[virus] Winscntrl.exe, un nouveau?

Winscntrl.exe, un nouveau? [virus] - Sécurité - Windows & Software

Marsh Posté le 21-03-2006 à 19:10:08    

je subis depuis aujourd'hui une attaque en règle
 
je lance le PC, Outpost me signale qu'un programme essaie de modifier la clé de registre "restrictanonymous" et qu'il est possible que ce soit un virus. ça commence bien.
 
ensuite c'est le programme "Windows Operating System" qui essaie de modifier des DLL. Puis il tente toute les secondes de se connecter au site "frayedendsofsanity.be". Bloqué par le FW bien sûr.
 
plus exactement c le programme résident "winscntrl.exe" qui tente de se connecter.
 
tous ces symptômes semblent complètement inconnus sur internet. Mon anti-virus ne détecte rien. une recherche Google sur winscntrl.exe me retourne 4 réponses, pas sur le sujet.
 
pour le moment je ne peux rien faire contre ce malfaisant.
 
si quelqu'un a entendu parler de ce truc...

Reply

Marsh Posté le 21-03-2006 à 19:10:08   

Reply

Marsh Posté le 21-03-2006 à 19:38:37    

salut,
 
je crois que tu es bon  pour le rapport HijackThis :)

Reply

Marsh Posté le 21-03-2006 à 19:49:20    

peux-tu m'en dire plus?
ça consiste en quoi?

Reply

Marsh Posté le 21-03-2006 à 19:58:59    

il s'agit de déposer un rapport qui va lister des éléments de démarrage de ton pc. Procédure : http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Reply

Marsh Posté le 21-03-2006 à 20:10:02    

merci  :)  
 

Code :
  1. Logfile of HijackThis v1.99.1
  2. Scan saved at 19:52:10, on 21/03/2006
  3. Platform: Windows 2000 SP4 (WinNT 5.00.2195)
  4. MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
  6. Running processes:
  7. C:\WINNT\System32\smss.exe
  8. C:\WINNT\system32\winlogon.exe
  9. C:\WINNT\system32\services.exe
  10. C:\WINNT\system32\lsass.exe
  11. C:\WINNT\system32\Ati2evxx.exe
  12. C:\WINNT\system32\svchost.exe
  13. C:\WINNT\system32\spoolsv.exe
  14. C:\WINNT\system32\svchost.exe
  15. C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
  16. C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
  17. C:\WINNT\system32\MSTask.exe
  18. C:\WINNT\system32\stisvc.exe
  19. C:\WINNT\System32\WBEM\WinMgmt.exe
  20. C:\WINNT\system32\winscntrl.exe
  21. C:\WINNT\system32\svchost.exe
  22. C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
  23. C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
  24. C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe
  25. C:\Program Files\Softwin\BitDefender9\vsserv.exe
  26. C:\WINNT\system32\Ati2evxx.exe
  27. C:\WINNT\Explorer.EXE
  28. C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
  29. C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
  30. C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
  31. C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
  32. C:\Program Files\Mozilla Firefox\firefox.exe
  33. C:\WINNT\system32\taskmgr.exe
  34. C:\Program Files\Mozilla Thunderbird\thunderbird.exe
  35. C:\Program Files\Internet Explorer\iexplore.exe
  36. C:\Documents and Settings\douchet\Desktop\HijackThis.exe
  38. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
  39. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  40. O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
  41. O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
  42. O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  43. O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
  44. O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
  45. O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
  46. O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
  47. O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
  48. O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
  49. O4 - HKLM\..\RunServices: [editmsgs] msgsedit.exe
  50. O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
  51. O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
  52. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  53. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  54. O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  55. O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
  56. O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
  57. O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
  58. O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2469274750
  59. O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
  60. O17 - HKLM\System\CCS\Services\Tcpip\..\{C1F8201C-E3C6-4123-B503-6F7E5ABE4991}: NameServer = 212.27.32.5,213.228.0.168
  61. O17 - HKLM\System\CS1\Services\Tcpip\..\{1D72202B-1083-4A4F-94F2-4F27C1122BDA}: NameServer = 212.27.32.5,213.228.0.168
  62. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
  63. O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
  64. O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
  65. O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  66. O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
  67. O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
  68. O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
  69. O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
  70. O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
  71. O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
  72. O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
  73. O23 - Service: zauzj - Unknown owner - \\82.245.193.48\admin$\stone.exe" -service (file missing)

Reply

Marsh Posté le 21-03-2006 à 21:00:38    

je vois déjà une ou deux saletés, mais si tu le permets j'aimerais que tu fasses directement ce scan en ligne
 
http://www.pandasoftware.com/activ [...] ncipal.htm  
puis poste le rapport complet quand c'est terminé.
 
edit> juste avant de lancer ce scan :
options internet - "supprimer les fichiers" - "supprimer les cookies"


Message édité par eZula le 21-03-2006 à 21:01:38
Reply

Marsh Posté le 21-03-2006 à 22:15:28    

Merci eZula :)
 

Code :
  1. Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                       
  3. Virus:W32/Sdbot.GUI.worm                                                        Désinfecté                    C:\WINNT\system32\winscntrl.exe

     

Reply

Marsh Posté le 21-03-2006 à 22:43:33    

1/ Redémarre en mode sans échec (touche F8 une fois par seconde dès le démarrage)
http://service1.symantec.com/SUPPO [...] 5112131924
 
2/ lance HijackThis en cliquant -> "do a system scan only" et coche  :
 
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
 
clique sur "fix checked".  
 
3/  

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",  
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


 
4/ supprime  :
 
C:\WINNT\system32\winscntrl.exe  
 
et vide la poubelle.
 
5/ Panneau de configuration - options internet - "supprimer les fichiers" - "supprimer les cookies"
 
6/ Redémarrer.
 
7/ Nouveau rapport HJT + nouveau scan Panda.
 
-------------
 
PS : est-ce que ces deux éléments te disent quelque chose :
 
O4 - HKLM\..\RunServices: [editmsgs] msgsedit.exe <- pas des masses d'infos sur ce fichier
O23 - Service: zauzj - Unknown owner - \\82.245.193.48\admin$\stone.exe" -service (file missing)  <- l'IP n'a pas l'air "dangereuse" c'est juste le nom de ce service que je trouve bizarre ("zauzj" )

Message cité 1 fois
Reply

Marsh Posté le 22-03-2006 à 20:51:02    

eZula a écrit :

1/ Redémarre en mode sans échec (touche F8 une fois par seconde dès le démarrage)
http://service1.symantec.com/SUPPO [...] 5112131924
 
2/ lance HijackThis en cliquant -> "do a system scan only" et coche  :
 
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
 
clique sur "fix checked".  
 
3/  

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",  
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


 
4/ supprime  :
 
C:\WINNT\system32\winscntrl.exe  
 
et vide la poubelle.
 
5/ Panneau de configuration - options internet - "supprimer les fichiers" - "supprimer les cookies"
 
6/ Redémarrer.
 
7/ Nouveau rapport HJT + nouveau scan Panda.
 
-------------
 
PS : est-ce que ces deux éléments te disent quelque chose :
 
O4 - HKLM\..\RunServices: [editmsgs] msgsedit.exe <- pas des masses d'infos sur ce fichier
O23 - Service: zauzj - Unknown owner - \\82.245.193.48\admin$\stone.exe" -service (file missing)  <- l'IP n'a pas l'air "dangereuse" c'est juste le nom de ce service que je trouve bizarre ("zauzj" )


 
 
ok g viré winscntrl et svchostss.exe
 
les 2 dernières lignes ne me disent rien ... qui vaillent. Je me demande si j'avais d'ailleurs pas empêché une ou 2 fois msgsedit.exe de se connecter à internet.
 
j'ai un risque si je supprime ces 2 lignes?

Reply

Marsh Posté le 22-03-2006 à 21:05:31    

salut,
 
si tu arrives à localiser ce fichier msgsedit.exe (pas sur qu'il soit encore là en fait), fais le scanner sur ce site http://virusscan.jotti.org et dépose le rapport. On verra s'il faut le virer ou pas (sachant qu'il est possible de revnir en arrière avec HJT)
 
Même chose pour stone.exe
Celui-là c'est un service, tu peux essayer de le désactiver et de l'arrêter, pour voir s'il ne te manque rien.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed