prob avec fichier Tkehi.exe

prob avec fichier Tkehi.exe - Sécurité - Windows & Software

Marsh Posté le 07-09-2004 à 16:52:05    

:hello:  
g un pb avec une machine sous xp fam + sp1 :
 
dans regcleaner (je n'ais pas acces à msconfig sauf en mode sans echec)
g un fichier Tkehi.exe qui apparait 3 fois dans la rubrique démarrage avec comme prog de base outlook express
apres suppression des fichiers et nettoyage de la base registre, au redémarrage ils réapparaissent  :(  
g lancé norton antivirus, fais une analyse en ligne sur secuser et panda => pas de virus
g fais une recherche sur le net (google et alltheweb) sur le nom du fichier et rien de transcendant
est ce que quélqu'un à déja eu ce fichier ?
 
 
edit : touche tab  :whistle:


Message édité par bothary le 07-09-2004 à 16:56:02

---------------
...Tuco Benedictio Pacifico Juan Maria Ramirez "dit LE PORC"...
Reply

Marsh Posté le 07-09-2004 à 16:52:05   

Reply

Marsh Posté le 07-09-2004 à 19:48:04    

Télécharger "HijackThis" sur:
 
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.

Reply

Marsh Posté le 08-09-2004 à 09:58:39    

:hello:  
 

Logfile of HijackThis v1.98.2
Scan saved at 10:05:16, on 08/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Ghost\GhostStartService.exe
D:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\drivers\etc\svchost1.exe
D:\Program Files\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\System32\tkehi.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Program Files\autoconnect\ADSL Autoconnect.exe
D:\Program Files\autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\essai\HijackThis19802.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [monitr32] D:\Program Files\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] D:\Program Files\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [restrictanonymous] 
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [0utlook Express] tkehi.exe
O4 - HKLM\..\RunServices: [0utlook Express] tkehi.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] D:\Program Files\autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [0utlook Express] tkehi.exe
O4 - HKCU\..\RunServices: [Outlook Express] sdcmy.exe
O4 - HKCU\..\RunServices: [0utlook Express] tkehi.exe
O4 - HKCU\..\RunServices: [Outlook Express Server] leak.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -  
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab



---------------
...Tuco Benedictio Pacifico Juan Maria Ramirez "dit LE PORC"...
Reply

Marsh Posté le 08-09-2004 à 13:19:06    

Control Alt Suppr
Terminer le processus tkehi.exe  
 
 
O4 - HKLM\..\Run: [restrictanonymous]   
O4 - HKLM\..\Run: [0utlook Express] tkehi.exe  
O4 - HKLM\..\RunServices: [EnableDCOM] N  
O4 - HKLM\..\RunServices: [0utlook Express] tkehi.exe  
O4 - HKCU\..\Run: [0utlook Express] tkehi.exe  
O4 - HKCU\..\RunServices: [Outlook Express] sdcmy.exe  
O4 - HKCU\..\RunServices: [0utlook Express] tkehi.exe  
O4 - HKCU\..\RunServices: [Outlook Express Server] leak.exe  
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -  
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\System32\tkehi.exe  
 
et sdcmy.exe, leak.exe si présents.
 
Vider la corbeille, redémarrer et poster un nouvel HijackThis.

Reply

Marsh Posté le 08-09-2004 à 13:30:42    

:hello: acrobaze
 
tu n'es pas réveillé ce matin

Citation :

c:\windows\system32\drivers\etc\svchost1.exe

mais rien dans la BDR :/

Reply

Marsh Posté le 08-09-2004 à 13:32:58    

minipouss a écrit :

:hello: acrobaze
 
tu n'es pas réveillé ce matin

Citation :

c:\windows\system32\drivers\etc\svchost1.exe

mais rien dans la BDR :/


 
Salut!  :hello:  
 
Oui, il m'a échappé!
C'est pour ça que ça finit toujours per : "Poster un nouvel HijackThis"!  :D

Reply

Marsh Posté le 08-09-2004 à 13:38:39    

c'est clair [:ddr555] une deuxième lecture est indispensable

Reply

Marsh Posté le 08-09-2004 à 14:08:41    

:hello:  
merci  
a priori c ok  
 
=> par contre il faut aussi décocher "masquer les fichiers systemes" sinon tu ne vois pas tkehi.exe  [:toad666]  
 
je voudrais bien savoir ce que c'est que cette daube  :fou:
 
 
 
edit : il est de retour  :o  => svchost1  :D  
 


Message édité par bothary le 08-09-2004 à 14:10:55

---------------
...Tuco Benedictio Pacifico Juan Maria Ramirez "dit LE PORC"...
Reply

Marsh Posté le 08-09-2004 à 14:18:06    

reposte un log :)

Reply

Marsh Posté le 08-09-2004 à 14:22:54    

Logfile of HijackThis v1.98.2
Scan saved at 14:30:22, on 08/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Canon\MultiPASS4\MPTBox.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Program Files\autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\RUNDLL32.EXE
F:\Ghost\GHOSTS~2.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\drivers\etc\svchost1.exe
D:\Program Files\autoconnect\ADSL Autoconnect.exe
C:\test\HijackThis19802.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [monitr32] D:\Program Files\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] D:\Program Files\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] D:\Program Files\autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab


---------------
...Tuco Benedictio Pacifico Juan Maria Ramirez "dit LE PORC"...
Reply

Marsh Posté le 08-09-2004 à 14:22:54   

Reply

Marsh Posté le 08-09-2004 à 14:25:19    

un .exe persistant dans outlook , que veux tu que ce soit d autre qu un virus :D

Reply

Marsh Posté le 08-09-2004 à 14:27:36    

franck75 a écrit :

un .exe persistant dans outlook , que veux tu que ce soit d autre qu un virus :D


je sais [:spamafote]
 
mais 3 antivirus sont passé à coté  [:toad666]


---------------
...Tuco Benedictio Pacifico Juan Maria Ramirez "dit LE PORC"...
Reply

Marsh Posté le 08-09-2004 à 14:29:08    


Donc termine le processus
svchost1.exe  
 
Puis en mode sans échec, supprime:
c:\windows\system32\drivers\etc\svchost1.exe  

Reply

Marsh Posté le 08-09-2004 à 14:31:55    

bothary a écrit :

je sais [:spamafote]
 
mais 3 antivirus sont passé à coté  [:toad666]


 
petit virus sans interet et sans envergure sur lequel les editeurs d AV on fait l impasse :D
 
edit: t as passé des antispywares aussi ?  :??:


Message édité par Profil supprimé le 08-09-2004 à 14:32:39
Reply

Marsh Posté le 08-09-2004 à 14:34:44    

spybot+ ad-aware


---------------
...Tuco Benedictio Pacifico Juan Maria Ramirez "dit LE PORC"...
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed