[OK] Qu'est ce que Msadc.exe ? et ses dlls ?? Merci

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Qu'est ce que Msadc.exe ? et ses dlls ?? Merci

Messagede Mick_ » 06 Juil 2004, 14:48

Bonjour, je me cultive grandement et malheureusement a force d'appliquer des sécurités j'ai fini par avoir des petits souci (de toute façon j'en avais déjà Mouaaarrrrffffffff mais ce ne sont plus les mêmes).

Hier alors que je téléchargeais avec emule je me suis appercu que mon anti virus (Norton)/pare feu(Norton) sont désactivés et impossible a réactiver.... je commence a trouver cela franchement louche. Pestpatroler chargé en memoire est lui aussi désactivé et innaccessible... un petit hijackthis j'efface joyeuselent tout ce qui n'est pas norton, pestpatroler et autre regprot....

J'essaye de faire je ne sais plus quoi, tel que lancer divers exécutable de pestpatroler... je fini par aboutir au plantage de la machine.
Bref redémarrage norton et pestpatroler redeviennent accessible...
Je nettoye tous ce que pestpatroler me trouve dont downloader and co ... franchement pas rassurant.
Et apres avoir fais le menage apparent je "penssais" me reconnecter a internet plutot serein....
Quand je vis que norton m'indique un flux sortant continue....
Je me connecte a internet inquiet et la ... norton me bonbarde de message comme quoi des modules inconnue ... risque moyen, avec autoriser par défaut... je refuse tout mais au bout de 20 refus un peu las il abandonne le combat et me dit impossible d'afficher la page...
J'essaye d'aller sur d'autre site meme combat il me bombarde de question ... par curiositer je regarde le détail et O stupeur msadc.exe fait semble t'il référence a des disaines de dll... (dont certaine me semblant douteuse)

je post la liste des dlls et le hijackthis ci apres

PS:
j'ai donc suivi les conseils voir google pour tanter d'identifier... et je suis tomber sur ce site ...
ce forum : http://members.fortunecity.fr/newffr/26/f2.html avec des posts
tel que : http://members.fortunecity.fr/newffr/26/p5253.html
ce sont des "vilains" ?
...

PPS: Merci)
Mick_
 

Messagede Mick » 06 Juil 2004, 17:31

Donc voila le fameux log (hum y a du nouveau la dedans depuis mon dernier passage, je me suis retenu d'y aller a la tronconeuse pour avoir l'avis d'expert)

Logfile of HijackThis v1.97.7
Scan saved at 18:37:14, on 06/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security Professional\NISUM.EXE
C:\Program Files\Norton Internet Security Professional\ccPxySvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msadc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
C:\WINDOWS\tasks\smss.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\amStats.exe
C:\WINDOWS\system32\ramBoost.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\regprot\regprot.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\PESTPA~1\pestpatrol.exe
C:\Program Files\Norton Internet Security Professional\symmoni.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\secu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.penofchaos.com/warham/donjon.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amstats] C:\WINDOWS\system32\amStats.exe
O4 - HKLM\..\Run: [ramboost] C:\WINDOWS\system32\ramBoost.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start
O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [Configuration Loader] syscfg32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab



Merci :D :D
Mick
 

Messagede Vazkor » 06 Juil 2004, 19:49

Bonsoir,

Running processes:
...
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\amStats.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe
Ces quatre lignes m'intriguent. A vérifier!

C:\WINDOWS\system32\ramBoost.exe si c'est pour booster ta mémoire, je me demande si c'est vraiement utile avec W2k, qui la gère bien mieux que W9x

C:\regprot\regprot.exe Fait double emploi avec TeaTimer de Spybot. Tu peux le désactiver ou le désinstaller.


Je fixerais les lignes suivantes (sauf si c'est voulu, installé par toi, depuis longtemps):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.penofchaos.com/warham/donjon.htm
O4 - HKLM\..\Run: [amstats] C:\WINDOWS\system32\amStats.exe
O4 - HKLM\..\Run: [ramboost] C:\WINDOWS\system32\ramBoost.exe

O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
Je crains que ces deux programmes et TeaTimer ne se marchent sur les pieds. Le mieux est souvent l'ennemi du bien

O4 - HKCU\..\Run: [Configuration Loader] syscfg32.exe
Configuration de quoi?

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
Vérifier tout cela! Voir ce qu'en dit Mister Google

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
Inutile pour moi! Et probablement un spyware

Autre chose! Il ne faut pas trop en faire. Teatimer plus Spyblocker, plus Pestpatrol c'est peut-être un peu trop en même temps.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Invité » 06 Juil 2004, 20:15

C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe
sont il me semble issue du kit de connection wanadoo que j'utilise ... Enternet300, jamais pu configurer cette ***** de connection alors j'utilise l'outil ...

C:\WINDOWS\system32\amStats.exe est un chouette petit outil de la famille norton qui donne des petits renseignements amusant... dont je ne comprend pas grand chose donc innutile.
hummm en y regardant de plus pres je confond avec "C:\Program Files\Norton Internet Security Professional\IAMSTATS.EXE" ... Allez hop a la tronconeuse.

C:\WINDOWS\System32\mspmspsv.exe (heu ???, a mort le fichier!)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.penofchaos.com/warham/donjon.htm je vais le garder celui la oui c voulu ;)

O4 - HKCU\..\Run: [Configuration Loader] syscfg32.exe
Configuration de quoi?
Ca je ne sais pas du tout... mais forcement innutile. allez hop.

quand a O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab en l'enlevant spybote la classe dans la catégory : ActiveX Distribution Unit... j'aime paaas. bref deleted. (merci)

merci encore, par contre un doute m'assaille rien ne permet de faire un bilan des dlls ? je pense mon problème plus de ce coté la ...
ca m'agace ce norton qui couine tous le temps...
existe t'il des solution pour vérifier l'intégriter de windows et du system ?
Thanks
Invité
 

Messagede Jim Rakoto » 06 Juil 2004, 20:30

Salut,

Ce qui me perturbe, c'est qu'avec tous ces programmes, des crasses puissent encore entrer !!

C'est donc que l'ennemi est entré avec ton accord (ah ben oui). C'est pas possible autrement. Habituellement, l'usage du P2P est inversément proportionnel à la protection installée. Mais ici ce n'est pas le cas

Effectivement, tu peux laisser uniquement tea-timer (j'ai pu remarquer qu'il est plus rapide sur la balle notamment que regprot qui me signalait modification systématiquement après tea-timer)

Pour moi, tu peux franchement laisser Spyblocker et Pestpatrol. Je constate qu'ils se complètent. Spyblocker fait pratiquement tout le travail et j'utilise Pestpatrol pour un scan régulier.
Par contre il y a double emploi avec Spywareguard qui pourrait être désactivé (dans Spybot > Outils > liste démarrage > décocher devant Spywareguard)


Pour désactiver un antivirus et Pestpatrol, je pencherais pour un virus mais ?
Un petit scan ?
http://www.ravantivirus.com/scan/

Pour dll, tu peux essayer ceci

1. Télécharger Registrar lite sur www.resplendence.com (gratuit)
2. Installer et lancer
3. Taper dans « Adress » HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs puis clic sur « Go ».
4. Cliquer sur AppInit_DLLs, et vérifier si la valeur contient un fichier de dll ;
5. Si oui, c’est le dossier caché qui doit être éliminé. Toutefois il n’est pas possible de l’effacer actuellement.
6. IMPORTANT : prendre note du chemin et du nom du dossier de la dll problématique.
7. Effectuer la manœuvre suivante :
Renommer le dossier « windows » (clic droit > rename ) en « notwindows »
Valider et répondre YES à la question « Do you want to rename key …… »
Cliquer à nouveau AppInit_DLLs sur la valeur contenant la .dll problème et l’effacer
8. Renommer alors « notwindows » en « windows »
9. La prochaine étape sera d'enlever le fichier DLL problématique.
10. Aller dans Démarrer > exécuter > taper cmd
11. Si cmd s’ouvre dans directory “documents and settings”, taper : cd c:\windows\system32 ou cd c:\winnt\system32 (si windows 2000)
12. Taper : dir /p *.dll et localiser la dll problématique
13. Taper : attrib -r "nomdeladll".dll ( par exemple : attrib –r fok.dll)
14. Taper ensuite : del "nomdeladll".dll
15. Taper à nouveau : dir /p *.dll et vérifier que la dll problématique n’apparaît plus
16. Lancer alors Spybot (avec traceurs d’utilisation cochés : Settings > modules additionnels) et cocher tous les problèmes y compris lignes en vert, notamment afin de vider cache et fichiers temporaires )
17. Lancer également CWShredder
18. Redémarrer en mode sans échec et repasser Spybot et CWShredder pour être certain que tout est effacé.

Et puis comme dit Vazkor, en plus de fixer ce qu'il demande, enlever programmes inutiles car il y en a certainement un qui ouvre la porte.

Etant donné le nombre de HJT (sur ce forum où ailleurs) où Kazaa, eMule, P2P sont impliqués, je finis par croire qu'il y a un travail d'infestation des PC qui est voulu et pas par des amateurs, en regard des résistances aux nettoyages de plus en plus importantes

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Vazkor » 06 Juil 2004, 21:14

Bonsoir,

Je pense aussi que l'ennemi est déjà monté à bord. Et c'est ce qui m'étonne avec tes protections. Ton PC est bien mieux protégé que le mien avec tous tes utilitaires, mis à part que ton PC n'est pas derrière un routeur hardware.

Passe à Mozilla et oublie le couple infernal IE+OE.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Mick » 06 Juil 2004, 21:56

j'utilise MSN comme messagerie ... je n'aime pas Outlook voir ou telecharger sans savoir quoi je n'aime pas... sinon oui IE... je n'imaginais pas qu'il était si néfaste avant de tomber par hasard sur l'excelent site d'Assiste.
Je pense passer a Mozilla bientot.
Sinon CWS j'en ai eu pas mal de sauce, dont la version virus, qui a l'air assez répandu ses temps ci. (un ami l'a chopé aussi) cette version remplace la plage blank par une page de recherche remplie de lien a la sauce moteur de liens, avec en prime un pop up proposant de l'anti-spy/popup. Le comble...

j'ai quand meme dans le log de pestpatrol eu sur ma machine Aureate; Aureate/Radiate; BearShare; CWS.Dwinf; CWS.GoogleMS.3; Claria; Cydoor; DoawloadWare; EUniverse; GAIN; HideExec; IRC/Flood.ba; Kazaa; NCase; NetRatings Premeter; PsExec; SaveNow; TOPicks; TopSearch; UCmore; Unknown BHO; Unknown Hijacker; Unknown Trojan; VNC (hum ok c'etait pour le boulot je l'ai enlevé quand PP m'a révéler le lascar.); Win32.Backdoor.Jeem; XoloX

J'ai tout fixer, ceci est ce que j'ai choper en 3 semaines...
A oui connection quasi permanente (en gros 23h45 par jour) satanée déco des 24H ...

Plus sérieusement il est monté a bord depuis longtemps je pense. J'ai pris norton internet sécurity il y a de cela bientot 1 an, j'ai eu une paix relative pendant un temps...
Question : comment le déloger ? humm... je parie que c un vaste programme hors de ma porter Mouaaarrrrffffffff.

Je continue de supecter des Dlls ... un site pour les verifier ?

Merci encore )))

[Je me suis permis d'éditer ta liste de spy qui mettait l'affichage à mal. Il faut mettre une espace de temps en temps dans un longue liste, pour permettre le renvoi automatique à la ligne! - Vazkor]
Mick
 
Messages: 5
Inscription: 06 Juil 2004, 20:17

Messagede Mick » 06 Juil 2004, 22:41

quand a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs j'avais déjà regarder la variable état vide alors je l'ai effacer, plus de variable maintenant. donc rien a voir. (j'avais double cliquer dessus pour voir ... rien ... alors couic)

J'ai fais CWShredder aussi , rien à signaler.

nvwimg.dll module non reconnu

et merci pour le lien : http://www.ravantivirus.com/


il y avait ca :
Scan started at 06/07/2004 23:17:19

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\mslogo.pif - Backdoor:Win32/Sheldor -> Infected
C:\WINDOWS\inf\temp.exe->(UPXW)->(RARSfx)->sdsc.dll - Backdoor:Win32/Libdoor -> Infected
C:\WINDOWS\inf\temp.exe->(UPXW)->(RARSfx)->msdsc.dll - Backdoor:IRC/Cloner.U* -> Infected
C:\WINDOWS\SYSTEM32\msadc.exe->(Exe32Pack) - Backdoor:Win32/BO2K.N -> Infected
C:\WINDOWS\SYSTEM32\shellexp.exe - Backdoor:Win32/Sheldor -> Infected
C:\WINDOWS\SYSTEM32\svchost33.exe->(UPXW)->(RARSfx)->msdsc.dll - Backdoor:IRC/Cloner.U* -> Infected
C:\WINDOWS\SYSTEM32\svchost33.exe->(UPXW)->(RARSfx)->sdsc.dll - Backdoor:Win32/Libdoor -> Infected
C:\WINDOWS\Tasks\smss.com - Trojan:Win32/DNet -> Infected

Scanned
============================
Objects: 50511
Directories: 3267
Archives: 1132
Size(Kb): -660108
Infected files: 8

Found
============================
Viruses found: 5
Suspicious files: 0
Disinfected files: 0
Mail files: 147
Mick
 
Messages: 5
Inscription: 06 Juil 2004, 20:17

Messagede Mick » 06 Juil 2004, 22:44

haha !!! msadc.exe !!! je me disais !!! je te soupconnais depuis le debut !

heu mais la je me rend compte, je fais comment pour désinfecter ? ce sont des fichiers systems ?? je connais les coupables mais hum pas la solution :)

en tout cas grand merci.
Mick
 
Messages: 5
Inscription: 06 Juil 2004, 20:17

Messagede Vazkor » 06 Juil 2004, 22:54

Bonsoir,

Ce ne sont pas des fichiers système, donc tu devrais pouvoir les supprimer sans problème.

Si Windows proteste que ces fichiers sont utilisés, vérifie qu'il ne faut pas tuer des processus dans le gestionnaire de tâches.
Si ça va toujours pas note les chemins de tous les fichiers. Redémarre en mode sans échec et liquide tous ces fichiers.

Pour être tout à fait sûr de ton coup, j'espère que tu as fait ton scan antivirus après avoir désactivé la restauration système.
Sinon, fais le et scanne à nouveau.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 54 invités