[Résolu] hwclock Est-ce un virus?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [Résolu] hwclock Est-ce un virus?

lp-c

Bonjour,
Voilà les symptomes du malade:
1. Lorsque j'allume ma machine, elle essaie immédiatement de se connecter à l'Internet.
2. Une fois connectée, elle émet et reçoit sans cesse.
3. Puis le système m'annonce ne plus trouver MTU.BAT.
4. Enfin une fenetre s'affiche me signalant des modifs dans la base de registre.
5. J'ai fait un HiJackThis au cas où...
J'ai vraiment besoin d'aide.
Merci

Logfile of HijackThis v1.99.1
Scan saved at 21:03:58, on 30/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Les enfants\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Message édité par lp-c le 01-06-2005 à 00:44:41

Publicité

Z_cool

HFR profile rating:⭐⭐⭐⭐

je trouve :
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

louche

---------------
#mais-chut

darren

bing blang blaow

Salut,

ferme toutes tes applications et ton internet explorer et coche ces lignes :

C:\WINDOWS\System32\msnq3insller.exe

O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

Redémarre en mode sans echec, et supprimme les fichiers en gras. Si tu ne les vois pas, active l'affichage des fichiers cachés.

Ensuite nettoie avec CCLeaner et redemarre en mode normal puis reposte un log.

darren

bing blang blaow

Z_cool a écrit :

je trouve :
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

louche

En effet.

lp-c

Merci de vos conseils.
Donc je nettoie avec HiJackThis, je vire à la main les deux fichiers et j'utilise CCleaner (cleanUp c'est pareil?)

darren

bing blang blaow

En mode sans echec!

Cleanup je ne connais pas, mais ça doit effectivement se ressembler.

lp-c

J'ai réussi à virer msnq3insller.exe
Par contre hwclock reste introuvable!
Et ma machine continue à recevoir et à emmettre à fond les ballons.
Quie faire?

stonangel

Bonsoir réponse dans quelques instants.

lp-c

J'ai refait un HiJackThis :
Logfile of HijackThis v1.99.1
Scan saved at 23:08:44, on 31/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\tftp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\LP\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{87DA8367-5F5D-409C-956B-E12D4F6E7EE7}: NameServer = 212.27.32.5 213.228.0.168
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

stonangel

Re, installe Hijackthis correctemment. Navigue jusqu'à C:\Program files, ouvre un nouveau dossier. Nomme le HJT par exemple. Dézippe Hijackthis dans ce dossier. Tu obtiendras le chemin suivant: C:\HJT\Hijackthis.exe

Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK.
Dans la liste des services, cherche et sélectionne:

Hardware Clock Driver (hwclock)

Double clique sur la ligne. Vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de C:\WINDOWS\System32\hwclock.exedans Type de démarrage, sélectionne Désactiver et valide la modification.

Démarre en mode sans échec (F5 ou F8). Assure toi d'avoir accès à tous les fichiers.

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

Démarre Hijackthis, scan et coche les lignes:

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

Ferme toutes les fenêtres tous les programmes puis clique sur Fix checked

Supprime le fichier suivant s'il est encore présent:

C:\WINDOWS\System32\hwclock.exe

Renomme ce fichier tftp.exe en tftp-exe.anc (nom tiret extension point anc)

Recache les fichiers système. Redémarre normalement, effectue les mises à jour de sécurité via Windows Update et poste un nouveau rapport Hijackthis pour vérification.

Quels sont tes antivirus et pare-feu?

Message édité par stonangel le 31-05-2005 à 23:40:23

Publicité

lp-c

Bon, j'y suis allé un peu à la sauvage.
Comme ce p****n de hwclock était introuvable, j'ai utilisé KillBox qui l'a rendu visible.
Puis je suis allé dans regedit et j'ai viré toutes les clefs avec hwclock.
Puis j'ai effacé 2 hwclock.
Puis j'ai fait tes manips. voici mon log :
Logfile of HijackThis v1.99.1
Scan saved at 23:40:17, on 31/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\winpadg.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Laurent Pierre\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{87DA8367-5F5D-409C-956B-E12D4F6E7EE7}: NameServer = 212.27.32.5 213.228.0.168
O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Yépa! je crois que je l'ai viré...
(par contre je reçois/émets toujours...2.3MB/8min)
Et merci beaucoup, beaucoup pour ton aide stonangel!
A+

lp-c

Et pis j'ai pas de pare-feu ni antivirus...
c'est bon, je vais m'en acheter un, OK...
Ca va crie plus!

stonangel

Pas besoin d'en acheter, Avast et Zone Alarm sont très corrects. Fais un scan sur Panda :
[url]
http://www.pandasoftware.com/produ [...] ncipal.htm[/url] et colle le rapport ici.

Message édité par stonangel le 31-05-2005 à 23:54:03

lp-c

Je les télécharge demain. Bonne nuit à toi. Merci encore
LP-c

FORUM HardWare.fr

Windows & Software

Sécurité

[Résolu] hwclock Est-ce un virus?

Sujets relatifs
[odbc] sources de données système [résolu]	[RESOLU] compatibilité de ma carte vidéo
[resolu]probleme de démarage windows XP	[Hijackthis] Media access.exe /windu.i (virus insupprimable ? )
Partage de fichier impossible[RESOLU]	impossible d'activer le firewall du sp2 [résolu]
troj_Buddy.f [resolu]	[Resolu] Password ouverture connexion ADSL à récupérer
impossible désinstaller kaspersky anti-virus	pb: "svchost .exe" tourne a 100% [Résolu]
Plus de sujets relatifs à : [Résolu] hwclock Est-ce un virus?

Page générée en 0.043 secondes