processus lssrv.exe (virus ???) - Sécurité - Windows & Software
Marsh Posté le 13-11-2004 à 19:44:52
Plutôt l'air d'être un ver..
Fais ceci pour voir:
Télécharger "HijackThis" sur:
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
Marsh Posté le 14-11-2004 à 12:37:35
ok ... je fais çà demain matin dès que je suis avec le pc concerné ... merci
Marsh Posté le 15-11-2004 à 18:56:09
Voici le log d'un ordinateur
Logfile of HijackThis v1.97.7
Scan saved at 18:20:49, on 15/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\realplay.exe
C:\WINDOWS\System32\instmsgrs.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winupdte.exe
C:\Documents and Settings\mchateau.METEX\Application Data\eula.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\WINDOWS\180ax.exe
C:\Program Files\CashBack\bin\cashback.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Documents and Settings\mchateau.METEX\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourcei [...] 8&oe=UTF-8
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries [...] efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries [...] efault.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par METabolic EXplorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [.mscdr] C:\WINDOWS\system\lassa.exe
O4 - HKLM\..\Run: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKCU\..\Run: [Rwtt] C:\Documents and Settings\mchateau.METEX\Application Data\eula.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 62844c01b2
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocac [...] .0.0.8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/globa [...] OFILER.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\Software\..\Telephony: DomainName = MEtabolic-EXplorer.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F1A28E6-ACAD-43F9-B363-0CDB567602DD}: NameServer = 192.168.0.6,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
et celui d'un second
Logfile of HijackThis v1.97.7
Scan saved at 18:47:45, on 15/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Folding@Home\srvany.exe
C:\Program Files\Folding@Home\FAH3Console.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\System32\nutsrv4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\mspg32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Documents and Settings\administrateur.METEX\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries [...] efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries [...] efault.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par METabolic EXplorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\FICHIE~1\NuTC4\bin\ncoeenv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.ex
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.0.2/officescan/clie [...] tupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.0.2/officescan/clientinstall/setup.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.0.2/officescan/clie [...] veCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\Software\..\Telephony: DomainName = MEtabolic-EXplorer.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6CBEE5-24D7-4B36-8638-6B97B1678F17}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
Ces deux machines ont tendance à emettre un peu trop sur le réseau sans réson apparantes. Merci d'avance pour vos suggestions ...
Marsh Posté le 15-11-2004 à 19:42:56
Le premier est un vrai nid à virus, spywares et autres malwares. (et il y en a aussi sur le second...)
Peux-tu séparer ces deux ordis ? Parce qu'ils vont se réinfecter mutuellement, sinon, si on essaie de les nettoyer.
Marsh Posté le 15-11-2004 à 21:12:15
en fait ils sont sur un réseau local ... mais je les ai débranchés bien sur pour ne pas qu'il contamine le réseau. Le problème c'est que ils ont surement avant que le les débranche pourri mon réseau ... comment s'y prendre ???
Marsh Posté le 15-11-2004 à 21:49:12
ok ... le problème c'est que j'ai lancé adaware sur le premier ordi ... il a trouvé 850 spywares ce matin ... et ce soir il y en avait déjà 150 de reinstallés dessus ... aurais tu une liste de procédures à effectuer ou de soft à utiliser ... et pourrais tu me donner les opérations à effectuer sur les 2 ordis histoire d'avoir une base pour agir ... sinon comment faire pour windows 2003 server ?
merci d'avance
Marsh Posté le 15-11-2004 à 21:53:57
sinon tu pourrais me donner le diagnostic et le vaccin pour les deux pc ???
Marsh Posté le 15-11-2004 à 22:12:17
Oui, c'est normal, le nombre trouvé par Ad-Aware. Il y a réplication de fichiers, de valeur de bdr etc...
Il n'y a hélas pas de soft idéal que l'on pourrait passer comme ça. Tu verras ici, par exemple que des fichiers passent au travers de RAV :
http://forum.telecharger.01net.com [...] &subcat=16
Je peux te donner une marche à suivre. Mais le pc devra etre isolé jusqu'à ce que tout soit clean.
Marsh Posté le 15-11-2004 à 22:19:21
ok ... je veux bien ta procédure stp ... j'ai téléchargé des softs sur www.spycheker.com ... je vais les tester demain. Dis mois ... avec un réseau d'une vingtaine de postes en réseau dont les deux moisis ci dessus ... ai-je une chance de m'en sortir avec ta procédure ou est ce que c'est peine perdue ???
merci
Marsh Posté le 15-11-2004 à 22:31:12
une dernière question : j'ai cinq types d'OS installés sur mon réseau : Win95 NT4 2000 XP Server 20003 : étant donné que ces deux machines sont restées connectées au réseau pendant très longtemps avant que je me rende compte de ce pb, penses que tous les postes sont moisis de la même façon ou y a t-il des OS moins sensibles ??
Marsh Posté le 15-11-2004 à 22:47:44
Il va falloir faire ce que tu as fait sur ces deux-là : un rapport HijackThis. Pour s'en rendre compte vraiment.
Pas simple.
Sinon, l'Os n'est pas un pb.
Marsh Posté le 15-11-2004 à 22:49:25
Acrobaze
mbibim récupère la toute dernière version de Hijack cette fois
bon courage pour cette nuit car c'est clair que le premier log était plein à ras bord
Marsh Posté le 15-11-2004 à 22:56:18
Pour le 1er:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [.mscdr] C:\WINDOWS\system\lassa.exe
O4 - HKLM\..\Run: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKCU\..\Run: [Rwtt] C:\Documents and Settings\mchateau.METEX\Application Data\eula.exe
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime les fichiers surlignés.
Vide la corbeille. Redémarre. Poste un nouveau log.
Marsh Posté le 15-11-2004 à 22:57:52
minipouss a écrit : Acrobaze |
Hello Minipouss!
La suite demain...
Marsh Posté le 15-11-2004 à 22:59:34
tu m'étonnes
Marsh Posté le 15-11-2004 à 23:27:24
merci je fais ca demain matin et te poste la suite ... c'est quoi la dernière version de hiJackThis ???
Sinon, ces fichiers virus-spywares... peuvent-ils se propager sur un réseau ??? en fait ma question est : est ce que je dois débrancher tous les ordis du réseaux pour les soigner (y compris le serveur) ou est ce que je peux les soigner individuellement sans risquer de contaminer les autres ???
merci en tout cas pour ton aide Acrobaze.
Marsh Posté le 16-11-2004 à 09:35:02
version 1.98.2
Marsh Posté le 16-11-2004 à 19:41:04
Je ne m'y connais pas trop en réseau, franchement. Mais vu qu'il y a échange de fichiers, il me semble que le risque existe.
Marsh Posté le 16-11-2004 à 19:45:35
Pour le second. Qui est moins atteint:
à cocher et fixer:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.ex
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe
à supprimer:
C:\WINDOWS\System32\mspg32.exe
et si présent : lssrv.ex
Marsh Posté le 17-11-2004 à 14:21:19
merci ... je suis en train de le faire ... je te poste le log rapidement ... euh les fichiers soulignés à supprimer se trouvent ou en fait pour le premier ordi ???
Marsh Posté le 17-11-2004 à 14:31:17
Soit le chemin est clairement indiqué:
C:\WINDOWS\system\lassa.exe
soit tu fais
Démarrer->rechercher.
Tu les trouveras sûrement dans :
C:\WINDOWS\system
ou
C:\WINDOWS\System32
Marsh Posté le 17-11-2004 à 14:45:10
ok ... génial
sinon quand h'ai fixé avec HiJackThis, si il reste des trucs dans le registre dois je les supprimer aussi ??
instmsgrs.exe
lassa.exe
msgrsv32.exe
realplay.exe
winupdte.exe
merci
Marsh Posté le 17-11-2004 à 15:07:51
voici le nouveau log pour la première machine
Logfile of HijackThis v1.97.7
Scan saved at 15:03:45, on 17/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\administrateur.METEX\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries [...] efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries [...] efault.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par METabolic EXplorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocac [...] .0.0.8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/globa [...] OFILER.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\Software\..\Telephony: DomainName = MEtabolic-EXplorer.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F1A28E6-ACAD-43F9-B363-0CDB567602DD}: NameServer = 192.168.0.6,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
Marsh Posté le 17-11-2004 à 15:11:22
pour moi il y a ça
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
le suivant sauf si ça te dit quelque chose et que tu l'as mis toi même
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
celui là à coup sûr
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe
ensuite je pige pas trop les 012 et au moins les deux premiers 017 ça me semble bizarre
Marsh Posté le 17-11-2004 à 15:19:48
les 012 et 017 c'est normal ... je supprime les autre et c'est bon tu penses ???
Marsh Posté le 17-11-2004 à 15:39:11
ben le R3 et le 016 oui c'est clair.
et le 04 si tu ne le connais pas (mais peut-être peut-il se désinstaller par ajout/suppr de programme
après ça devrait être bon (reposte qd même un log)
Marsh Posté le 17-11-2004 à 15:51:39
pas la peine c ok ...
je fais le second dans l'aprem.
Sinon en voilà un troisième
Logfile of HijackThis v1.97.7
Scan saved at 10:38:22, on 17/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\flexlm\Bruker\lmgrd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\Hummbird\inetd32.exe
c:\flexlm\Bruker\bruker_ls.exe
C:\Program Files\NfsSrvr.nt\hcportmp.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\NfsSrvr.nt\hcwinsvr.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\Hewlett-Packard\TopToolsWMI\WMIProviders\HPAlertWMI.exe
C:\WINNT\System32\nutsrv4.exe
C:\Program Files\Hewlett-Packard\TopToolsWMI\WMIWDog.exe
C:\Bruker\Diskless\WinApp\bfsd.exe
C:\Bruker\Diskless\WinApp\rpc.bootparamd.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Hewlett-Packard\TopToolsWMI\HPTrayIcon.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\WINNT\system32\HpMmKbd.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\system32\internat.exe
C:\Program Files\UltimateZip\uzqkst.exe
C:\Program Files\Exceed.nt\exceed.exe
C:\WINNT\system32\cmd.exe
C:\Bruker\XWIN-NMR\prog\cpr\cpr.exe
C:\WINNT\system32\nutcsrv4.exe
C:\Bruker\XWIN-NMR\prog\cpr\xcpu.exe
C:\Bruker\XWIN-NMR\prog\mod\dirdata.exe
C:\WINNT\System32\svchost.exe
C:\Bruker\XWIN-NMR\prog\mod\siparproc.exe
C:\Bruker\XWIN-NMR\prog\mod\sipar.exe
C:\Bruker\XWIN-NMR\prog\mod\goutil.exe
C:\WINNT\system32\mspg32.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Bruker\XWIN-NMR\prog\mod\lockdisp.exe
C:\Documents and Settings\Administrator\Desktop\putty_putty_0.55_anglais_10874.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\System32\MsiExec.exe
C:\WINNT\System32\MDM.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/guide/manual.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxypac.bruker.fr/proxy.pac
O1 - Hosts: 149.236.99.1 ASP_ST2
O1 - Hosts: 149.236.99.99 spect
O1 - Hosts: 255.255.255.255 www.casinoxo.com
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Tray Icon WMI] C:\Program Files\Hewlett-Packard\TopToolsWMI\HPTrayIcon.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [HpMmKbd] HpMmKbd.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\COMMON~1\NUTC4\bin\ncoeenv.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip\uzqkst.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 0535300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Marsh Posté le 17-11-2004 à 16:08:21
je t'avais parlé de la dernière version de HJ : http://www.hijackthis.de/hijackthis_198.zip
autant la prendre
Marsh Posté le 17-11-2004 à 16:13:07
et peux tu enlever les pcs du réseau et fermer le max de choses avant de faire un log car là quand je vois le nombre de processus quitroune c'est chiant à lire
Marsh Posté le 17-11-2004 à 16:35:31
wouah, alors essaye de fermer le max de choses quand même
Marsh Posté le 17-11-2004 à 17:35:40
mbibim a écrit : |
avec ce que t'a dit Acrobaze tu sais qu'il faut après aller virer à la main mspg32.exe
edit : et sans déc ne fait plus de log sans fermer les programmes et processus inutiles que tu connais
Marsh Posté le 17-11-2004 à 17:52:26
merci beauocup .... tu penses que après c'est ok pour cette machine ??
Marsh Posté le 17-11-2004 à 17:58:36
je pense que oui mais attendons aussi Acrobaze ou d'autres personnes
Marsh Posté le 17-11-2004 à 18:42:16
Ok. Donc pour le premier, il restait ceci:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
Donc cocher->fixer et supprimer le dossier:
C:\Program Files\IEMenuExtension
au besoin en mode ss échec.
On va se mettre ok sur un point:
-Tu fixes systématiquement les O16 (ce sont des activeX temporaires)
Marsh Posté le 13-11-2004 à 19:39:36
Salut à tous,
J'ai un windows XP et un processus nommé lssrv.exe tourne en permanence et bouffe de la bande passante. En effet je visualise ce qui transite en temps réel sur les ports de sortie de mon firewall et visiblement quand ce process tourne le port 150 est saturé. C'est flagrant. Si je le kill, plus rien ne transite via ce port.
Les articles de virus qui se rapprochent de mon pb parle d'un virus de type worm Rbot mais ca doit être une variante parce qu'aucun ne correspond à 100%.
Qu'est ce que processus lssrv.exe qui tourne ??? Qui le créé dès qu'une session utilisateur est lancée ??? J'en appelle à votre aide. Merci d'avance ...