Fichier étrange ...

Résolu
desch Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -  
desch Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour tout le monde,

Alors moi j'ai juste une "grosse" remarque a faire sur un fichier que je viens de trouver... pww.txt dans le répertoire winnt

C fait déja un moment que mes temporary internet files sont polués par des virus que j'efface régulièrement ; je passe HijackThis, je nettoie et mes temporay internet files sont de nouveau polués
AdAware, Spybot n'y faisant rien ; j'ai tout simplement changé de Browser ( j'ai pris FifeFox ) . Mais Oh désespoir ils reviennent toujours les méchants ( ca se concrétisent par des pages web qui demandent de cliquer "yes" , que Antivir XP bloque bien ; bref...)

Alors me direz vous ce fichier? c'est quoi
ben on y trouve tout dedans ...
du mot de passe mis sur un site au numéro de compte rentré sur site sécurisé, votre adresse postal
un peu près tous les caractères qui ont été tapés puis effacés sur un site web par exemple .... bref un fichier de qqles milliers de lignes avec des tonnes d'informations.

Alors sur google : aucune informations...

si y en a qui ont des informations ou qui ont ce genre de fichier chez eux... enfin je vous laisse juge ...

a++
David
Configuration: P2 400 196 Ram
win 2000 SP4
(vieille machine)

8 réponses

  1. Utilisateur anonyme
     
    salut,
    jpense que tu es hacké la

    télécharge hijackthis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip
    L'aide est ici:
    http://www.zebulon.fr/articles/HijackThis.php

    Dezippz le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lancez le puis:
    clic sur "do a system scan and save logfile"
    faire un copier coller du log entier sur le forum

    et

    lance un scan chez RAV :
    http://www.ravantivirus.com/scan/

    Clique sur "To continue without subscribing click here" et attends quelques minutes.
    Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
    A la fin de l'analyse, copie/colle le rapport ici
    -------------------------------------------------------------------------
    0
    1. desch Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
       
      Salut Regis59
      Je te remercie pour ton aide, mais comme tu réponds à pas mal de monde, j'ai déja testé ceci en long et en large ...
      Avec un bon antivirus et un bon firewall je n'aurais pas du etre hacké comme ca

      En tout cas depuis hier soir après avoir fait sauter ce fichier
      puis Networksystem.exe et MMtray.exe dans le registre, il semble que ce soit plus calme maintenant...

      au passage pour ceux qui ont des problème similaires
      j'ai fait sauter avec Hijack:
      winupdate.exe
      system32.exe
      sdf.exe
      ssf.exe
      ssfsdf.exe

      et d'autre truc louche...

      je colle mon log (clean ; il me semble) ce soir

      A+

      David
      0
  2. Utilisateur anonyme
     
    salut david

    apparemment tu as bien ciblé, oui pose le sur le forum

    a+
    0
    1. desch Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
       
      bonjour Régis,

      bon j'ai pas mal de boulot, e et parfois donc pas trop de temps

      alors voila un log
      pas si clean que ca finalement

      je m'explique :

      j'ai des popup : avec "votre système est corrompu télécharger www.updatepatch.info"
      (et ils sont de plusieurs types : on a tout un tas de site qui vantent leur soft mais par quels moyen...)


      et aucune idée comment faire suauter tout ca


      donc le log:

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\Program Files\AVPersonal\AVGUARD.EXE
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINNT\System32\svchost.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\System32\mspmspsv.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\Program Files\Winamp\Winampa.exe
      C:\Program Files\Soft4Ever\looknstop\looknstop.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Microsoft IntelliType Pro\type32.exe
      C:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINNT\system32\internat.exe
      C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINNT\explorer.exe
      D:\HijackThis.exe

      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
      O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
      O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
      O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
      O4 - HKLM\..\Run: [MSSQL Subsystem] sqlhelper.exe
      O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
      O4 - HKLM\..\Run: [Microsoft Services] InetDriver.exe
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
      O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
      O4 - HKLM\..\RunServices: [MSSQL Subsystem] sqlhelper.exe
      O4 - HKCU\..\Run: [Microsoft Services] InetDriver.exe
      O4 - HKCU\..\Run: [internat.exe] internat.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

      voila ...
      Alors celui qui me trouve le process qui M... il aura un bonbon ;)))

      a++

      DAvid
      0
  3. Utilisateur anonyme
     
    salut,
    essai ca:
    Souvent, il apparaît des messages (souvent vous invitant a appeler un certain numéro de téléphone ou autre) avec comme intitulé : "Service d'affichage des messages". Pour arrêter ces messages, il faut faire :
    Clique droit sur le Poste de Travail
    Gérer
    Services et applications
    Services
    Affichage des Messages
    Dans la liste "Type de Démarrage", choisir "Désactivé"

    +a
    0
  4. Utilisateur anonyme
     
    Bonjour Desch

    Tu es sûr de l'orthographe : pww.txt ce serait pas plutôt pwl.txt ? ce qui est tout à fait normal ce sont les enregistrements successifs des mots de passe Session lors du démarrage de ta machine - ces fichiers sont recrées au fur et à mesure - tu peux supprimer le dossier sans problèmes (avant qu'il se recrée ... encore et encore ^_^)

    Hello Regis ça va t-il ?

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut,
    regis va bien lol et vous tres chere Dolly ?
    0
  7. Utilisateur anonyme
     
    ça va très bien merci jeune homme ^_^

    O4 - HKLM\..\Run: [MSSQL Subsystem] sqlhelper.exe
    O4 - HKLM\..\Run: [Microsoft Services] InetDriver.exe
    bien étrange tout ça répliqué 2 fois dans le log - ça sent les backdoors fortement

    1 p'tit AV online s'imposerait
    http://www.mwti.net/antivirus/mwav.asp

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  8. desch Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    Salut les jeunes,

    Pour le fichier, je suis sur de ce que j'avance ; c'est pww.txt
    et un fichier qui fait qqles dizaines de milliers de lignes et qui reconstituent toutes ces lignes a chaque démarage ; ca me semble louche

    Bon on va essayer tous vos trucs et je remettrai un post ensuite pour vous raconter tout ca ...

    a++

    David
    0
  9. desch Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    Bon effectivement ya des choses qui trainent avec l'antivirus machin sité précedement...

    en effet il y avait aussi ce service des messages qui était en route
    (bizarre mais il ya fort longtemps, je l'avait désactivé)

    Alors question maintenant:
    Quel antivirus choisir? (et accesoirement quel Firewal, anti-spyware, ... Bref tout un package sécurité)

    j'ai antivir XP(qui est gratuit) et il ne detectent pas ces virus
    j'ai lancé adAware SE et ils détectent des spys ( que j'efface régulièrement) qui reviennent tout le temps

    le but du jeu, ce serait d'avoir un antivirus fiable mais pas trop gourmand non plus, (genre pas NAV)

    Au fait pour le fichier pww.txt ; j'ai regardé et il n'existe sur aucune autre machine que sur la mienne
    (d'ailleurs au passage vous n'auriez pas un outil de recovery pour retrouver ce fichier ; ce qui me permettrait de savoir quelles données ont été hackés)

    voila , voila

    en vous remerciant encore pour vos conseils

    a++

    David
    0