[virus] Winscntrl.exe, un nouveau?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [virus] Winscntrl.exe, un nouveau?

Zeplusoif

je subis depuis aujourd'hui une attaque en règle

je lance le PC, Outpost me signale qu'un programme essaie de modifier la clé de registre "restrictanonymous" et qu'il est possible que ce soit un virus. ça commence bien.

ensuite c'est le programme "Windows Operating System" qui essaie de modifier des DLL. Puis il tente toute les secondes de se connecter au site "frayedendsofsanity.be". Bloqué par le FW bien sûr.

plus exactement c le programme résident "winscntrl.exe" qui tente de se connecter.

tous ces symptômes semblent complètement inconnus sur internet. Mon anti-virus ne détecte rien. une recherche Google sur winscntrl.exe me retourne 4 réponses, pas sur le sujet.

pour le moment je ne peux rien faire contre ce malfaisant.

si quelqu'un a entendu parler de ce truc...

Publicité

eZula

salut,

je crois que tu es bon pour le rapport HijackThis

Zeplusoif

peux-tu m'en dire plus?
ça consiste en quoi?

eZula

il s'agit de déposer un rapport qui va lister des éléments de démarrage de ton pc. Procédure : http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Zeplusoif

merci

Code :

Logfile of HijackThis v1.99.1
Scan saved at 19:52:10, on 21/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winscntrl.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\douchet\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\RunServices: [editmsgs] msgsedit.exe
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2469274750
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1F8201C-E3C6-4123-B503-6F7E5ABE4991}: NameServer = 212.27.32.5,213.228.0.168
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D72202B-1083-4A4F-94F2-4F27C1122BDA}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
O23 - Service: zauzj - Unknown owner - \\82.245.193.48\admin$\stone.exe" -service (file missing)

eZula

je vois déjà une ou deux saletés, mais si tu le permets j'aimerais que tu fasses directement ce scan en ligne

http://www.pandasoftware.com/activ [...] ncipal.htm
puis poste le rapport complet quand c'est terminé.

edit> juste avant de lancer ce scan :
options internet - "supprimer les fichiers" - "supprimer les cookies"

Message édité par eZula le 21-03-2006 à 21:01:38

Zeplusoif

Merci eZula

Code :

Incident Statut Analyse
Virus:W32/Sdbot.GUI.worm Désinfecté C:\WINNT\system32\winscntrl.exe

eZula

1/ Redémarre en mode sans échec (touche F8 une fois par seconde dès le démarrage)
http://service1.symantec.com/SUPPO [...] 5112131924

2/ lance HijackThis en cliquant -> "do a system scan only" et coche :

O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe

clique sur "fix checked".

3/

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

4/ supprime :

C:\WINNT\system32\winscntrl.exe

et vide la poubelle.

5/ Panneau de configuration - options internet - "supprimer les fichiers" - "supprimer les cookies"

6/ Redémarrer.

7/ Nouveau rapport HJT + nouveau scan Panda.

-------------

PS : est-ce que ces deux éléments te disent quelque chose :

O4 - HKLM\..\RunServices: [editmsgs] msgsedit.exe <- pas des masses d'infos sur ce fichier
O23 - Service: zauzj - Unknown owner - \\82.245.193.48\admin$\stone.exe" -service (file missing) <- l'IP n'a pas l'air "dangereuse" c'est juste le nom de ce service que je trouve bizarre ("zauzj" )

Message cité 1 fois

Zeplusoif

eZula a écrit :

Citation :

ok g viré winscntrl et svchostss.exe

les 2 dernières lignes ne me disent rien ... qui vaillent. Je me demande si j'avais d'ailleurs pas empêché une ou 2 fois msgsedit.exe de se connecter à internet.

j'ai un risque si je supprime ces 2 lignes?

eZula

salut,

si tu arrives à localiser ce fichier msgsedit.exe (pas sur qu'il soit encore là en fait), fais le scanner sur ce site http://virusscan.jotti.org et dépose le rapport. On verra s'il faut le virer ou pas (sachant qu'il est possible de revnir en arrière avec HJT)

Même chose pour stone.exe
Celui-là c'est un service, tu peux essayer de le désactiver et de l'arrêter, pour voir s'il ne te manque rien.

FORUM HardWare.fr

Windows & Software

Sécurité

[virus] Winscntrl.exe, un nouveau?

Sujets relatifs
Méchant virus	Virus et Spyware sur PC Portable
82exmodulaz.exe ... virus ou résident ?	virus ou problème systéme?
Virus - gestionnaire des taches innacessible, ralentissement du net...	Un virus bien étrange ?
Virus ou cheval de troye ??	ProblèmeS avec ClubInternetBox : virus, IP fixe, débit,... : HELP !
gros probleme Ou peut bien se cacher ce virus	pb au demarrage... virus??
Plus de sujets relatifs à : [virus] Winscntrl.exe, un nouveau?

Page générée en 0.104 secondes