%temp%\nsx3\nsscm.dll et antimalware doctor

Fermé
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011 - Modifié par lau1664 le 17/02/2011 à 23:08
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 févr. 2011 à 16:09
Bonjour,
Tout a commencé, il y a 2 jours, j'ai chopé le antimalware doctor.
Il télécharge des truc qui fait des redirection de google, bloque le pare feu, centre de sécurité, restauration de windows et fait des messages d'erreur avec svchost.exe, explorer.exe et winlogon.exe.
Bref, j'étais dans la mouise!
J'ai réussi avec une reparation de xp (car j'ai cru que les fichiers étaient infectés), Malwarebytes et nod32 en ligne.
Il m'a donné du fil à retordre et j'ai presque réussi à l'éradiqur.
Cependant dans mon temp, j'ai un répertoire avec une dll (nsscm.dll) et le repertoire est de la forme xxx3.tmp (exemple nsx3.tmp).
Je les supprimes et hop, au redemarrage du PC, il réaparait.
Il est crée par quel processus, à quel moment? Je voudrais bien m'en débarraser.

Merci d'avance


A voir également:

12 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
17 févr. 2011 à 23:15
Salut

Pas malicieux à priori : https://www.broadcom.com/
0
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011
17 févr. 2011 à 23:30
merci de ta réponse.
Ca me rassure.
Elle fait partie de quel soft? Sur un autre ordi, il n' y a pas de nsscm.dll dans le temp.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
17 févr. 2011 à 23:33
Aucun en particulier.
Je pense que c'est créé au moment de la décompression par les programmes d'installation de type nullsoft (NSIS) : https://nsis.sourceforge.io/NsSCM_plug-in
(c'est un équivalent d'installshield si tu connais).

0
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011
17 févr. 2011 à 23:45
Oui je connais.
Ce qui est bisard, de nullsoft, je n'ai que winamp d'installé et il ne se lance pas au démarrage.
J'ai regardé la taille du fichier et n'ont pas la même taille
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011
Modifié par lau1664 le 18/02/2011 à 09:23
Celui de nulsoft a une taille de 5632 octets tandis que celui qui est dans le temp fait 5120 o.
Je pense que ca doit être une version modifié pour installer des trucs au démarrage.
Existe un outil pour avoir les activités au démmarage.

J'ai trouvé dans la base de registre :
HKLM/system/controlset003/control/session manager Pendingfileoperation
"\??\r:\Temp\nss3.tmp\nsSCM.dll

\??\r:\Temp\nss3.tmp\

"

Il y a aussi dans le currentcontrolset.

J'ai remarqué aussi que l'ouverture de session est plus longue.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
18 févr. 2011 à 10:12
à mon avis, y avait avant ton infection.

On peux regarder de plus près si tu veux :

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

0
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011
18 févr. 2011 à 14:23
Merci,
J'ai fait un scan et voici le résultat:
https://pjjoint.malekal.com/files.php?id=adcf0c60111115
S'il y a des logiciels a enlever pour y voir plus clair, il n'y a pas de soucis.

J'ai regardé comme ca. J'ai trouvé une dll à nom bisard : ntcheck3232bx1.dll.
Qu'est ce tu en pense?
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
18 févr. 2011 à 14:29
c'est quoi cette horreur :
O4 - HKLM..\Run: [DumpTeam] C:\CrackWD9\DumpTeam_Pack_v4.5a6.exe ()

Vas sur http://upload.malekal.com
Clic sur parcourir.
navigue et vas cherche ce : C:\CrackWD9\DumpTeam_Pack_v4.5a6.exe
Clic sur envoyer.
0
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011
18 févr. 2011 à 14:35
C'est un simulateur de clef pour windev. Il était dejà là depuis un bon nombre d'années.
C'est moi même qui 'a installé.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
18 févr. 2011 à 14:51
alors si tu sais ce que c'est, le reste du rapport est OK.
0
lau1664 Messages postés 8 Date d'inscription jeudi 3 mai 2007 Statut Membre Dernière intervention 18 février 2011
18 févr. 2011 à 14:54
merci de ton aide
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
18 févr. 2011 à 16:09
Par contre :

Ton Windows n'est pas à jour, il contient des failles de sécurités, les virus passent par ces failles pour infecter ton ordinateur.
Ton Windows est donc [b]vulnérable[/b] et peut permettre l'infection de ton PC.

Pour plus d'informations sur les failles de sécurités distantes, lire l'article suivant : https://forum.malekal.com/viewtopic.php?t=3452&start=

Installe le Service Pack 3 de Windows XP : http://download.microsoft.com/download/c/3/e/c3ea9fa6-d8e6-4832-8795-06dd27be9bc9/WindowsXP-KB936929-SP3-x86-FRA.exe

Fais les mises à jour Windows Update ensuite, voir : https://www.malekal.com/mises-a-jour-windows-update/
0