Fichiers Mystèrieux sur mes partitions

Fichiers Mystèrieux sur mes partitions - Sécurité - Windows & Software

Marsh Posté le 06-07-2004 à 12:59:30    

Salut à tous, je suis nouveau sur le forum et je voudrais exposer mon problèmes.
 
Depuis 3 - 4 jours, au matin, je m'apperçois qu'à la racine des toutes mes partitions et dans Documents and setting\all user\mes documents, apparaissent 3 fichiers mystèrieux qui sont nommés ainsi :
- Setup.exe
- Uninstall.exe
- Autorun.ini ( dont voici la commande : [autorun]
                                         open=uninstall.exe )
je les supprime à chaque fois
 
Apparement la première fois que je les ai eus les fichiers ont du s'executer sur 2 de mes partions et en voulant les ouvrir celles ci ne se faisaient plus correctement, au lieu de m'ouvrir la partition celles-ci m'ouvraient directemnt le répertoire "Mes Document"
En faisant une recherche dans le registre des clés en faisant une recherche du mot "uninstall.exe" 2 clés ont été générés ( je sais plus ou dommage) en rapprt avec les 2 partitions.
J'ai sauvegardé ces 2 clés, puis les ai supprimé, ai rééssayé d'ouvrir mes 2 partitions et Oh miracle le problème avait disparu donc j'ai supprimé aussi les 2 clé que j'avais suvegardé ( dommage car j'aurai du les édité pour donner l'emplacement).
Mais bon ça résolu pas mon problème car j'ai beau supprimé ces 3 put.... de fichiers chaque jours et ça les empêchent pas de revenir,
j'ai norton 2004 qui est à jours automatiquement et il voit rien( ce con).
 
est ce quelqu'un peut m'aider s'il vous plait ?
 
De plus peut etre que c'est en rapport mais de chez moi certains lien ( en autre les liens pout DL les fix de norton et d'autres ) ne parchent plus alors que chez mes parents ceux-ci marchent parfaitement.
j'utilise internet explorer et mozilla fireox , les 2 navigateurs me font les mm erreurs de lines.
 
Voilà je crois que j'ai tout dis
 
Merci de répondre assez rapidement

Reply

Marsh Posté le 06-07-2004 à 12:59:30   

Reply

Marsh Posté le 06-07-2004 à 13:18:07    

j'ai oublié de vous dire j'ai zippé les 3 fichiers si quelqu'uns les veux, me le demander.

Reply

Marsh Posté le 06-07-2004 à 15:27:16    

drakken22@hotmail.com  
svp

Reply

Marsh Posté le 07-07-2004 à 00:49:19    

ok et j'en fait quoi de ton adresse Drakken, ste plait ?
C pour messenger ?

Reply

Marsh Posté le 07-07-2004 à 01:29:21    

tu peux utiliser Hijackthis et coller le contenu du log du scan ici merci

Reply

Marsh Posté le 07-07-2004 à 20:24:44    

voilà le contenu du log de Hijackthis :
 
Logfile of HijackThis v1.97.7
Scan saved at 20:22:42, on 07/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\csmss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\WallpaperToy\Wallpapertoy.Exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\PtokaX-0.330\PtokaX.exe
C:\Program Files\zDCPlusPlus\zDCPlusPlus.exe
C:\Program Files\Mozilla Firefox\firefox.exe
P:\Partage 5\Logiciels\Windows\Sécurité\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://home.free.fr/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MsgApi] C:\WINDOWS\System32\csmss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Wallpaper Changer.lnk = C:\Program Files\WallpaperToy\Wallpapertoy.Exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 4609259259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{329E442C-63EF-4F11-BE85-7F225C942858}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{329E442C-63EF-4F11-BE85-7F225C942858}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{329E442C-63EF-4F11-BE85-7F225C942858}: NameServer = 192.168.0.1
 
 
 
 
Voilàààà

Reply

Marsh Posté le 07-07-2004 à 20:39:59    

De plus je viens de m'appercevoir que mon liveupdate de norton de marchait plus, ainsi que tous les liens imprtants de norton ( pour les fixtools , support en ligne, définitions de virus, etc   ) que se soit avec internet explorer ou mozilla
 
bizarre non ?
 
 
Je crois que je vais faire une réinstall total ( on m'a passer XP Gold fr 5.5 )
est ce que ça vaut le coup ?
que me conseiller vous si je réinstall tout, XP Pro SP1 ou XP Gold ?
 
Merci.


Message édité par naabius le 07-07-2004 à 20:42:40
Reply

Marsh Posté le 08-07-2004 à 00:40:20    

Bon en ce qui concerne norton c'est réglé :
entre le 30 juin 2004 ( date de derniere mise à jours des définitions de virus de norton et le 05 juillet 2004 un Trojan
 
Ma mère par messenger m'a envoyé la dernière définition de virus ( du 05/07/2004 ) je les ai installés , pour etre sûr :  
redémarrage en mode sans echec avec l'invite de commande et j'ai lancé l'analyse complète du système  
 
et il m'a trouvé et supprimé devinez ...
 
 
 
 
 
Source : C:\WINDOWS\system32\drivers\etc\hosts  
Description : Le fichier C:\WINDOWS\system32\drivers\etc\hosts est infecté par le virus Trojan.Qhosts.
 
le virus a été supprimé bien entendu
 
reboot en mode normal et là tout les liens de Symantec qui ne marchaient plus refonctionnent et idem pour le LiveUpdate de norton
 
alors elle est pas belle la vie


Message édité par naabius le 08-07-2004 à 00:46:23
Reply

Marsh Posté le 08-07-2004 à 00:58:30    

j'ai eu aussi un processus qui s'applelait csmss.exe
 
je dis qu'il "s'appelait" parce que je l'ai dégagé du système
 
j'ai vu sur un site que ce fichier était succeptible d'être un virus
 
C'est grave ou pas ?
 
____________________________________________________________
 
après nettoyage du systeme j'ai refais un p'tit coup d'Hijackthis :
 
Logfile of HijackThis v1.97.7
Scan saved at 00:53:49, on 08/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WallpaperToy\Wallpapertoy.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
P:\Partage 5\Logiciels\Windows\Sécurité\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://home.free.fr/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Wallpaper Changer.lnk = C:\Program Files\WallpaperToy\Wallpapertoy.Exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 4609259259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{329E442C-63EF-4F11-BE85-7F225C942858}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{329E442C-63EF-4F11-BE85-7F225C942858}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{329E442C-63EF-4F11-BE85-7F225C942858}: NameServer = 192.168.0.1


Message édité par naabius le 08-07-2004 à 00:59:32
Reply

Marsh Posté le 08-07-2004 à 05:04:17    

D'abord bienvenue.. ;)
 
Il va falloir changer tes habitudes de cliquer sur tout ce qui bouge et être plus vigilant...
 
1) fichier attaché dans email non sollicité = 99% virus = poubelle de suite.
2) fichier attaché dans email attendu = "save as.." dans un répertoire de ton choix et scan antivirus systématique
3) appli téléchargée sur le net: idem
4) windows update, et bien update de ton AV journalière, que tu n'as d'ailleurs pas besoin d'avoir constamment en tâche de fond. Des scans ponctuels sur chaque nouveau executable/script/fichier sont tout aussi efficaces et amplement suffisants. AV qui tourne en permanence = pas bon pour les perfs (et surtout Norton).
5) backup, données et éventuellement image de tes partitions que tu peux restaurer en cas de pépin.
6) fenêtre qui s'affiche proposant d'installer un quelconque add-on en surfant = click non immédiat.
 
Le meilleur antivirus reste le cerveau et le meilleur combat contre ces saloperies informatiques que sont les virus ou autres scripts kiddies se situe dans l'éducation des utilisateurs.. ;)


Message édité par jackyl le 08-07-2004 à 05:12:12
Reply

Marsh Posté le 08-07-2004 à 05:04:17   

Reply

Marsh Posté le 08-07-2004 à 06:40:37    

je sais tout ça mais ca n'empêche que voilà
 
c clair qu'un mail qui vient d'un iconnu avec un PJ, sera détruit illico sans mm avoir lu le message
 
Windows update se fait à la mano
 
Norton, bon bé lui Auto update
 
mais bon, fo pas croire que je passe mon temps sur les sites de cul, j'y vais jamais justement à cause de toutes ces merdes qui y trainent.
 
et je télécharge pas n'improte quoi, je suis pas un novice non plus, mais plutot un utilisateur semi-expérimenté ( je connais plein de trucs mais pas tout ).
 
c gentil de me donner des conseils pour débutants, mais je préfèrerait des conseils un peu plus Pro,  
 
Mais bon mon problème et résolu donc c'est plus la peine,
en attendant vos réponses, j'ai pas chômé, j'ai trouvé d'ou venait le problème et l'ai érradiquer.
 
merci quand mm
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed