connexions bizares avec ATMAXMON.EXE et DDEDENRL.EXE

[samizdat]

Bonjour,

 

Je suis sous WIN 2000Pro pack4 avec toutes les mises à jours possibles des tous mes programmes...

Mon firewall Norton me détecte deux connexions bizares

la première :

ATMAXMON.EXE et me disant que c'est un programme situé dans WINNT/System32... et cet exécutable n'y est pas

la deuxième:

DDEDENRL.EXE qu'il me situe dans Program Files/INTTIONS il n'y est pas non plus et de plus ce sous répertoire n'existe pas dans mon program files

 

Evidemment avant de les rechercher, j'ai rendu visibles tous les fichiers et dossiers cachés ainsi que les répertoires et fichiers système

 

J'ai scanné avec spybot et adware (mis à jour) et les antivirus en ligne de chez secuser, panda, et norton. j'ai fait un scan avec Process explorer et HijackThis (en français) rien d'anormal.

Bien sur par précaution, j'ai bloqué ces programmes signalés comme dangereux.

si je les supprime de mes paramètres de configuration du firewal, ils refont dans les cinq minutes une nouvelle tentative de connexion.

 

Ma question est la suivante :

 

c'est quoi ces bestioles ?

est-ce des programmes indispensables au fonctionnement de ma bécane (alors pourquoi je ne les trouve pas dans mon explorer ?) ou des intrusions.

Les IP attachés à ces programmes ne répondent pas au ping de Whos-IP et sont sans adresse de FAI

 

Merci de votre aide

 

__________________________________________________________________________

"La liberté n'est pas de faire ce que l'on veut, mais de vouloir ce que l'on fait" Bossuet

[Jack_Burton]

Bonjour et bienvenu sur le forum sécurité de zebulon,

 

Ces 2 processus détectés par le firewall Norton me sont totalement inconnus!!

Je t invite dans un premier temps a suivre notre procédure préliminaire :

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur : megataupe

[samizdat]

j'ai trouvé l'origine du problème, j''explique la genèse :

 

1- c'est mon firewall qui me signalé une connexion classé à risque de Winnt/system32/ATMAXMON.EXE et Program files/inttions/DDEDENRL.EXE

2- ces fichiers étaient invisibles dans mon explorer ainsi que le sous-répertoire "inttions"

2- hijacthis et process explorer n'ont rien détecté

3- aucune détection avec les scan des AV en ligne et les les antispyware

4- dans mode sans echec, les fichiers et le sous répertoires sont devenus visibles.

5- J'ai fait un copier coller sur une clef USB des 80Mo trouvés et je les ai effacé de mon DD

6- depuis ma clefs USB je vais de surprise en surprise, il y avait toute mon activité informatique, mes URL, mes fichiers ouverts etc... 2500 fichiers archives.

Heureusement que mon firewall a bloqué l'activité...

 

soit c'est une infiltration de la police, soit un hacker...

pourquoi ?

 

En tout cas je conseille à tout le monde d'aller voir avec mode sans echec si un sous répertoire Program Files/inttions existe et de supprimer tout de ce qu'il y a dedans...

 

Je vais aller porter plainte à la police avec les fichiers.... intrusion caractérisée (sans les archives bien sur )

[Mark]

Salut samizdat, bonsoir Jack

 

Pardonnez cette brève intrusion. Ce que tu as là, c'est le rootkit Apropos : complètement invisible en mode Normal, sous répertoire louche (et aléatoire) dans Program Files, et fichier aléatoire dans Système32.

 

Assurons-nous qu'il n'en reste rien ;

 

Imprime ces instructions, ou colle-les dans un fichier texte, pour lecture en Sans Échec.

 

Télécharge AproposFix (de Swandog46) du lien suivant :

http://swandog46.geekstogo.com/aproposfix.exe

 

Sauvegarde-le sur ton Bureau, mais ne le lance pas.

 

Redémarre en mode Sans Échec, et voici comment :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

 

 

Double-clique sur aproposfix.exe et décompresse-le sur ton Bureau. Ouvre le dossier "aproposfix" situé sur ton Bureau et lance RunThis.bat. Suis la procédure qui s'affiche.

 

Quand l'outil aura terminé son travail, redémarre en mode Normal, poste un nouveau rapport HijackThis! ainsi que tout le contenu du fichier log.txt situé dans le dossier "aproposfix".