Forum Clubic

Problème avec un exécutable

Bonjour,

Ceci est mon premier post donc soyez indulgent svp:oui:

Sinon mon probleme est le suivant: Un .exe du doux nom de “bjhoczhpma.exe” essai de se connecter au web (je dit essai car je l’ai bloqué). Ensuite, cet .exe est (d’après le firwall) dans le dossier C:\documents and settings\utilisateur\local settings\application data or quand je me rend dans ce dernier aucunes trace de l’.exe (Pour info je vois les fichiers caché). Je garde le meilleur pour la fin, avec stater (programme permettant de gerer les programmes au demarrage) je m’apperçoit que cet .exe s’éxecute au demarrage de l’ordi(grâce à une clé de registre), seul petit hic: il n’apparait pas dans les processus:pt1cable:

Un scan avec NOD32 et kaspersky on-line dans le dossier situé plus haut n’a rien donné.

Je voulais donc savoir d’où cette .exe fantome qui d’après starter pèse 0 octets…

Merci d’avance pour vos reponse,

     Sp@rks

Edité le 02/01/2008 à 21:16

Ce fichier est en fait crée par un autre fichier…

donc essai:
SpybotSD, MAJ, SCAN et Vaccination

ici www.clubic.com…

si tjrs rien “HijackThis” ici

HijackThis

et post le scan

a+
Edité le 02/01/2008 à 15:30

Bonjour et merci,

Alors, Spybot n’a rien donnée et voici mon log [spoiler]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:27, on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\ATITool\ATITool.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\tcpsvcs.exe
D:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\podXP\podXP.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Program Files\Winamp\winamp.exe
D:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\Starter.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [NVMixerTray] “C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe”
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [egui] “D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice
O4 - HKLM…\RunOnce: [Spybot - Search & Destroy] “C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe” /autocheck
O4 - HKUS\S-1-5-19…\RunOnce: [nltide1] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” “%SystemRoot%\System32\syssetup.dll” (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,4,N (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\RunOnce: [nltide1] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” “%SystemRoot%\System32\syssetup.dll” (User ‘SERVICE RÉSEAU’)
O4 - Global Startup: ATITool.lnk = D:\Program Files\ATITool\ATITool.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: podXP.lnk = C:\Program Files\podXP\podXP.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - webscanner.kaspersky.fr…
O17 - HKLM\System\CCS\Services\Tcpip…{83D37791-BB14-44BF-AC1A-0C583076DE7A}: NameServer = 192.168.1.1,80.10.246.129
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe


End of file - 6923 bytes
[/spoiler]

Ainsi qu’un screen du logiciel starter avec les proprietés du fichier:
http://img142.imageshack.us/img142/9376/problemefl6.th.jpg

Quand je decoche ce dernier, il se met à essayer de communiquer par touts les ports possibles (communications bloquées par le firewall) et quand j’ efface la clé de registre, il se met aussi à essayer de communiquer puis il réapparait dans starter [:pt1cable:] .
Et desfois apres suppression de la clé (j’ai essayer plusieurs fois) un 2ème ctfmon.exe apparaissait pour etre ensuite remplacer par bjhoczhpma.exe .

J’ai donc scanner ctfmon.exe avec nod32 et kaspersky online, qui n’ont rien donné.

Donc je sais toujours pas d’ou viens cette clé fantome…

Merci d’avance,

         Sp@rks

PS: j’ai oublié de dire, quand il essaie de communiquer ce n’est jamais vers la même adresse IP…(si ca peut t’aider je peut poster le log de mon firewall)
Edité le 02/01/2008 à 16:57

Avec ton scan et Log “HijackThis”

post le ici:

www.hijackthis.de…

tiens moi au courant
a+

Salut,

ça ressemble pas mal à un cheval de Troie
essaie TheCleaner,
www.moosoft.com…
ce soft est le seul qui nous a permis, à un pote et
moi-même, de nous débarrasser d’un truc style XCFGHJYT.exe,
exe qui ouvrait des trucs partout, et qui changeait de nom tout le temps.

Mais, pour que tu puisses éradiquer ce genre de bébête, il faut commencer par désactiver
la restauration du système,
sinon, tu rechargeras le cheval à chaque fois.

ça m’a demandé 3 ou 4 heures entre les scans avec TheCleaner, avec les anti-virus
et le faire en mode normal, puis en mode sans échec.

mais j’y suis arrivé.:icon_biggrin:

Hijackthis.de n’a rien donné ensuite pour thecleaner le scan est lancé (il risque d’etre long vu qu’il y a 200Go de données à analyser). Je tiens à preciser que je serai étonné si ce logiciel trouve quelque chose vu que NOD32 n’a rien trouvé.:whistle:

D’ailleur au lancement de ce dernier, smartsecurity a detecter qu’un programme essayait de modifié the cleaner (il n’a donné aucune infos sur ce programme), j’ai refuser la modification.:diable:

Je vous tiens au courant et encore merci:jap:
Edité le 02/01/2008 à 17:39

salut,
Redémarre et F8 pour un ‘log de boot’, il va t’en créer un ntbtlog.txt à la racine de x:\windows.
Regarde dans les 10 dernières lignes de ce fich s’il n’y aurait pas un fic *.sys (pilote) qui semble d’une provenance douteuse.
Par ex.
Loaded driver ??..
Loaded driver ??\C:\Documents and Settings…

Alors que les autres fic proviennent, normalement par ex.
Loaded driver \WINDOWS\system32
Loaded driver \SystemRoot\System32\Drivers\

Alors, thecleaner n’a rien trouvé et rien n’a l’air anormal dans le ntblog.txt.

Par contre, j’ai trouvé 4 clé dans le registre qui se raportes à bjhoczhpma.exe, je les ai supprimés et après redemarrage elles rapparaissent!!:@

Par contre j’ai remarqué quelque chose: bjhoczhpma.exe essai de se connecter quand je lance firefox…et que l’adresseIP avec laquel il communique est enfait celle des sites sur lesquel je vais…

Il est vraiment bizarre que le firewall me renvoie à un fichier qui n’existe pas…

Ce programme n’affecte pas mon systeme (mon PC tourne comme d’hab) mais bon, je n’aime pas avoir un truc qui se connecte au web sans savoir ce que c’est…

Merci d’avance,

         Sp@rks

ps: Vous trouverai en spoiler le log de mon firewall (l’ip correspond à google, c’est à dire ma page d’accueil)

[spoiler]02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1417 209.85.135.103:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1416 209.85.135.104:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1415 209.85.135.147:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1414 209.85.135.99:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1413 209.85.135.103:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1412 209.85.135.104:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1411 209.85.135.147:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1410 209.85.135.99:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1409 209.85.135.104:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1408 209.85.135.147:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1407 209.85.135.99:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe
02/01/2008 18:56:39 Communication denied by rule 0.0.0.0:1406 209.85.135.103:80 TCP Deny communication for bjhoczhpma.exe C:\Documents and Settings\Utilisateur\Local Settings\Application Data\bjhoczhpma.exe [/spoiler]

tu peux essayer la restauration systeme…

a+

Sa fait longtemps que j’ai essayer la resto systeme…sinon cet .exe c’est montré dans les processus pendant 2 min en bouffant 30mo de ma rame et 25% de mon CPU:@ . Par contre il s’execute via le compte utilisateur je vais voir si c’est aussi le cas en compte admin…

@+

   Sp@rks

re,
Télécharge ‘process explorer’ (de Sysinternals, enfin MS…) et lance le.
Puis en lancant FF, tu devrais voir des tâches supp/‘compagnons’ qui se lancent par la même occasion?

Malheureusement non, aucune tache ne se lance avec FF :peur: .
Avec IE, l’exe ne se magnifeste pas il est donc lier à FF . J’ai essayer en nettoyant le cache de FF, rien à faire…
En fait l’exe n’apparait pas dans les processus mais mon firewall me dit qu’il essaie d’acceder au web (ce que je refuse).

Le processus est apparu une fois pendant quelques secondes (vraiment une seule fois, en prenant 30Mo de RAM et 25% du CPU) mais il n’est pas réapparut depuis (pourtant il essaie toujours d’acceder au web ce c**:grrr: )

Mais dans cette histoire ce qui m’etonne, c’est qu’il apparait dans les objets de demarrage et il pèse 0 Octets (quand je fais propriété du fichier dans starter) et aussi quand je suit le chemin donner par starter, je ne trouve rien…

En attendant votre aide,

           Sp@rks

édit: Il est revenu et il interagit avec explorer.exe (d’apres process explorer) et je l’ai rajouter en quarantaine avec le chemin fournit par starter (le probleme n’est peut-etre pas encore resolu)

re-édit: J’ai trouvé!! j’ai pris le chemin donné par starter et je l’ai mis en quarantaine dans nod32 et depuis il n’essaie plus d’acceder au web et j’ai pu le supprimer des objets de demarrage. Il est donc desormais inactif, il n’y a plus qu’a attendre une mise à jour de nod32 pour le supprimer.
Merci de votre aide,

        Sp@rks

Edité le 02/01/2008 à 21:19