Votre question

$NtUninstallKB899587$\IEXPLORE.EXE

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Août 2006 19:54:38

Bonjour

Depuis quelques jours, mon firewall "BitDefender suite 9" me signale une alerte avec connexion demandée à partir du programme C:\WINDOWS\$NtUninstallKB899587$\IEXPLORE.EXE

J'ai remarqué environ 10 répertoires de ce type en fichiers cachés.
Chaque jour, le répertoire me semble différent.

L'adresse distance de la requête que j'ai tracée était :
http://whois.domaintools.com/68.178.232.99

résultat du whois :

  1. OrgName: Go Daddy Software, Inc.
  2. OrgID: GDS-31
  3. Address: 14455 N Hayden Road
  4. Address: Suite 226
  5. City: Scottsdale
  6. StateProv: AZ
  7. PostalCode: 85260
  8. Country: US
  9.  
  10. NetRange: 68.178.128.0 - 68.178.255.255
  11. CIDR: 68.178.128.0/17
  12. NetName: GO-DADDY-SOFTWARE-INC
  13. NetHandle: NET-68-178-128-0-1
  14. Parent: NET-68-0-0-0-0
  15. NetType: Direct Allocation
  16. NameServer: CNS1.SECURESERVER.NET
  17. NameServer: CNS2.SECURESERVER.NET
  18. Comment:
  19. RegDate: 2005-04-12
  20. Updated: 2005-11-11
  21.  
  22. RAbuseHandle: ABUSE51-ARIN
  23. RAbuseName: Abuse Department
  24. RAbusePhone: +1-480-624-2505
  25. RAbuseEmail: Whois Privacy and Spam Prevention by Whois Source
  26.  
  27. RNOCHandle: NOC124-ARIN
  28. RNOCName: Network Operations Center
  29. RNOCPhone: +1-480-505-8809
  30. RNOCEmail: Whois Privacy and Spam Prevention by Whois Source
  31.  
  32. OrgAbuseHandle: ABUSE51-ARIN
  33. OrgAbuseName: Abuse Department
  34. OrgAbusePhone: +1-480-624-2505
  35. OrgAbuseEmail: Whois Privacy and Spam Prevention by Whois Source
  36.  
  37. OrgNOCHandle: NOC124-ARIN
  38. OrgNOCName: Network Operations Center
  39. OrgNOCPhone: +1-480-505-8809
  40. OrgNOCEmail: Whois Privacy and Spam Prevention by Whois Source
  41.  
  42. OrgTechHandle: NOC124-ARIN
  43. OrgTechName: Network Operations Center
  44. OrgTechPhone: +1-480-505-8809
  45. OrgTechEmail: Whois Privacy and Spam Prevention by Whois Source


Mon historique bitdefender m'indique avoir envoyé 239 Bytes et reçu 29648 KBytes par cette requête étrange.

Résultat HijackThis :

  1. Logfile of HijackThis v1.99.1
  2. Scan saved at 19:16:58, on 28/08/2006
  3. Platform: Windows XP SP2 (WinNT 5.01.2600)
  4. MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  5.  
  6. Running processes:
  7. C:\WINDOWS\System32\smss.exe
  8. C:\WINDOWS\SYSTEM32\winlogon.exe
  9. C:\WINDOWS\system32\services.exe
  10. C:\WINDOWS\system32\lsass.exe
  11. C:\WINDOWS\system32\Ati2evxx.exe
  12. C:\WINDOWS\system32\svchost.exe
  13. C:\WINDOWS\System32\svchost.exe
  14. C:\WINDOWS\SYSTEM32\Ati2evxx.exe
  15. C:\WINDOWS\Explorer.EXE
  16. C:\WINDOWS\system32\LEXBCES.EXE
  17. C:\WINDOWS\system32\spoolsv.exe
  18. C:\WINDOWS\system32\LEXPPS.EXE
  19. C:\WINDOWS\ehome\ehtray.exe
  20. C:\WINDOWS\SOUNDMAN.EXE
  21. C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
  22. C:\Program Files\DAEMON Tools\daemon.exe
  23. C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
  24. C:\progra~1\softwin\bitdef~2\bdnagent.exe
  25. C:\progra~1\softwin\bitdef~2\bdswitch.exe
  26. C:\Program Files\iTunes\iTunesHelper.exe
  27. C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
  28. C:\WINDOWS\system32\ctfmon.exe
  29. C:\Program Files\adslTV\adslTV.exe
  30. C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
  31. [b]C:\WINDOWS\$NtUninstallKB899587$\IEXPLORE.EXE[/b]
  32. C:\WINDOWS\eHome\ehRecvr.exe
  33. C:\WINDOWS\eHome\ehSched.exe
  34. C:\WINDOWS\system32\svchost.exe
  35. C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
  36. C:\Program Files\iPod\bin\iPodService.exe
  37. C:\WINDOWS\system32\dllhost.exe
  38. C:\WINDOWS\eHome\ehmsas.exe
  39. C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
  40. C:\WINDOWS\system32\cmd.exe
  41. C:\Program Files\Mozilla Firefox\firefox.exe
  42. C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
  43. C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
  44. C:\Program Files\Softwin\BitDefender9\vsserv.exe
  45. c:\progra~1\softwin\bitdef~2\bdmcon.exe
  46. C:\WINDOWS\system32\NOTEPAD.EXE
  47. I:\Reinstallation\Downloads\Logiciels\HijackThis.exe
  48.  
  49. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <a href="http://www.google.fr/" rel="nofollow" target="_blank">http://www.google.fr/</a>
  50. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
  51. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  52. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  53. O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  54. O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
  55. O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
  56. O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  57. O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  58. O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
  59. O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
  60. O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
  61. O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
  62. O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
  63. O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
  64. O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~2\bdmcon.exe
  65. O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
  66. O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~2\bdnagent.exe"
  67. O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~2\bdswitch.exe"
  68. O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
  69. O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
  70. O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
  71. O4 - HKLM\..\Run: [EasyMod] C:\Program Files\EasyBox\EasyMod.exe
  72. O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
  73. O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
  74. O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  75. O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
  76. O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
  77. O4 - Startup: adsl TV.LNK = C:\Program Files\adslTV\adslTV.exe
  78. O4 - Startup: vlcom.lnk = C:\Program Files\VlcOM\vlcom.exe
  79. O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
  80. O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  81. O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
  82. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  83. O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
  84. O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
  85. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  86. O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  87. O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
  88. O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
  89. O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
  90. O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
  91. O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - <a href="http://www.mypixmania.fr/fr/fr/importer/MypixUploader.cab" rel="nofollow" target="_blank">http://www.mypixmania.fr/fr/fr/importer/MypixUploader.c...</a>
  92. O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - <a href="http://www.bitdefender.fr/scan8/oscan8.cab" rel="nofollow" target="_blank">http://www.bitdefender.fr/scan8/oscan8.cab</a>
  93. O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - <a href="http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130783177598" rel="nofollow" target="_blank">http://update.microsoft.com/windowsupdate/v6/V5Controls...</a>
  94. O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - <a href="http://drivers1.free.fr/telecharger.php?id=2&version=" rel="nofollow" target="_blank">http://drivers1.free.fr/telecharger.php?id=2&version=</a>
  95. O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - <a href="http://ax.emsisoft.com/asquared.cab" rel="nofollow" target="_blank">http://ax.emsisoft.com/asquared.cab</a>
  96. [b]O17 - HKLM\System\CCS\Services\Tcpip\..\{02169A47-0538-4D88-B38C-475164CC8575}: NameServer = 212.27.32.5,213.228.0.168,212.27.32.176,212.27.32.177
  97. O17 - HKLM\System\CS1\Services\Tcpip\..\{02169A47-0538-4D88-B38C-475164CC8575}: NameServer = 212.27.32.5,213.228.0.168,212.27.32.176,212.27.32.177
  98. O17 - HKLM\System\CS2\Services\Tcpip\..\{02169A47-0538-4D88-B38C-475164CC8575}: NameServer = 212.27.32.5,213.228.0.168,212.27.32.176,212.27.32.177[/b]
  99. O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
  100. O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
  101. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  102. O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  103. O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
  104. O23 - Service: DirectX Service (DirectLosp) - Unknown owner - c:\windows\system32\directx.exe
  105. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
  106. O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
  107. O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
  108. O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
  109. O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
  110. O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
  111. O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Certains points ne me plaisent pas trop mais je ne suis pas expert.
Quelqu'un aurait-il des infos ?

Merci d'avance

Autres pages sur : ntuninstallkb899587 iexplore exe

a b 8 Sécurité
28 Août 2006 19:56:32

C'est pas les mises a jour ?
28 Août 2006 21:10:13

Je ne pense pas ... ça le fait depuis quelques jours avec des adresses différentes à chaque reboot de la machine
????
Contenus similaires
4 Septembre 2006 17:24:25

Ayant les mises à jours automatiques de windows paramétrée sur "me prévenir si de nouvelles mises à jours sont disponibles", à chaque lancement de windows, mon pare-feu me pose la même question.

Dans c:\windows il y a tous les jours un nouveau répertoire caché $NtUninstallKB911280$\ contenant les fichiers suivants :
IEXPLORE.exe
rasmans.dll
spuninst\spuninst.exe
spuninst\spuninst.conf
spuninst\updspapi.dll
spuninst\spuninst.txt dont le contenu est le suivant :

DEL "c:\windows\$hf_mig$\kb911280\sp2qfe\rasmans.dll"
COPY "C:\WINDOWS\$NtUninstallKB911280$\rasmans.dll" "c:\windows\system32\rasmans.dll"
COPY "C:\WINDOWS\$NtUninstallKB911280$\rasmans.dll" "c:\windows\system32\dllcache\rasmans.dll"
COPY "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.txt" "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.tag"

Ces fichiers servent normalement à désinstaller les mises à jour successives de Windows sauf que je n'installe aucune mise à jour !




18 Octobre 2006 13:28:11

Petit "up" sans grandes convictions ... :sleep: 
25 Octobre 2006 19:53:53

Je viens de changer d'antivirus.
Avast m'a signalé l'alerte suivante :

Nom : IEXPLORER.EXE
Localisation : c:\windows\$NtUninstallKB904706$
Virus : Win32:SdBot-3539 [Trj]

Mise en quarantaine

Je n'ai pas encore eu le temps de rechercher de la doc sur ce Trojan mais je pense avoir enfin trouvé.

Pour info, aucune autre analyse antivirus n'avait trouvé avant.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS