Se connecter / S'enregistrer
Votre question

[Résolu] virus RemAdmPS-Kill dans PSEXESVC.exe

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Septembre 2007 12:54:20

Salut

besoin d'un conseil là :
mon antivirus (MacAfee Virus Scan) m'a détecté un virus virus RemAdmPS-Kill dans C:/WINNT/system32/PSEXESVC.exe
(je suis sous WIN2000 au passage)

Après une petite recherche, il s'agirait d'une backdoor initialement utilisé par les administrateurs pour gérer des machines, mais qui a été détourné pour faire des virus.
J'ai demandé à mon administrateur réseau si c'est lui qui m'a mis ça (mon PC est connecté au réseau de l'institut où je bosse), il me dit que non...
Chose un peu étrange, je voit le fichier en cause, mais si je refais un scan, il ne me le détecte plus..... (pas encore essayé en mode sans échec)

j'ai fais tourné Hijackthis, voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 12:35:35, on 13/09/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\NetDrive\wdService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4mon.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\logiciels\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B5E697-8B2B-4EC6-AFDC-05AE7E093A61}: NameServer = 129.194.8.7,129.194.4.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = unige.ch
O17 - HKLM\System\CS1\Services\Tcpip\..\{22B5E697-8B2B-4EC6-AFDC-05AE7E093A61}: NameServer = 129.194.8.7,129.194.4.6
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = unige.ch
O17 - HKLM\System\CS2\Services\Tcpip\..\{22B5E697-8B2B-4EC6-AFDC-05AE7E093A61}: NameServer = 129.194.8.7,129.194.4.6
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = unige.ch
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\NetDrive\wdService.exe

On retrouve la bêbête en O23

Qu'est-ce que vous me conseillez ?
Est-ce que je détruis simplement le fichier ? est-ce que je le fixe via HJT ? Est-ce qu'il faut le neutraliser dans le registre ? Comment savoir s'il le programme a fait d'autres modifs ?

Merci !

Autres pages sur : resolu virus remadmps kill psexesvc exe

a b 8 Sécurité
13 Septembre 2007 13:29:29

Re,

----------
-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
Double clique sur PsExec
Type de démarrage : "Désactiver"
Clique en bas sur "Arrêter"
Valide les changements.
-----
Ouvre Hijackthis puis:
-> Open the Misc Tools Section
-> Delete an NT Service
Tape PSEXESVC puis valide.
----------

Supprime ce fichier :
C:\WINNT\System32\PSEXESVC.EXE
13 Septembre 2007 17:03:07

ok
j'ai fait tout ça, je pense que ça a bien supprimé cette backdoor
Mais est-ce que tu penses qu'il y a un risque que des modifications aient déjà été faites ? On peut le savoir ça ? Au cas où, qd j'ai fait la 1ere etape, le PsExec était sur manuel mais déjà arrêté

Merci en tous cas
Contenus similaires
a b 8 Sécurité
13 Septembre 2007 17:21:38

Reposte un rapport Hijackthis ;) 
13 Septembre 2007 17:51:23

le vla :

Logfile of HijackThis v1.99.1
Scan saved at 17:46:44, on 13/09/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\Program Files\NetDrive\wdService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\tp4mon.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINNT\System32\NMSSvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\logiciels\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B5E697-8B2B-4EC6-AFDC-05AE7E093A61}: NameServer = 129.194.8.7,129.194.4.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = unige.ch
O17 - HKLM\System\CS1\Services\Tcpip\..\{22B5E697-8B2B-4EC6-AFDC-05AE7E093A61}: NameServer = 129.194.8.7,129.194.4.6
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = unige.ch
O17 - HKLM\System\CS2\Services\Tcpip\..\{22B5E697-8B2B-4EC6-AFDC-05AE7E093A61}: NameServer = 129.194.8.7,129.194.4.6
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = unige.ch
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\NetDrive\wdService.exe

Je ne vois rien d'anormal a priori...

So what ? :-)
a b 8 Sécurité
13 Septembre 2007 18:26:02

Re,

Fix les lignes en italique ci-dessous avec Hijackthis : AIDE EN IMAGES

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
13 Septembre 2007 22:31:56

euh je crois qu'elles me servent ces deux lignes !
Petite précision, mon PC est un laptop IBM avec un trackpoint à la place de la souris, et après verif, t4mon.exe gère ce trackpoint.
Quant à Promon.exe, c'est normalement un processus Intel qui gère la carte ethernet.
Donc à moins que j'ai loupé qqchose, je crois que j'en ai besoin (je l'aime bien mon trackpoint moi :-))
isn't it ?

Merci en tous cas !
a b 8 Sécurité
14 Septembre 2007 16:39:01

Je pensais que tu ne t'en servais pas.
Encore des soucis ?
14 Septembre 2007 23:22:31

non, tout a l'air ok
Merci !
a b 8 Sécurité
15 Septembre 2007 12:09:02

Bon surf ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS