Bonjour tt le monde,  
 
J'ai un process w32usB2 qui traîne d ma liste des ta^ches et qui cherche à faire des accès internet.
 
Ce site : http://www.sophos.fr/virusinfo/ana [...] rbotl.html
dit que c un virus.
 
Il n'est détecté ni par norton ni par Bitdefender...
 
Je n'ai rien trouvé sur le web (à part Sophos) ni les workgroup si sur ce formum...
 
Quelqu'un a une idée ??...
 
Merci pour toute info

Oui, c'est un trojan. Pour le supprimer:
-ControlAltSuppr
Terminer le processus
-Suppression en mode sans échec.

sans oublié la base de registre non?

Oui, en fait, il vaudrait mieux le faire avec un rapport HijackThis. Ca ferait d'une pierre deux coups.

exact, tout à fait d'accord avec toi

Ah ben voilà la rpéonse que je cherchais dans l'autre topic!  
 
Merci pour le tuyau pour enlever cette saloperie. Quesl sont les effets connus à part bouffer du proc?
Pourquoi n'est-il pas détecté?

regarde le lien donné dans le premier post

OK! Ca va il ne fait pas trop de mal.
 
Et sysentry32.exe est un virus ou non?

Merci les gars pour els infos !!!
 
QQ sait comment elle arrive cette saloperie?... Parce que je ne télécharge jamais d'exé ni  n'exécute de pièces attachées à des mails...

il te suffit de lire le lien que tu donnes

Ça m'énerve! J'ai plein de fichiers douteux et les antivirus ne détectent rien, comme pour win32W et winusb2!!
 
Voici la liste:
-tmntsrv.exe
-wuauclt.exe
-sysentry32.exe
 
Avez-vous les mêmes, savez vous si cce sont des virus?
La liste des virus de sophos est mal foutue, on ne trouve pas facilement.

 
Télécharger "HijackThis" sur:
 
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.

 
Logfile of HijackThis v1.98.2
Scan saved at 23:03:33, on 30/08/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\PROGRA~1\Avast4\ashmaisv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Misesàjour\utilitaires système, màj, utilitaires divers\HijackThis19802.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hardware.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pribi\Pribi.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [LOLss] wssdsfgsd.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LOLss] wssdsfgsd.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKCU\..\Run: [LOLss] wssdsfgsd.exe
O4 - HKCU\..\Run: [\Pribi.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pribi\Pribi.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3853848466
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A31005D-6C24-4E7E-801A-336DF165DDF2}: NameServer = 212.151.136.254 130.244.127.170

O4 - HKLM\..\Run: [LOLss] wssdsfgsd.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [LOLss] wssdsfgsd.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKCU\..\Run: [LOLss] wssdsfgsd.exe  
 
je vois que ça je pense
à condition que tu connaisses pribi et que ce qu'il y a sur ce lien te dise qque chose http://www.sysinfo.org/startuplist [...] ptipbm.dll
 
il faut fixer ces lignes et supprimer les exe correspondant.
 
je ne vois pas de wuauclt.exe là dedans de toute façon ça correspond à windows update

Ce seraient des virus non encore connus?

tu peux tenter d'uploader ces fichiers sur ce site qui les testera chez plusieurs éditeurs d'antivirus :
 
http://virusscan.jotti.dhs.org/
 AntiVir, BitDefender, ClamAV , Dr.Web, F-Prot Antivirus, F-Secure Anti-Virus, Kaspersky Anti-Virus et Norman Virus Control
ou chez ravantivirus : http://www.ravantivirus.com/support/submit-file.php

Merci Sysentry32 ne serait pas un virus d'après le site mais j'ai des doutes. Je l'ai déplacé et son inactivité ne change rien pour l'instant... Zone alarm a détecté qu'il voulait envoyer des infos sur le net!

oui pas net ça

bonjour tout le monde,  
 
J'ai aussi ce fichier depuis hier 14h  
 
et pas moyen de le suprimer, et ça me bloque ma connexion internet ..... grrrr
 
je l'ai supprimé dans le démarrage avec msconfig
je l'ai viré de la base de registre avec regedit
je l'ai effacé du DD (repertoire windows) en demarant en mode sans echec  
 
et il est toujours là  
 
Collant celui là, que faut-il faire de plus ?

Regarde si il ne figure pas dans le dossier dllcache. Si oui renome le (on c jamais si ce n'est pas un malware ^-^) pour voir (ajout de .bak par exemple).

moi je virerais ça aussi : O4 - HKCU\..\Run: [\Pribi.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pribi\Pribi.exe

re- Darxmurf
 
je lui ai demandé si il connait ou pas mais pas de réponse là dessus

tu veux parler de sysentry32.exe?

en fait j'en ai pas mal  
 
avant j'avais vu w32usb2.exe
 
mais je viens de voir d'autre programmes louches
Spools.exe
winupdt.exe
sysentry32.exe
auclt.exe
svch0st.exe
et meme msnmsgr.exe ( j'en ai trois , 1 pour MSN messengers, 1 pour windows messenger et un autre dans le répertoire c:\windows\prefetch : celui me parait louche !! )
 
je bloque tous ces programmes avec zone alarm. Depuis j'arrive à surfer, mais j'arrive toujours pas à les virer , grrrrr
ni par msconfig, ni regedit, ni Spybot - Search & Destroy, ni HijackThis, ... :-((
 
Si quelqu'un y arrive je suis preneur des infos ....  
merci d'avance  
 
 
 

Pour répondre à piouPiouM, je viens de regarder dans le répertoire dllcache (C:\WINDOWS\LastGood\System32\dllcache)
 
mais pas vu,les fichiers .exe louches

jacquesthibault
 
 
Pribi.exe est un parasite. Il faut absolument le supprimer:
 
O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pribi\Pribi.dll  
O4 - HKCU\..\Run: [\Pribi.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pribi\Pribi.exe  
 
Fixe ces deux lignes en plus de celles déjà données. Puis supprime, au besoin en mode sans échec, le dossier:
C:\DOCUME~1\ALLUSE...
 
-------------------
 
On a eu presque la même panoplie ici:
http://forum.telecharger.01net.com [...] &subcat=16

en mode sans échec tout peut être virré

Ok merci  
J'ai fait recherche dans les registres et j'ai trouvé 5-6 valeurs à supprimer!
EDit: d'après le lien il faut virer aussi sysentry32.exe!

 
Oui, avec ceux indiqués par Minipouss:
 

reboot et reposte un log ici pour vérifier

je viens de réussir , j'avais du faire une mauvaise manip,  
 
avec HijackThis et effacer les fichiers en mode sans échec fonctionne.
 
Merci tout le monde, j'ai de nouveau retrouvé un PC sain !!
 
Par contre zone alarme bloque des paquets entrants venant de divers IP sur différents ports (134,445,4662,...). J'en ai des dizaines par minute.
zone alame m'indique : niveau : moyen, Type : Firewall,Protocole : TCP ( indicateurs:S), Direction : entrant, et les DNS varient : proxad.net, wanadoo.fr, tele2.fr, tvcablenet.be ( ah un belge, qu'est ce qui vient faire chez moi celui là ...... lol) , ....
   
Est ce normal ?  
A quoi cela pourrait correspondre ?

135 c'était pour du blaster je crois, 445 je sais plus et 4662 c'est du P2P avec emule.
 
ça veut juste dire que celui qui avait avant toi l'IP que tu as actuellement faisait de l'échange de fichier avec emule c'est tout

merci Mnipouce pour ta réponse aussi rapide, je viens également de trouver :  
 
port 135 :C'est le serveur RPC (Remote Procedure Call), c'est-à-dire le mécanisme qui permet à distance de déclencher l'exécution de procédures sur ma machine ...
 
C'est pas possible que je me fasse attaquer autant ( 12 fois en 5 mins) il y en a qui ont que cela à faire ....
 
en résumé : fermer votre porte 135 à double tour !!!  

sous Kerio j'ai 135 et 445 de bloquer explicitement mais de toute façon je fonctionne sur le principe "tout ce que je n'autorise pas explicitement est interdit" comme ça tranquille

On reçoit plein de demandes de connexion sur les ports 445 et 135 ^^
 
En fait ce sont les freeboxés sans firewall ni routeur. Leur windows cherche les fichiers partagés sur le réseau local, et c'est bien normal ^^
 
D'ailleurs, certains feraient bien de sécuriser un minimum leurs partages, un de ces jours il risque de leur arriver un pépin ^^

Logfile of HijackThis v1.98.2
Scan saved at 18:52:15, on 02/09/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\carpservs.exe
C:\WINDOWS\System32\msupdt.exe
C:\WINDOWS\System32\Linux.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\Avant Browser\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis19802\HijackThis19802.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [blah service] carpservs.exe
O4 - HKLM\..\Run: [msupdates] msupdt.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [Microsoft Updates Resources] WinFixIDs.exe
O4 - HKLM\..\Run: [NAV Scan Service] NAVscan32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [blah service] carpservs.exe
O4 - HKLM\..\RunServices: [msupdates] msupdt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\RunServices: [Microsoft Updates Resources] WinFixIDs.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [NAV Scan Service] NAVscan32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKCU\..\Run: [Microsoft Updates Resources] WinFixIDs.exe
O4 - HKCU\..\Run: [NAV Scan Service] NAVscan32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3011250060
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
 

1/ je vois pas pourquoi tu postes ça ici, fais plutot ton topic
 
2/ avant de faire HijackThis je te conseille des scans antivirus car tu en as au moins un
 
3/ c'est clair que tu as aussi pleins de spyware
 
commence par les virus et fais ton topic je t'aiderai après

O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe  

ho la la il est plein lui

 
oui je l'adore celle là