-02-2005 à 01:25:41    

ha non dsl, cest un "c" a la place du "s" donc==>svchost.exe ! :) mais yen a 5...ils occupent chacun une quantité de memoire differente...
 
Je decouvre hijack, jai fais un log, je vais le poster sur lanalyseur en ligne pr voir...

Reply

Marsh Posté le 16-02-2005 à 01:42:21    

Voici les fichier que lanalyseur me met comme mauvais, alors je voudrais tt de meme avoir votre avis avant de virer tout ce beau monde...
 

Citation :

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe    
Méchant   Tâche en cours. (msnappau.exe)
Spyware   Méchant ! Terminez cette tâche manuellement et essayez de l’effacer !  
 
 
 R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll  
Eventuellement méchant   Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné.   Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné dans le message d’erreur  
 
 
 O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll    
Méchant   Risque d'inscription dangereuse. Ce programme ([9394EDE7-C8B5-483E-8773-474BF36AF6E4] - Treffer: 9394EDE7-C8B5-483E-8773-474BF36AF6E4) a été identifié comme étant non dangereux. Taux de précision: 99 %   Effacer à tout prix !
 
 
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll  
Méchant   Risque d'inscription dangereuse. Ce programme ([BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0] - Treffer: BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0) a été identifié comme étant non dangereux. Taux de précision: 99 %   Effacer à tout prix !  
 
 
  O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe    
Méchant   Trojan.Win32.Small variant  
Taux de précision: 91 % (Résultats)   Effacer à tout prix !  
 
 
 O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"    
Méchant   MSN toolbar updater  
Taux de précision: 99 % (Résultats)   Effacer à tout prix !  
 
 
 O4 - HKLM\..\RunServices: [WinSvc16.exe] C:\WINDOWS\System32\winsvc32\WinSvc16.exe    
Eventuellement méchant    
Taux de précision: 11 % (Résultats)   Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d'un troyen. Pour être certain, vous devriez contrôler ce fichier.  
 
 
 O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe    
Méchant   Trojan.Win32.Small variant  
Taux de précision: 91 % (Résultats)   Effacer à tout prix !  
 
 
 O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML    
Méchant   Cette inscription &Recherche AOL Toolbar a été identifiée comme étant méchante.  :??:


 
 
 
Et en bas ils me disent!!!

Citation :

Aucun pare-feu actif n'a été trouvé sur votre système ou le pare-feu que vous utilisez nous est inconnu. Si vous n'utilisez pas de pare-feu vous devriez en télécharger un et l'installer ou activer celui de Windows XP. Au cas où vous auriez des questions ou vous désiriez que nous ajoutions votre pare-feu à notre base de données, contactez nous sur notre forum www.hijackthis.de/forum


 
Jallucine ou quoi? Pourtant jai bien celui de windows activé! ==>SP2  
 
voila! dites moi sil ya qqc que je ne devrais pas supprimer!
Merci  :ouch:

Reply

Marsh Posté le 16-02-2005 à 07:10:13    

:hello:  
 
Poste le rapport complet

Reply

Marsh Posté le 16-02-2005 à 07:10:13   

Reply

Marsh Posté le 16-02-2005 à 14:11:52    

Bon voila, jai supprimé en gros les trucs quil me disait de supprimer, voila mnt a peu pres a quoi ressemble mon log:
 

Citation :

Logfile of HijackThis v1.99.0
Scan saved at 14:08:13, on 16/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Foreignword\Xanadu\Xanadu.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Documents and Settings\Ben\Bureau\hijackthis_199\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Xanadu] C:\Program Files\Foreignword\Xanadu\Xanadu.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VOBID] C:\Program Files\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\RunServices: [WinSvc16.exe] C:\WINDOWS\System32\winsvc32\WinSvc16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global User Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global User Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Program Files\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Alias Maya 5.0 PLE Help Server - Unknown - C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 


 :hello:

Reply

Marsh Posté le 16-02-2005 à 17:12:21    

:hello:  
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Assure-toi que tu as accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
""Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Lance Hijackthis, coche et fixe la ligne suivante:
 
O4 - HKLM\..\RunServices: [WinSvc16.exe] C:\WINDOWS\System32\winsvc32\WinSvc16.exe  
 
Toujours en mode sans echec, supprime:
 
C:\WINDOWS\System32\winsvc32\WinSvc16.exe <-- le dossier
 
Vide la corbeille
 
Redémarre en mode normal et poste un nouveau log.

Reply

Marsh Posté le 16-02-2005 à 18:36:09    

Un conseil, lorsque tu ne sais pas ce qu'est un .exe, tu le tapes dans google et paf, il te dit ce que ça fait de beau dans la vie...

Reply

Marsh Posté le 18-02-2005 à 21:10:01    

Citation :

Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Assure-toi que tu as accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
""Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Lance Hijackthis, coche et fixe la ligne suivante:  
 
O4 - HKLM\..\RunServices: [WinSvc16.exe] C:\WINDOWS\System32\winsvc32\WinSvc16.exe  
 
Toujours en mode sans echec, supprime:  
 
C:\WINDOWS\System32\winsvc32\WinSvc16.exe <-- le dossier  
 
Vide la corbeille  
 
Redémarre en mode normal et poste un nouveau log.


 
Mais je nest pas besoin daller en mode sans echec si mon programme nest pas en cours dexecution? et puis meme sil etait en memoire, jai juste a le fermer et a virer le fichier? Pourquoi aller en mode sans echec?
 
Aussi, pourquoi est ce quon dit toujours de vider la corbeille? Je ne pense pas que ces chti virus puissent encore etre executé la dedans!  :sarcastic:  
 
thx pow wow pr ton aide ;)


Message édité par coincoin1307 le 18-02-2005 à 21:14:15
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed