[résolu]malekal ou conseillé sécu

[angelique]

hello,

 

Je t'interpelle juste pour une question sur clean [ http://www.malekal.com/download/clean.zip ],que j'ai passé sur un pc:

 

Script clean par Malekal_morte - http://www.malekal.com

 

*** SUPPRESSION DES FICHIERS

 

 

 

*** Suppressions de trojans/vers sur...

C:\WINDOWS\bootstat.dat FOUND

C:\WINDOWS\inf\unregmp2.exe FOUND

 

 

 

*** Suppressions des adware connus...

 

 

Je trouve pas grd chose sur bootstat.dat

 

et unregmp2.exe est tjrs present [utilitaire d'installation du lecteur windows microsoft]

 

As tu des infos la dessus stp???

 

Merci

 

 

nb:j'ai vu ça sur unregmp2.exe et le bins avec kav

 

http://www.01net.com/editorial/254799/go/l...irus-se-bloque/

 

et

 

a² HiJackFree Détails des processus:

Nom du fichier: unregmp2.exe

Chemin/Path standard: %winpath%\inf\

[Hinweis: %winpath% ist üblicherweise c:\windows oder c:\winnt (Win NT4 und 2000)]

Clsid: 22d6f312-b0f6-11d0-94ab-0080c74c7e95

Système d'exploitation: Win 98/ME, Win NT4, Win 2000, Win XP, Win 2003

 

Nom du logiciel: Windows Media Player Setup

Nom de l'entreprise: Microsoft

Site de l'entreprise: http://www.microsoft.com/

Fait partie du produit: Windows Media Player

Fonctionne comme service: Nein

est une tâche visible Nein

 

Status: 0 - Keine Malware

Description: Windows Media Player Setup File

 

 

pourquoi clean "s'arrete" dessus comme found???

 

et bootstat.dat?? légitime ou pas??

http://support.microsoft.com/kb/309481 <----legitime

 

http://www.avira.com/fr/threats/section/fu...pigon.bm.1.html

 

....Les fichiers suivants sont créés:

 

– %WINDIR%\bootstat.dat <----- non legitime

– %WINDIR%\jautoexp.dat

– %WINDIR%\unins000.dat

 

......

 

[angelique]

bon...,je vais rajouter qlqs rapport au cas ou qlq1 aurait une idée!

 

xp sp1 derriere netgear dg834gt et za pro/antivir[+guard]/ewido[+guard]

 

pour info:

 

1/bootstat.dat n'est plus là

2/unregmp2.exe,lui est toujours là

 

Logfile of HijackThis v1.99.1

Scan saved at 16:25:54, on 22/07/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\KYE\RF Wireless PowerScroll Mouse\gnetmous.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\rmctrl.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\ASUS\Probe\ASUSPROB.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Documents and Settings\rat\Bureau\Tcpview.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\hijack1.99\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Gnetmous] C:\Program Files\KYE\RF Wireless PowerScroll Mouse\gnetmous.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [beClean Start-Up Clean] C:\Program Files\BeClean\BeClean.exe /s

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Probe V2.21.08.lnk = ?

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

rapport clean:

 

Script clean par Malekal_morte - http://www.malekal.com

 

*** SUPPRESSION DES FICHIERS

 

 

 

*** Suppressions de trojans/vers sur...

C:\WINDOWS\inf\unregmp2.exe FOUND

 

 

 

*** Suppressions des adware connus...

 

C:\WINDOWS\inf\unregmp2.exe FOUND ------->mais jamais supprimé

 

rapport blacklight:

 

07/22/06 16:29:00 [info]: BlackLight Engine 1.0.42 initialized

07/22/06 16:29:00 [info]: OS: 5.1 build 2600 (Service Pack 1)

07/22/06 16:29:01 [Note]: 7019 4

07/22/06 16:29:01 [Note]: 7005 0

07/22/06 16:29:04 [Note]: 7006 0

07/22/06 16:29:05 [Note]: 7011 1684

07/22/06 16:29:05 [Note]: 7026 0

07/22/06 16:29:05 [Note]: 7026 0

07/22/06 16:29:07 [Note]: FSRAW library version 1.7.1019

07/22/06 16:31:56 [Note]: 7007 0

 

rapport ewido:

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 16:44:49 22/07/2006

 

+ Scan result:

 

 

 

Nothing found.

 

 

 

::Report end

 

perso,ça m'a l'air propre,

que penser de unregmp2.exe??

 

merci

[angelique]

Malekal,

 

ça apparait dans ton cmd,pourquoi?

 

%windir%\inf\unregmp2.exe call del2

[juddix]

Je sais pas trop si ça va t' aider, http://www3.ca.com/securityadvisor/pest/pest.aspx?id=20983

 

Références d'exécution automatique :

 

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\kb837272

[Malekal_morte]

Malekal,

 

ça apparait dans ton cmd,pourquoi?

 

%windir%\inf\unregmp2.exe call del2

 

Bonjour,

 

Parce que c'est une boulette de ma part.

Par contre, ils ont été retiré y un moment, tu viens de le télécharger le script?

[angelique]

Par contre, ils ont été retiré y un moment, tu viens de le télécharger le script?

 

 

Je dirais que j'ai le script sur clé depuis 10jours environ.

 

Effectivement,j'ai rechargé tout juste ton cmd et unregmp2.exe et bootstat.dat n'apparraissent plus.

 

Qu'en est il de la suppression de bootstat.dat[trop tard!!!!!],vu sur certaines de tes interventions,ce fichier etait legitime??Il a été supp chez moi lol.

 

Unregmp2.exe restant ineffaçable/insupprimable^^,tant mieux![du moins le Windows Media Player Setup ]

 

unregmp2.exe[kb837272]en runonce est lui nefaste apparemment???selon le lien de Tourengeaux

Des infos??

 

Merci

[Malekal_morte]

bootstatt donne des infos sur l'état du système au boot précédent, qq chose comme ça.

Il est souvent infectieux, m'enfin je l'ai enlevé.

 

unregmp2.exe est néfaste dans Program Files.

[angelique]

Entendue!!!

 

pourquoi pas rajouter %programfiles%\unregmp2.exe call del2 ...??????? dans ton cmd

 

Merci pour tes confirmations.