Virus/worm inconnu et rémanent dans dossier partagé

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Virus/worm inconnu et rémanent dans dossier partagé

ephrael

Bonjour.

Depuis quelques semaines, j'ai un petit problème.

Je possède deux partitions NTFS C et D (reps. Système et data) sous Windows 2000 pro SP4. Sur la partition D se trouve un dossier que j'ai mis en partage avec accès total (lecture/écriture/exécution). Hors y apparaît, même lorsque les autres PCs du réseau local sont hors tension, plusieurs fichiers. Lorsque je les efface (supression ou utilisation de Eraser) ils finissent toujours par revenir au bout de quelques heures. Le plus souvent il s'agit de trois fichiers :
install.exe
testfile (édité dans Vim : vide)
autorun.inf (qui pointe sur install.exe)

Parfois il y a un autre programme dont le nom est variable, évoquant une dll ou un fichier système.

Me doutant qu'il s'agit d'un worms, trojan ou spyware, j'ai décidé de scanner mon disque.

- Ad-Aware SE : rien
- Antivir : rien
- Norton 2005 : rien
- HiJackThis :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:24:56, on 12/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Je n'utilise jamais EI hors windows update, seulement Firefox (mis à jour)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Eraser\eraser.exe
c:\winnt\system32\ltphpj.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Folding@Home\winfah.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Folding@Home\FahCore_78.exe
C:\Program Files\Internet Explorer\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINNT\system32\rsyncmon.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsb6.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINNT\system32\ap9h4qmo.exe
O4 - HKLM\..\Run: [zflyaj] c:\winnt\system32\ltphpj.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Folding@Home 5.03.lnk = C:\Program Files\Folding@Home\winfah.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{02F42528-3569-4B30-8D8D-93814DA6AAFE}: NameServer = 213.228.0.23,213.228.0.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{E82F639F-6426-420C-8D5C-22CC7EF0B3CD}: NameServer = 213.228.0.159,212.27.39.135
O17 - HKLM\System\CS1\Services\Tcpip\..\{02F42528-3569-4B30-8D8D-93814DA6AAFE}: NameServer = 213.228.0.23,213.228.0.212
O17 - HKLM\System\CS2\Services\Tcpip\..\{02F42528-3569-4B30-8D8D-93814DA6AAFE}: NameServer = 213.228.0.23,213.228.0.212
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

Rien de grave d'après l'analyseur de http://hjt.iamnotageek.com

D'après mes recherches, pas d'infos sur HWFr, ni sur Google...

Si quelqu'un à eu le même problème et a la solution, cela m'intéresse !

Publicité

darxmurf

meow

salut,

un pote a le même truc que toi et Antivir lui trouve un Worm... il m'a envoyé un des fichiers .exe mais y a rien avec symantec corporate et KAV... louche...

par contre dans ton log y a des trucs qui puent !

dans les services en bas :
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
explications : http://www.liutilities.com/product [...] y/svcproc/

O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe (pas bon du tout)

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINNT\system32\ap9h4qmo.exe
O4 - HKLM\..\Run: [zflyaj] c:\winnt\system32\ltphpj.exe

regarde dans ma signature pour nettoyer ta machine ! (vite...)

---------------
Des trucs - flickr - Instagram

ephrael

Citation :

par contre dans ton log y a des trucs qui puent !

Oui, j'avais remarqué Mais pas tour, merci pour le svcproc

Bon au boulot pour ceux-ci déjà

FORUM HardWare.fr

Windows & Software

Sécurité

Virus/worm inconnu et rémanent dans dossier partagé

Sujets relatifs
Partage automatique de périphérique amovible	Partage de connexion : bloquer l'envois d'email (SMTP)
Partage ADSL WiFi	J'ai un problème de virus et j'aurais besoin d'aide, s'il vous plait!
partage de connection	virus ????
Partage du carnet d'adresse Outlook 2003 / Outlook express	virus java
Problème de partage Xp pro & Familiale [Résolu]	Virus ?
Plus de sujets relatifs à : Virus/worm inconnu et rémanent dans dossier partagé

Page générée en 0.027 secondes