[résolu] tentative d'installation VM qui fini mal

Salut,

Si ca peut aider, dans le screenshot de Track on peut lire la description "Provides Internet Name Service".
Dans le rapport ZHP on retrouve cette description associée à un fichier/service plus que suspect, qui n'a rien à faire sur une Workstation.

Citation :

[MD5.9B89D8A36DBE7DBDDA78179D9BD2E3D6] - (.Pas de propriétaire - Provides Internet Name Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe [4929024]

O23 - Service: (Windows Internet Name Service) . (.Pas de propriétaire - Provides Internet Name Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe

Le MD5 du fichier n'est répertorié nulle part, donc peut-être qu'une analyse du fichier sur VT devrait vous en dire un peu plus :-)

Vous avez un exemple de cas similaire ici :
commentcamarche.net/forum/affich-20681482-trojan-win32-sefnit-g-aide-svp
et là :
forum.malekal.com/virus-gen-variant-buzy-t30632.html

Bonne continuation.
++

@ _olivier Salut et merci , mais ça aurais été bien que tu nous mette les liens de façons à ce que l'ont vois nous aussi
mais merci pour l'info
Track

Bonjour,

J'ai supprimer un message totalement par erreur :/
Toute mes Excuse pour le dérangement dérangement !!

Track, tu pourrait refaire un scan ZHP pour Nath en attendant son retours ?

Olivier

Bien vu
Effectivement je suis déjà tomber sur des cas similaire,
le fichier ne se voit pas être dans son répertoire d'origine, donc infections suspecter ..

@ bientôt

Salut à tous et merci encore

J'ai encore eu un problème avec ZHPDIAG me disant de contacter Nicolas Coolman voir capture

=>

et voici le rapport

=> lien zhpdiag voila
Track

EDIT: et cette fenêtre qui viens juste de réaparaitre grrrr!: j'en ai marre !!!

=>


EDIT2: ça ne viendrait pas de mon anti virus qui est en protection trop élévé et qui détecterais des faux positif car il est dis que si il est parametrer de façons trop élevé , qu'il risquerais de détecté des chose même légitime non? je demande au cas ou ??

Bonjour à tous
Tout d'abord merci à Olivier, et à Hacker Tool

A Track
Effectivement, les lignes qu'a montré Olivier sont suspectes
Si tu veux virer ce truc, je peux le faire tout de suite et te donner la procédure
Et en plus, cette cochonnerie a recréé un fichier qui a changé de nom


Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

[MD5.9B89D8A36DBE7DBDDA78179D9BD2E3D6] - (.Pas de propriétaire - Provides Internet Name Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe [4929024]
STOP:SR - | Auto 04/02/2011 4929024 | (Windows Internet Name Service) . (.Pas de propriétaire.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
O23 - Service: (Windows Internet Name Service) . (.Pas de propriétaire - Provides Internet Name Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe


• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
• Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
as mis en mémoire
• Clique sur OK, sur Tous, puis sur Nettoyer
• Copie/colle la totalité du rapport dans ta prochaine réponse

En cas de problème, on pourra restaurer les lignes avec ZHPFix
Tu me diras après si la fenêtre a disparu

Salut Jawaryinti
voici le log demander
avant une petite question :que fais-je des fichier reg que tu ma fait faire je peux les virer ou pas ??
le log
Rapport de ZHPFix 1.12.3250 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-06-02-2011-15-24-09.txt
Run by Letrackeur at 06/02/2011 15:24:09
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe [4929024] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O23 - Service: (Windows Internet Name Service) . (.Pas de propriétaire - Provides Internet Name Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe => Clé absente

========== Fichier(s) ==========

========== Etat des services ==========
(Windows Internet Name Service) . (Windows Internet Name Service) de Pas de propriétaire => Service arrêté avec succès


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
1 : Etat des services


End of the scan

Tu peux les supprimer les 2 fichiers reg
Je te remercie d'ailleurs d'avoir fait l'export de clé, c'est pour le concepteur de ZHPDiag, ZHPFix, et ZHP
Je t'ai montré comment exporter une clé de registre au cas ou un jour tu voudrais faire un manip sur une clé de registre, tu la sauvegardes comme je t'ai montré, en en cas de
pépin, tu fusionnes ce fichier avec le registre pour restaurer la clé, voilà, les fichiers tu les supprimes. Comme ça tu as vu comme restaurer une clé de registre

Pourras tu me dire si cette fenêtre revient ou pas, et si tu n'as aucun problème ?

Merci de m'apprendre ça jawaryinti
Pour l'instant cette fenêtre n'apparait plus mais comme elle apparais que de temps à autres au cas ou elle reviens je t'en averti de suite ok
merci pour tout le travail accompli j'ai vraiment hâte d'en être à ton niveau
ça viendras c'est comme tout
en te remerciant encore toi Nicolas et Hacker Tool
Surtout toi
je vous souhaite une très bonne journée ainsi qu'une bonne continuation
Bien à vous
Cordialement
Track
je passe en résolu

Attends, il faudrait que tu nettoies avec del fix les outils

Et passe un coup de C Cleaner, puis vérifie si ce fichier a été viré
C:\WINDOWS\Temp\24709
Sinon, vire le

raport delfix

mais le dossier C:\WINDOWS\Temp\24709 je ne le trouve pas c'est qui la donc disparu non?

# DelFix v7.3 - Rapport créé le 06/02/2011 à 16:25
# Mis à jour le 06/02/11 à 10h00 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Letrackeur - HELPER-0C708EB3 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Letrackeur\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [959 octets] ##########

Nettoie le PC avec C Cleaner

Le fichier est peut-être caché

re
non je ne le trouve pas , passer Ccleaner , afficher les fichiers cacher bref tout quoi et je ne le trouve pas
la fenêtre ne reviens plus depuis plus d'une heure donc ça c'est réglé c'est cool
sur ce merci Jawaryinti
bien à toi
Cordialement
Track
reste t'il des choses à faire ??

Re,

Track, par curiosité...Est-ce que tu te souviens du site sur lequel tu as téléchargé Virtual PC ?
Merci d'avance et quoiqu'il en soit...Content pour toi :-)

++

PS:
Dommage de ne pas avoir envoyé un sample de wins.exe sur VT.
Ca aurait permis à certains éditeurs AV comme Avira, de pouvoir intégrer la detection de ce fichier !

Salut olivier
oui je pense me rappeler ou je vais regarder mais pas sur que je retrouve !!
@toute
Bien à toi et merci du coup d'pouce

@+
Track

De rien et un grand merci à toi pour le lien !
C'est noté, tu peux éditer et le supprimer si tu veux.

@++ Et bonne continuation !

RE
Pourquoi le supprimer au contraire tu est le bienvenue ici et ton idée nous a aider donc pas de soucis si tu veux revenir tu est le bienvenu mais le mieux serait que tu nous revienne en tant que membres
tu serais le ::Bienvenue::
@+ Nicolas et merci encore
Track

Lol, nan je parlais de supprimer le lien vers l'url que tu m'as donné puisque c'était sensé mener à une infection :-)

Bah...Sur le site que tu m'as indiqué, les liens de DL pointent directement chez ceux officiel sur le site de Microsoft !?
En fait je voudrais tester l'infection en VM et donc je recherchais plutôt le lien du Key..gen que tu as du utiliser pour le sérial car l'installation de Virtual PC à partir du lien que tu m'as donné n'est pas vectrice d'infection.
Pas grave si jamais tu ne t'en souviens plus, je me débrouillerais pour trouver !

@++ ckarT ;-P

RE olivier

Citation :

Bah...Sur le site que tu m'as indiqué, les liens de DL pointent directement chez ceux officiel sur le site de Microsoft !?

Et tu crois que parce que cela viens d'un site officiel microsoft cela suffit à ne pas ce faire infecter ???

Ou je ne comprends pas ce que tu me dis ou alors

Citation :

En fait je voudrais tester l'infection en VM et donc je recherchais plutôt le lien du Key..gen que tu as du utiliser pour le sérial car l'installation de Virtual PC à partir du lien que tu m'as donné n'est pas vectrice d'infection.

Elle était imaginaire alors mon infection car c'est bien d'un de ces lien OFFICIEL que je l'ai télécharger !!
donc je ne vois pas ou tu veux en venir ??

un peu plus de détails stp , tu dis rechercher le lien de key gen , tu as bien du voir que j'étais sous XP en x86 édition familiales donc des liens y'en à pas 36 olivier , car désoler mais moi il est hors de question que je retouche un de ces liens quel qu'il soit point !
je vais pas passer ma journée à désinfecter le pc de ma femme se serait le miens encore je m'en fou je suis sous Linux j'aurais bien voulu moi aussi le tester mais pas avec ce pc , pour le lien oui tu as raison j'édite et je l'enlève !
+
Track

Re,

Oui je crois effectivement qu'on ne s'est pas compris, mais bon c'est pas bien grave :-)

J'essayais juste de te dire que via Vmware et à partir d'un Snapshot d'XP X86 fraichement installé, je me suis rendu sur l'URL que tu m'as donné, puis j'ai cliqué sur le lien du Setup pour les versions X86, et j'ai installé Virtual PC à partir de ce même Setup.
Pour ma part, il n'y a pas eu d'infection suite à cette install (ni pendant), malgré le traçage complet de toute la procédure de test avec des outils dédiés à cette intention.
D'ou ma question ensuite sur le Key..gen en pensant que le problème pouvait éventuellement venir de là.
Ceci dit, concernant microsoft ou autre, je suis de ceux qui pense que le risque 0 n'existe pas et si ce n'était pas le cas d'ailleurs je ne me serais pas emmerdé à tester le Setup en sachant qu'il était DL depuis chez eux :-)

Désolé si je t'ai vexé c'était pas le but ! Avant tout je cherchais juste un peu plus d'infos sur cette infection.
Pas besoin pour toi d'aller revisiter ces liens, d'ailleurs c'est pas ce que je te demandais lol d'autant plus que pour ma part je viens de trouver ce que je recherchais en fouillant un peu sur le net.

Merci pour le temps que tu as pris pour faire la recherche du lien en tout cas et bonne continuation sur ta distro :-)

Cordialement.
Olivier.

++

RE
Pas de soucis , alors toi tu dis que tu la installer et tu na rien chopper du tout "faut avouer que c'est étonnant quant même" car je ne serais pas sections désinfection si je n'avais pas installer ce virtual PC est tu sur d'avoir installer celle que moi j'ai installer ??
bref !

Citation :

Désolé si je t'ai vexé c'était pas le but !

oh mais pas du tout mon ami loin de là , mais comme t'avais l'air de dire que ça venait d'un liens officiel et de chez microsoft , désoler mais officiel où pas comme tu dis le risque 0 n'existe pas! pourquoi crois tu que je tourne sur Linux , primo parce que j'en ai marre de me faire infecter rien quant cliquant sur un lien , 2 parce que c'est gratuit (non pas que je suis près de mon argent) mais payer un systèmes plus de 400€ pour à la final acheter un antivirus , un pare feu , et t'imposer Windows sur les pc portables qu'il vendent partout dans le commerce , désoler mais moi je trouve ça dégu******e (forcing de vente) , comme si eux n'avaient pas assez d'argent pour sortir un système libre , c'était pourtant en pour-parler mais ça fait déjà 2 ans qu'on l'attends leur systèmes libres , se qui est libre chez microsoft c'est de sortir le porte monnaie pour payer et dire vous êtes libre de votre choix voila c'est quoi le libre chez eux !!
Bref on va pas pourrir le topic sujet résolu
@+
olivier
bien à toi
Track

Bonjour track
J'ai vu une ligne dans ZHPDiag que tu dois virer avec ZHPFix

O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe - Windows Internet Name Service (Windows Internet Name Service) .(.Pas de propriétaire - Provides Internet Name Servic

Suis la procédure de ZHPFix que je t'avais donné

Salut jawaryinti
voila c'est fait et merci encore de t'être pencher dessus
Rapport de ZHPFix 1.12.3250 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-07-02-2011-15-15-29.txt
Run by Letrackeur at 07/02/2011 15:15:28
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe - Windows Internet Name Service (Windows Internet Name Service) .(.Pas de propriétaire - Provides Internet Name Servic => Clé absente



========== Récapitulatif ==========



1 : Clé(s) du Registre


End of the scan


je fais quoi maintenant delfix pour nettoyer puis Ccleaner pour finir non??

Oui, tu finis comme ça
Je voulais m'assurer qu'il n'y avait plus de trace de ce qui t'a fait des misères

T'est vraiment gentille jawaryinti
je mi colle de suite alors
bien à toi
@+
Cdt
bonne continuation à toi jawaryinti