c:\windows\system32\chadao.exe

c:\windows\system32\chadao.exe - Sécurité - Windows & Software

Marsh Posté le 20-04-2005 à 09:56:18    

c:\windows\system32\chadao.exe
 
quel est ce process ?
je n'ai trouvé aucune référence à cet exe nulle part
de temps a autre il essaie de se connecter sur ev1servers.net par le port 80
je l'ai bloqué avec sygate fw
 
Merci de tout renseignements

Reply

Marsh Posté le 20-04-2005 à 09:56:18   

Reply

Marsh Posté le 20-04-2005 à 10:07:00    

Ad34 a écrit :

c:\windows\system32\chadao.exe
 
quel est ce process ?
je n'ai trouvé aucune référence à cet exe nulle part
de temps a autre il essaie de se connecter sur ev1servers.net par le port 80
je l'ai bloqué avec sygate fw
 
Merci de tout renseignements


 
 :hello:  
 
9 chances sur 10 que se soit un trojan ou autre malware.
 
1) Télécharge Hijackthis:  
 
2) Mets le fichier HijackThis.exe dans un dossier spécial, par exemple C:\HijackThis.  
Ne pas l'installer dans un répertoire temporaire afin de pouvoir récupérer les backups le cas échéant.
 
3) Double-clique sur HijackThis.exe.  
 
4) Lance l'analyse en cliquant sur "Do a system scan and save a logfile".  
 
5) Une fois l'analyse terminée,fais un copier/coller du rapport sur le forum, sans rien faire d'autre !!!

Reply

Marsh Posté le 20-04-2005 à 12:53:50    

Le voici
Merci d'avance
 
Logfile of HijackThis v1.99.1
Scan saved at 11:38:42, on 20/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\RSI\FLEXlm\lmgrd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\RSI\flexlm\idl_lmgrd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\MMTray.exe
C:\WINDOWS\system32\MMTray2k.exe
C:\WINDOWS\system32\MMTrayLSI.exe
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\RSS Xpress\RSS Xpress.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\chadao.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\BOINC\boinc_gui.exe
C:\Program Files\MSI\Bluetooth Software\BTTray.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Program Files\Infotriever\Agent\infoclient.exe
C:\Program Files\KeirNet\K9\K9.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\BOINC\projects\climateprediction.net\hadsm3_4.12_windows_intelx86.exe
C:\Program Files\BOINC\projects\climateprediction.net\hadsm3_4.12_windows_intelx86.exe
C:\Program Files\BOINC\projects\climateprediction.net\hadsm3um_4.12_windows_intelx86.exe
C:\Program Files\BOINC\projects\climateprediction.net\hadsm3um_4.12_windows_intelx86.exe
C:\WINDOWS\system32\POL32Evt.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\Documents and Settings\Dezetter Alain\Mes documents\Download\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hydrosciences.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FICHIE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RSS Xpress] C:\Program Files\RSS Xpress\RSS Xpress.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IoxnRTj7j] chadao.exe
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: Infotriever.lnk = C:\Program Files\Infotriever\Agent\infoclient.exe
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BOINC.lnk = C:\Program Files\BOINC\boinc_gui.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O16 - DPF: {36E4E9BC-4D0C-41B4-90C9-37AFDBFAAD3C} (InforbitHelper Class) - http://download.infotriever.com/bin/ifhelper.cab
O16 - DPF: {4B1A4A31-8845-11D5-9769-00B0D071D434} (Avaya ICM Client) - http://81.255.93.68/icm/caller.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1848bc [...] 601_fr.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE6878C-C9D0-40C5-84A8-EF80C975420A}: Domain = xxxxxxxxxxxxxxxxxxx (remplacé par xxx)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE6878C-C9D0-40C5-84A8-EF80C975420A}: NameServer = xxxxxxxxxxxxxxx idem
O17 - HKLM\System\CCS\Services\Tcpip\..\{E46A3F52-D56A-408D-8DE0-C6A34F59127B}: Domain = xxxxxxxxxxxxxx idem
O17 - HKLM\System\CCS\Services\Tcpip\..\{E46A3F52-D56A-408D-8DE0-C6A34F59127B}: NameServer = xxxxxxxxxxxxxxx idem
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: ION Java Daemon 6.1 - Unknown owner - C:\RSI\IDL61\products\ion61\ion_java\bin\ion_srv.exe (file missing)
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RSI flexlm - Macrovision Corporation - C:\RSI\FLEXlm\lmgrd.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
 

Reply

Marsh Posté le 21-04-2005 à 00:01:20    

:hello:  
 

Citation :

O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE6878C-C9D0-40C5-84A8-EF80C975420A}: Domain = xxxxxxxxxxxxxxxxxxx (remplacé par xxx)


 
Je suppose que c'est voulu les XXX et que tu es sûr de l'adresse IP?
 
Avant de continuer sur le log, fais ceci:
 
Rends toi à cette adresse
 
Clique sur <<parcourir>>, recherche le fichier: C:\WINDOWS\system32\POL32Evt.exe  sur ton disque et fais <<submit>>
 
Attends le temps de l'analyse et colle le résultat dans un message du forum.
 
Les programmes ci-dessous, tu les connais?
 
C:\RSI\FLEXlm
C:\Program Files\RSS Xpress
C:\Program Files\Infotriever

Reply

Marsh Posté le 21-04-2005 à 08:46:44    

pow-wow a écrit :

:hello:  
Je suppose que c'est voulu les XXX et que tu es sûr de l'adresse IP?
 
oui  
 
Clique sur <<parcourir>>, recherche le fichier: C:\WINDOWS\system32\POL32Evt.exe  sur ton disque et fais <<submit>>
 
c'est un programme connu : shareoutlook
 
Les programmes ci-dessous, tu les connais?
 
oui tous  
 
C:\RSI\FLEXlm
gestion de license
 
C:\Program Files\RSS Xpress
lecteur RSS
 
C:\Program Files\Infotriever
gestion de dossiers de voyages avions
 


 
 
le seul qui me pose "pb" - questionnement plutôt est chadao.exe
 
Merci de tes réponses.

Reply

Marsh Posté le 21-04-2005 à 08:56:46    

:hello:  
 
Aucune info sur ce fichier.
 
C'est donc un malware ou un fichier rajouté par un malware.
 
Fais lanalyse que je t'ai demandé  ;)

Reply

Marsh Posté le 21-04-2005 à 10:53:50    

pow-wow a écrit :

:hello:  
 
Aucune info sur ce fichier.
 
C'est donc un malware ou un fichier rajouté par un malware.
 
Fais lanalyse que je t'ai demandé  ;)


 
ah oui ... bien sûr,
je n'avais pas pensé à y envoyer chadao.exe ....
Merci
A plus

Reply

Marsh Posté le 21-04-2005 à 10:57:01    

Ad34 a écrit :

ah oui ... bien sûr,
je n'avais pas pensé à y envoyer chadao.exe ....
Merci
A plus


effectivement
trojan.Downloader.2094 ...
un reste ...
je vire
Merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed