Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Rtuxffc.exe géré par Winlogon - Virus MSN

TiPopol

Par TiPopol
dans Analyses et éradication malwares

 Partager

Messages recommandés

TiPopol Junior Member

TiPopol

Posté(e)
Posté(e) (modifié)

bonjour,

 

J'ai quelques problèmes sur mon PC XP pro et j'ai découvert un exe qui essaie de communiquer avec Internet qui s'appelle rtuxffc.exe.

Il est dans C:\Windows\System32. C'est une appli 16 bit (je pense, type MSDos), qui est incopiable ni supprimable quand le PC est démarré.

Il date du 16/03/2008 17:00

Il fait 62.6 Ko (64 156 octets)

Avec ProcessXP, j'ai pu détecté qu'il était lancé dans le processus Winlogon.

Dans la BDR voici où je le trouve (lignes soulignées) :

 

1e clé :

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"AutoRestartShell"=dword:00000001

"DefaultDomainName"="RESIDENCE"

"DefaultUserName"="User"

"LegalNoticeCaption"=""

"LegalNoticeText"=""

"PowerdownAfterShutdown"="0"

"ReportBootOk"="1"

"Shell"="Explorer.exe"

"ShutdownWithoutLogon"="0"

"System"=""

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\rtuxffc.exe"

"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""

"SfcQuota"=dword:ffffffff

"allocatecdroms"="0"

"allocatedasd"="0"

"allocatefloppies"="0"

"cachedlogonscount"="10"

"forceunlocklogon"=dword:00000000

"passwordexpirywarning"=dword:0000000e

"scremoveoption"="0"

"AllowMultipleTSSessions"=dword:00000001

"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\

00,00,00

"LogonType"=dword:00000001

"Background"="0 0 0"

"DebugServerCommand"="no"

"SFCDisable"=dword:00000000

"WinStationsDisabled"="0"

"HibernationPreviouslyEnabled"=dword:00000001

"ShowLogonOptions"=dword:00000000

"AltDefaultUserName"="User"

"AltDefaultDomainName"="RESIDENCE"

"AutoAdminLogon"="1"

"LeakTrack"=dword:00000000

 

2e clé :

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\NetAppel\\NetAppel.exe"="C:\\Program Files\\NetAppel\\NetAppel.exe:*:Enabled:NetAppel"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"E:\\Temp\\utorrent.exe"="E:\\Temp\\utorrent.exe:*:Enabled:µTorrent"

"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"

"C:\\Program Files\\VoipBuster\\VoipBuster.exe"="C:\\Program Files\\VoipBuster\\VoipBuster.exe:*:Enabled:VoipBuster"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Orbitdownloader\\orbitdm.exe"="C:\\Program Files\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit"

"C:\\Program Files\\Orbitdownloader\\orbitnet.exe"="C:\\Program Files\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit"

"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\IEPro\\MiniDM.exe"="C:\\Program Files\\IEPro\\MiniDM.exe:*:Enabled:MiniDM"

@=""

"C:\\WINDOWS\\system32\\rtuxffc.exe"="C:\\WINDOWS\\system32\\rtuxffc.exe:*:Enabled:Flash Media"

 

 

Concernant cette dernière clé, je crois qu'il s'agit des autorisations du parefeu Windows, car dans ZoneAlarm, il est toujours avec un "?".

 

Votre avis SVP (je n'ai rien trouvé sur internet sur ce fichier).

D'avance merci.

Modifié par TiPopol

TiPopol Junior Member

TiPopol

Posté(e)
  • Auteur
Posté(e)

C'est encore moi.

 

J'ai l'impression que personne n'a entendu parler de ce fichier.

 

En tout cas, j'ai continué à mener des investigations :

Ma fille m'a dit que le PC semblait vérollé depuis le 16 Mars (même jour que la date du fichier).

Je n'ai pas encore d'autres précisions sur ce qu'elle a vu.

Je l'ai passé à Avast et Asquarred (A²) sans problème.

Vu le topic sur Avast vs. AntiVir, je vais peut-être essayer AntiVir.

 

Toutefois, en attendant j'ai voulu tenter une restauration, or, SURPRISE, il n'y a plus de calendrier dans l'utilitaire !

 

Je pense que les points de restauration sont toujours là, mais sans ce calendrier je ne peux y accéder.

 

Je ne sais pas depuis quand et si cela a un rapport avec ma première question, mais si quelqu'un a déjà eu le problème, ça serait sympa de m'aider, car je n'ai pas envie de reformater.

!aur3n7 Mega Power Member

!aur3n7

Posté(e)
Posté(e)

Bonjour TiPopol,

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\rtuxffc.exe"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\rtuxffc.exe"="C:\\WINDOWS\\system32\\rtuxffc.exe:*:Enabled:Flash Media"

 

 

Ces lignes sont très caractéristiques de la dernière infection MSN très à la mode ces derniers jour.

 

MSNFix devrait nettoyer cela sans souci mais laissons faire les experts qui viendront appoorter des éléments de réponse dès qu'ils auront de temps

 

 

++

Lien Rag Full Patch Member

Lien Rag

Posté(e)
Posté(e)
les experts qui viendront apporter des éléments de réponse dès qu'ils auront de temps

 

:P !aur3n7

 

Tipopol...Tu viens de faire connaissance avec l'un des experts du Net pour les outils de desinfection...c'est donc son outil que nous allons utiliser dans un premier temps..merci à lui.

 

Télécharge MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

 

[*] Redémarre ton PC en mode sans échec :

 

A la fin du chargement du BIOS, commencez à appuyer sur la touche F8

de votre clavier. Procédez ainsi jusqu'à ce que le menu des options

avancées de Windows apparaisse. Si vous commencez à appuyer sur la

touche F8 trop tôt, il est possible que certains ordinateurs affichent

le message "erreur clavier". Pour résoudre ce problème, redémarrez

l'ordinateur et essayez de nouveau.

En utilisant les flèches de votre clavier, sélectionnez Mode sans

échec dans le menu puis appuyez sur Entrée.

 

S'il y a plusieurs comptes, choisis ton compte personnel

 

[*] Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.

[*] Exécute l'option R.

[*] Si l'infection est détectée, exécute l'option N.

[*] Sauvegarde ce rapport sur ton bureau.

[*] Post moi ce rapport dans ta prochaine réponse.

TiPopol Junior Member

TiPopol

Posté(e)
  • Auteur
Posté(e)

Merci bcp.

C'était bien ça.

MSN, le même problème sur le poste de d'un pote avec sa fille (aussi !) qui était sur MSN à l'heure de la création de son fichier douteux (nom différent du mien mais de même taille), et la restauration Windows sans calendrier.

L'application de MSNFix a super bien marché.

Ouf !

Sujet marqué [Résolu]

A bientôt

TiPopol Junior Member

TiPopol

Posté(e)
  • Auteur
Posté(e)

Merci bcp.

C'était bien ça.

MSN, le même problème sur le poste de d'un pote avec sa fille (aussi !) qui était sur MSN à l'heure de la création de son fichier douteux (nom différent du mien mais de même taille), et la restauration Windows sans calendrier.

L'application de MSNFix a super bien marché.

Ouf !

 

Je confirme (à nouveau) qu'Avast ne voit rien (y compris avec un scan direct du fichier en question).

 

Je remets ce que j'ai transmis à mon pote pour résoudre son problème, histoire la solution soit complète pour ceux qui chercheraient :

----------------------------------------------------------------------

Propagé par MSN en cliquant sur un lien suivant le message :

Message de propagation :

"ta tof fais koi sur ce site :P"

"c'est pas toi"

 

Infos sur ce virus :

http://forum.malekal.com/viewtopic.php?f=57&t=9364

 

Solutions :

http://www.malekal.com/virus_MSN_c_est_pas_toi.php

(en bas de page)

 

Ou directement à cette page

(procédure qui a marché pour moi. Il faut être patient lors de l'exécution, cela peut demander plusieurs minutes entre étapes) :

http://sosvirus.changelog.fr/

--------------------------------------------------------------------

 

Je crois que je vais essayer AntiVir en place d'Avast !

 

Sujet marqué [Résolu]

A bientôt

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...