service "change me please"

[Basphet]

Salut a tous.

 

J'ai un gros souci sur une install toute neuve de 2000Pro.

 

J'ai remarqué une activité anormale sur ma carte réseau reliée à ma FreeBox.

 

Mon antivirus pourtant a jour n'a rien détecté. J'ai passé tous les patchs de sécurité Microsoft et le SP4 avant de relier mon PC a Internet...

Voila ce que j'ai remaqué :

 

1/. J'ai de temps en temps un ".exe" ou un "p.exe" qui se crée à la racine de C: ou dans Winnt et qui s'execute en permanence. Bien entendu, impossible de tuer le processus...

 

2/. J'ai un service qui se nomme "change me please" (description : "This is it, you're dead"... ARF) qui était démarré. Je l'ai désactivé mais je n'arrive pas à le supprimer. Dans la base de registre, toutes les clefs le concernant ne peuvent etre supprimées...

 

Voici a tous hasards mon dernier log hijack mais je n'y voie rien d'annormal...

 

Logfile of HijackThis v1.99.1

Scan saved at 00:23:27, on 20/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINNT\system32\MSsvc32.exe

C:\WINNT\system32\mmc.exe

C:\WINNT\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

G:\Sauvegarde C 18AUG\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [MSsvc322] C:\WINNT\system32\MSsvc32.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe

 

J'aurai bien réinstallé puisque je n'ai encore installé que le système et aucune appli, mais C déjà la 2ème fois que je le fais. A chaque fois je casse toutes mes partitions et j'installe Windows avec un CD original Microsoft et un CD que j'ai gravé et déja de nombreuses fois utilisé pour les patchs de sécurité MS...

 

Quelqu'un a une idée ?

[Thanos]

salut Basphet

 

visiblement ton systeme est infecté:

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe

Added by the W32/Cuebot-D worm.

 

est ce que tu as déroulé la procédure? passé antivir en mode sans échec ,nettoyé

 

les fichiers temporaires...?

 

Je démarre ton analyse.

[Thanos]

-Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

-Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Passe par "services.msc" et désactive le service suivant=> Microsoft SSL

 

 

-Démarre HijackthisDo a system scan only, assure toi que la caseMake Backups before fixing items est activée et coche les lignes suivantes :

O4 - HKLM\..\Run: [MSsvc322] C:\WINNT\system32\MSsvc32.exe

 

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe

-Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

- C:\WINNT\system32\MSsvc32.exe=>le fichier

- C:\WINNT\system32\ssl.exe=>le fichier

=>si tu ne les trouve pas utilise la fonction rechercher de l'explorateur.

 

-Exécute EasyCleaner Inutiles et Registre seulement.Ne touche pas à la fonction doublon.

 

redémarre et poste un nouveau log hijack

[Basphet]

YAY merci pour ta réponse rapide Charles (J'èspère qu'il faut beau à Walnutt Grove )

 

J'essaie ca de suite et je tiens au courant...

[Basphet]

Bon c'est fait.

Mon nouveau log Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:19:15, on 20/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINNT\explorer.exe

G:\Sauvegarde C 18AUG\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

Par contre les services "change me please" et "microsoft ssl" sont toujours là. Désactivée et aparemment inopérants, mais il n'y a pas moyen de les enlever completement ?

 

En tous cas c'est dejà super je vais continuer à surveiller mais ca à l'air d'aller mieux.

 

Merci encore Charles et qu'un oiseau chie sur la tete de mme Olson...

[Thanos]

salut Basphet

Merci encore Charles et qu'un oiseau chie sur la tete de mme Olson... icon_lol.gif

merci de la part de Laura

Par contre les services "Par contre les services "change me please" et "microsoft ssl" sont toujours là

il va falloir aller faire un tour du coté de la base de registre pour se débarrasser de cette

 

daube. Avant cela, puisque tu me parles de "Change me please",que je n'ai pas

 

vu sur ton log(il était déjà désactivé?) ;j'aimerai que tu vérifies ceci=>

 

redémarre le PC, en mode sans échec et fais une recherche sur le dd

-C:\WINNT\winxphost.exe=>vire le fichier

- rdriv.sys =>dans system32 probablement , lance une recherche! et vire le

 

 

par ailleurs, assure toi qu'il n'y ait pas de fichier "lsass" au mauvais endroit:

 

C:\WINNT\lsass.exe=>virus

 

C:\WINNT\\system32\lsass.exe=>légitime

 

Ensuite va dans Démarrer-Exécuter =>tape "regedit" et va à l"adresse

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

 

et vire les clés relatives aux deux services incriminés.Lance une recherche dans la

 

base de registre.

Pour plus de securité avant de manipuler la BDR, fais une sauvegarde on ne

 

sait jamais avec l'outil suivant:

 

erunt=> http://www.larshederer.homepage.t-online.de/erunt/

 

si tu n'est pas sûr poste d'abord ce que tu as trouvé!

Modifié le 20 août 2005 par charles ingals