Fichier étrange ...
Résolu
desch
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
desch Messages postés 6 Date d'inscription Statut Membre Dernière intervention -
desch Messages postés 6 Date d'inscription Statut Membre Dernière intervention -
Bonjour tout le monde,
Alors moi j'ai juste une "grosse" remarque a faire sur un fichier que je viens de trouver... pww.txt dans le répertoire winnt
C fait déja un moment que mes temporary internet files sont polués par des virus que j'efface régulièrement ; je passe HijackThis, je nettoie et mes temporay internet files sont de nouveau polués
AdAware, Spybot n'y faisant rien ; j'ai tout simplement changé de Browser ( j'ai pris FifeFox ) . Mais Oh désespoir ils reviennent toujours les méchants ( ca se concrétisent par des pages web qui demandent de cliquer "yes" , que Antivir XP bloque bien ; bref...)
Alors me direz vous ce fichier? c'est quoi
ben on y trouve tout dedans ...
du mot de passe mis sur un site au numéro de compte rentré sur site sécurisé, votre adresse postal
un peu près tous les caractères qui ont été tapés puis effacés sur un site web par exemple .... bref un fichier de qqles milliers de lignes avec des tonnes d'informations.
Alors sur google : aucune informations...
si y en a qui ont des informations ou qui ont ce genre de fichier chez eux... enfin je vous laisse juge ...
a++
David
Alors moi j'ai juste une "grosse" remarque a faire sur un fichier que je viens de trouver... pww.txt dans le répertoire winnt
C fait déja un moment que mes temporary internet files sont polués par des virus que j'efface régulièrement ; je passe HijackThis, je nettoie et mes temporay internet files sont de nouveau polués
AdAware, Spybot n'y faisant rien ; j'ai tout simplement changé de Browser ( j'ai pris FifeFox ) . Mais Oh désespoir ils reviennent toujours les méchants ( ca se concrétisent par des pages web qui demandent de cliquer "yes" , que Antivir XP bloque bien ; bref...)
Alors me direz vous ce fichier? c'est quoi
ben on y trouve tout dedans ...
du mot de passe mis sur un site au numéro de compte rentré sur site sécurisé, votre adresse postal
un peu près tous les caractères qui ont été tapés puis effacés sur un site web par exemple .... bref un fichier de qqles milliers de lignes avec des tonnes d'informations.
Alors sur google : aucune informations...
si y en a qui ont des informations ou qui ont ce genre de fichier chez eux... enfin je vous laisse juge ...
a++
David
A voir également:
- Fichier étrange ...
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
8 réponses
salut,
jpense que tu es hacké la
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum
et
lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
-------------------------------------------------------------------------
jpense que tu es hacké la
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum
et
lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
-------------------------------------------------------------------------
bonjour Régis,
bon j'ai pas mal de boulot, e et parfois donc pas trop de temps
alors voila un log
pas si clean que ca finalement
je m'explique :
j'ai des popup : avec "votre système est corrompu télécharger www.updatepatch.info"
(et ils sont de plusieurs types : on a tout un tas de site qui vantent leur soft mais par quels moyen...)
et aucune idée comment faire suauter tout ca
donc le log:
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\explorer.exe
D:\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MSSQL Subsystem] sqlhelper.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Microsoft Services] InetDriver.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\RunServices: [MSSQL Subsystem] sqlhelper.exe
O4 - HKCU\..\Run: [Microsoft Services] InetDriver.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
voila ...
Alors celui qui me trouve le process qui M... il aura un bonbon ;)))
a++
DAvid
bon j'ai pas mal de boulot, e et parfois donc pas trop de temps
alors voila un log
pas si clean que ca finalement
je m'explique :
j'ai des popup : avec "votre système est corrompu télécharger www.updatepatch.info"
(et ils sont de plusieurs types : on a tout un tas de site qui vantent leur soft mais par quels moyen...)
et aucune idée comment faire suauter tout ca
donc le log:
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\explorer.exe
D:\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MSSQL Subsystem] sqlhelper.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Microsoft Services] InetDriver.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\RunServices: [MSSQL Subsystem] sqlhelper.exe
O4 - HKCU\..\Run: [Microsoft Services] InetDriver.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
voila ...
Alors celui qui me trouve le process qui M... il aura un bonbon ;)))
a++
DAvid
salut,
essai ca:
Souvent, il apparaît des messages (souvent vous invitant a appeler un certain numéro de téléphone ou autre) avec comme intitulé : "Service d'affichage des messages". Pour arrêter ces messages, il faut faire :
Clique droit sur le Poste de Travail
Gérer
Services et applications
Services
Affichage des Messages
Dans la liste "Type de Démarrage", choisir "Désactivé"
+a
essai ca:
Souvent, il apparaît des messages (souvent vous invitant a appeler un certain numéro de téléphone ou autre) avec comme intitulé : "Service d'affichage des messages". Pour arrêter ces messages, il faut faire :
Clique droit sur le Poste de Travail
Gérer
Services et applications
Services
Affichage des Messages
Dans la liste "Type de Démarrage", choisir "Désactivé"
+a
Bonjour Desch
Tu es sûr de l'orthographe : pww.txt ce serait pas plutôt pwl.txt ? ce qui est tout à fait normal ce sont les enregistrements successifs des mots de passe Session lors du démarrage de ta machine - ces fichiers sont recrées au fur et à mesure - tu peux supprimer le dossier sans problèmes (avant qu'il se recrée ... encore et encore ^_^)
Hello Regis ça va t-il ?
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Tu es sûr de l'orthographe : pww.txt ce serait pas plutôt pwl.txt ? ce qui est tout à fait normal ce sont les enregistrements successifs des mots de passe Session lors du démarrage de ta machine - ces fichiers sont recrées au fur et à mesure - tu peux supprimer le dossier sans problèmes (avant qu'il se recrée ... encore et encore ^_^)
Hello Regis ça va t-il ?
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ça va très bien merci jeune homme ^_^
O4 - HKLM\..\Run: [MSSQL Subsystem] sqlhelper.exe
O4 - HKLM\..\Run: [Microsoft Services] InetDriver.exe
bien étrange tout ça répliqué 2 fois dans le log - ça sent les backdoors fortement
1 p'tit AV online s'imposerait
http://www.mwti.net/antivirus/mwav.asp
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
O4 - HKLM\..\Run: [MSSQL Subsystem] sqlhelper.exe
O4 - HKLM\..\Run: [Microsoft Services] InetDriver.exe
bien étrange tout ça répliqué 2 fois dans le log - ça sent les backdoors fortement
1 p'tit AV online s'imposerait
http://www.mwti.net/antivirus/mwav.asp
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Salut les jeunes,
Pour le fichier, je suis sur de ce que j'avance ; c'est pww.txt
et un fichier qui fait qqles dizaines de milliers de lignes et qui reconstituent toutes ces lignes a chaque démarage ; ca me semble louche
Bon on va essayer tous vos trucs et je remettrai un post ensuite pour vous raconter tout ca ...
a++
David
Pour le fichier, je suis sur de ce que j'avance ; c'est pww.txt
et un fichier qui fait qqles dizaines de milliers de lignes et qui reconstituent toutes ces lignes a chaque démarage ; ca me semble louche
Bon on va essayer tous vos trucs et je remettrai un post ensuite pour vous raconter tout ca ...
a++
David
Bon effectivement ya des choses qui trainent avec l'antivirus machin sité précedement...
en effet il y avait aussi ce service des messages qui était en route
(bizarre mais il ya fort longtemps, je l'avait désactivé)
Alors question maintenant:
Quel antivirus choisir? (et accesoirement quel Firewal, anti-spyware, ... Bref tout un package sécurité)
j'ai antivir XP(qui est gratuit) et il ne detectent pas ces virus
j'ai lancé adAware SE et ils détectent des spys ( que j'efface régulièrement) qui reviennent tout le temps
le but du jeu, ce serait d'avoir un antivirus fiable mais pas trop gourmand non plus, (genre pas NAV)
Au fait pour le fichier pww.txt ; j'ai regardé et il n'existe sur aucune autre machine que sur la mienne
(d'ailleurs au passage vous n'auriez pas un outil de recovery pour retrouver ce fichier ; ce qui me permettrait de savoir quelles données ont été hackés)
voila , voila
en vous remerciant encore pour vos conseils
a++
David
en effet il y avait aussi ce service des messages qui était en route
(bizarre mais il ya fort longtemps, je l'avait désactivé)
Alors question maintenant:
Quel antivirus choisir? (et accesoirement quel Firewal, anti-spyware, ... Bref tout un package sécurité)
j'ai antivir XP(qui est gratuit) et il ne detectent pas ces virus
j'ai lancé adAware SE et ils détectent des spys ( que j'efface régulièrement) qui reviennent tout le temps
le but du jeu, ce serait d'avoir un antivirus fiable mais pas trop gourmand non plus, (genre pas NAV)
Au fait pour le fichier pww.txt ; j'ai regardé et il n'existe sur aucune autre machine que sur la mienne
(d'ailleurs au passage vous n'auriez pas un outil de recovery pour retrouver ce fichier ; ce qui me permettrait de savoir quelles données ont été hackés)
voila , voila
en vous remerciant encore pour vos conseils
a++
David
Je te remercie pour ton aide, mais comme tu réponds à pas mal de monde, j'ai déja testé ceci en long et en large ...
Avec un bon antivirus et un bon firewall je n'aurais pas du etre hacké comme ca
En tout cas depuis hier soir après avoir fait sauter ce fichier
puis Networksystem.exe et MMtray.exe dans le registre, il semble que ce soit plus calme maintenant...
au passage pour ceux qui ont des problème similaires
j'ai fait sauter avec Hijack:
winupdate.exe
system32.exe
sdf.exe
ssf.exe
ssfsdf.exe
et d'autre truc louche...
je colle mon log (clean ; il me semble) ce soir
A+
David