Hclean32.exe, rdsndin.exe & ntfsnlpa.exe
Résolu
nickytchao
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour à tous,
premièrement, merci, car si je poste, c'est que je n'y arrive pas seul, et que c'est grace à vous si aujourd'hui je pense avoir nettoyé presquetoute ma bécanne, car sans les gens comme vous qui font part de leurs expériences pour nous aider à virer toutes ces mer..., on y serait nettement plus (dedans...).
J'ai entendu parlé sur x post de x forum de hclean32, qui apparemment fait pas mal des siennes ce temps si.... voilà pour moi, tout a commencé il y a 3 semaines, j'ai choppé je ne sais comment sur un site de jeu en flash une tollbar pourrie qui m'a envoyé vers un site x quand je l'ai refermé, jusque là, tout est normal. A ce moment précis une floppé de saloperie s'est incrusté dans le poste (pour l'essentiel dans system32), j'ai réussi a enlever la toolbar mais il reste des pop-up qui apparaissent quand je me lance sur le net, en début de journée....
-> Lorsque je me connecte Symentec hurle à cause de hclean32.exe et tente de le mettre en quarantaine, et ce dernier crée 2 autres executables, rdsndin et ntfsnlpa....jusqu'à aujourd'hui ces deux là été bloqués par ewido, mais ma protection auto s'est arrêté ce matin...comme je suis au boulot, ca me fait un peu chi..
Bref tout y est passé, des hijackthis, adaware, a², silentrunners, spybot, ccleaner, cwshredder..MAIS une fois lancé, ces deux fichiers s'ils ne sont pas shootés par ewido sont invisibles, sauf par SECURITY TASK MANAGER. Seulement lui, je ne l'aurai bientôt plus non plus...
Alors j'suis un peu sec, pke sauver des fichiers .reg et tout ca, vider des clés de registre etc.. c'est chouette, mais pas au boulot...
Je peux vous filer les rapports que vous voulez, mais je pense que ce petit morceau fourni par SilentRunner ce matin peut faire avancer les choses... J'ai cru comprendre qu'hclean32 jouait avec Winlogon, apparemment la piste est là...
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csttr.exe" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
Si vous souhaitez j'ai sauver le détail des deux fichiers suspects dans Security task manager aussi, si ca vous intéresse...
Et si vous voulez autre chose, n'hésitez pas, j'ai tout l'attirail je pense lol...
Merci!!
nickytchao
premièrement, merci, car si je poste, c'est que je n'y arrive pas seul, et que c'est grace à vous si aujourd'hui je pense avoir nettoyé presquetoute ma bécanne, car sans les gens comme vous qui font part de leurs expériences pour nous aider à virer toutes ces mer..., on y serait nettement plus (dedans...).
J'ai entendu parlé sur x post de x forum de hclean32, qui apparemment fait pas mal des siennes ce temps si.... voilà pour moi, tout a commencé il y a 3 semaines, j'ai choppé je ne sais comment sur un site de jeu en flash une tollbar pourrie qui m'a envoyé vers un site x quand je l'ai refermé, jusque là, tout est normal. A ce moment précis une floppé de saloperie s'est incrusté dans le poste (pour l'essentiel dans system32), j'ai réussi a enlever la toolbar mais il reste des pop-up qui apparaissent quand je me lance sur le net, en début de journée....
-> Lorsque je me connecte Symentec hurle à cause de hclean32.exe et tente de le mettre en quarantaine, et ce dernier crée 2 autres executables, rdsndin et ntfsnlpa....jusqu'à aujourd'hui ces deux là été bloqués par ewido, mais ma protection auto s'est arrêté ce matin...comme je suis au boulot, ca me fait un peu chi..
Bref tout y est passé, des hijackthis, adaware, a², silentrunners, spybot, ccleaner, cwshredder..MAIS une fois lancé, ces deux fichiers s'ils ne sont pas shootés par ewido sont invisibles, sauf par SECURITY TASK MANAGER. Seulement lui, je ne l'aurai bientôt plus non plus...
Alors j'suis un peu sec, pke sauver des fichiers .reg et tout ca, vider des clés de registre etc.. c'est chouette, mais pas au boulot...
Je peux vous filer les rapports que vous voulez, mais je pense que ce petit morceau fourni par SilentRunner ce matin peut faire avancer les choses... J'ai cru comprendre qu'hclean32 jouait avec Winlogon, apparemment la piste est là...
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csttr.exe" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
Si vous souhaitez j'ai sauver le détail des deux fichiers suspects dans Security task manager aussi, si ca vous intéresse...
Et si vous voulez autre chose, n'hésitez pas, j'ai tout l'attirail je pense lol...
Merci!!
nickytchao
A voir également:
- Hclean32.exe, rdsndin.exe & ntfsnlpa.exe
- .Exe - Télécharger - Divers Utilitaires
- Winrar exe - Télécharger - Compression & Décompression
- Bat to exe - Télécharger - Édition & Programmation
- Video exe - Télécharger - Conversion & Codecs
- Whatsapp .exe - Télécharger - Messagerie
26 réponses
re-bonjour messieurs!
Bon voilà, j'ai fais toute la manip, je n'ai rien oublié, tous les fichiers ont été shootés SAUF csttr.exe(pas là)
mais je ne peux pas faire le scan en ligne, je n'ai plus accés au net.. (j'ai encore la messagerie outlook du boulot, mais plus la connexion à la toile...oups...)
Ca peut être du à la manip? ou j'ai pas de bol et j'ai un 2ème soucis?
Merci!
Bon voilà, j'ai fais toute la manip, je n'ai rien oublié, tous les fichiers ont été shootés SAUF csttr.exe(pas là)
mais je ne peux pas faire le scan en ligne, je n'ai plus accés au net.. (j'ai encore la messagerie outlook du boulot, mais plus la connexion à la toile...oups...)
Ca peut être du à la manip? ou j'ai pas de bol et j'ai un 2ème soucis?
Merci!
Salut, pas de problème:
Merci!
Logfile of HijackThis v1.99.1 Scan saved at 16:41:33, on 20/09/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\Program Files\Symantec AntiVirus\SavRoam.exe C:\WINNT\system32\MSTask.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINNT\system32\RUNDLL32.EXE C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe C:\WINNT\system32\internat.exe C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE C:\Program Files\A Note\A Note.exe C:\Program Files\Microsoft Office\Office\EXCEL.EXE D:\Perso\Raccourcis\Sécu\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: A Note.lnk = C:\Program Files\A Note\A Note.exe O4 - Global Startup: Microsoft Outlook.lnk = C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - http://components.metastream.com/MTSInstallers/MetaStream3.cab O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} - http://"IPboulot"/officescan/clientinstall/setupini.cab O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} - http://"IPboulot"/officescan/clientinstall/setup.cab O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} - http://"IPboulot"/officescan/clientinstall/RemoveCtrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125490736126 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = "boulot".COM O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = "boulot".COM O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = "boulot".COM O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
Merci!
salut
tu n'as toujours pas recupéré ta connection ?
le chemin doit etre un peu différent sur win2000
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement" ou alors rentre manuellement les dns.
valide avec ok
a+
tu n'as toujours pas recupéré ta connection ?
le chemin doit etre un peu différent sur win2000
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement" ou alors rentre manuellement les dns.
valide avec ok
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut moe,
oui le problème de connexion venait de là, plus de DNS. Pas de soucis ce matin lors de la connexion, ni hclean, ni les autres...
Ca a l'air d'aller, en tout cas merci et bravo!
Est-il possible d'avoir des explications sur le fix.reg, et aussi sur hclean32 si quelqu'un sait ce qu'il est capable de faire, par exemple, ca peut servir!
Merci!!
oui le problème de connexion venait de là, plus de DNS. Pas de soucis ce matin lors de la connexion, ni hclean, ni les autres...
Ca a l'air d'aller, en tout cas merci et bravo!
Est-il possible d'avoir des explications sur le fix.reg, et aussi sur hclean32 si quelqu'un sait ce qu'il est capable de faire, par exemple, ca peut servir!
Merci!!
salut
content pour toi
tu pourras touver quelques infos ici:
http://www.sophos.com/virusinfo/analyses/trojruindlb.html
la difficulté, c'est qu'il faut passer par plusieurs progs pour le cerner, hijackthis, ne voyant pas tout.
Pour hc.bat, c'est un prog perso qui essaye de vérifier la présence de certains fichiers connus dans ce type d'infection.
Et il vérifie cette clé, crée par le trojan:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"pgtshlld"
"gib_ogol"
"nidnsdr"
"23naelch"
"aplnsftn"
"23rtcdao
ou on peut lire le nom des prossecus qui doivent etre crées ou téléchargés, le nom étant écrit à l'envers.
"23naelch"=hclean32.exe
Après, le reg est en fonction de ce que détecte silentrunners.
a++
content pour toi
tu pourras touver quelques infos ici:
http://www.sophos.com/virusinfo/analyses/trojruindlb.html
la difficulté, c'est qu'il faut passer par plusieurs progs pour le cerner, hijackthis, ne voyant pas tout.
Pour hc.bat, c'est un prog perso qui essaye de vérifier la présence de certains fichiers connus dans ce type d'infection.
Et il vérifie cette clé, crée par le trojan:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"pgtshlld"
"gib_ogol"
"nidnsdr"
"23naelch"
"aplnsftn"
"23rtcdao
ou on peut lire le nom des prossecus qui doivent etre crées ou téléchargés, le nom étant écrit à l'envers.
"23naelch"=hclean32.exe
Après, le reg est en fonction de ce que détecte silentrunners.
a++
