je suis en train d'intervenir sur le pc d'un copain et je sêche un
peu...
Son premier problème venait d'une page de démarrage d'IE qui
s'agrémentait de demoiselles dénudées et qui ne voulait pas partir....
normal, il avait l'adsl depuis 3 jours ;-)
-mise a jour XP (il n'avait pas vu passer le sp1)
-installation/mise a jour/scan avec "spybot"
-remplacement de sa version de "pc-illin" en anglais par "AVP 3.5"
(maj+scan)
Là je constate que sa machine est un zoo peuplé de spyware/chevaux de
troie/hijacker et autre malwares. J'éradique le tout (necessité de
supprimer la fonction de restauration systeme)
Hélas j'ai toujours un "truc" qui traine: Les restes d'un dialer (je
pense) indique a chaque fermeture que "System Query" ne peut pas
s'éteindre automatiquement. Pas de trace de ce processus mais un
fichier "sysquery.exe" qui réapparait a chaque démarrage.
de rage ,j'ai installé/testé le pc avec adaware, trojanhunter et même
hijackthis + AVP et spybot en mode sans echec au cas où sans resultat.
¹: on n'est jamais aussi bien servi que par soi-même :)) -- joke0
lionel.paugam
bonjour, joke0 a formulé ce jeudi :
Montre nous ce scan d'Hijack This, ou alors utilise mon excellente FAQ¹ :
Merci pour ton aide.
Je vais faire les deux , si tu permets :-)
je vais consulter cette FAQ qui m'a l'air riche et touffue a souhait et je te poste ci-dessous le log d'hijack:
Logfile of HijackThis v1.97.7 Scan saved at 08:54:37, on 26/02/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Montre nous ce scan d'Hijack This, ou alors utilise mon
excellente FAQ¹ :
Merci pour ton aide.
Je vais faire les deux , si tu permets :-)
je vais consulter cette FAQ qui m'a l'air riche et touffue a souhait et
je te poste ci-dessous le log d'hijack:
Logfile of HijackThis v1.97.7
Scan saved at 08:54:37, on 26/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Montre nous ce scan d'Hijack This, ou alors utilise mon excellente FAQ¹ :
Merci pour ton aide.
Je vais faire les deux , si tu permets :-)
je vais consulter cette FAQ qui m'a l'air riche et touffue a souhait et je te poste ci-dessous le log d'hijack:
Logfile of HijackThis v1.97.7 Scan saved at 08:54:37, on 26/02/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Il s'agit d'un message multivolet au format MIME. --------------5AC2BD2BA17EA5A732BD363F Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit
Je dirais que tu as un fichier bizarre : c:windowssystem32msystem.exe, à mon avis il y a quelque chose sous ce fichier qui semble imiter un nom de fichier krosoft !!
@+
bonjour, joke0 a formulé ce jeudi :
Montre nous ce scan d'Hijack This, ou alors utilise mon excellente FAQ¹ :
Merci pour ton aide.
Je vais faire les deux , si tu permets :-)
je vais consulter cette FAQ qui m'a l'air riche et touffue a souhait et je te poste ci-dessous le log d'hijack:
Logfile of HijackThis v1.97.7 Scan saved at 08:54:37, on 26/02/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Il s'agit d'un message multivolet au format MIME.
--------------5AC2BD2BA17EA5A732BD363F
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Je dirais que tu as un fichier bizarre : c:windowssystem32msystem.exe, à
mon avis il y a quelque chose sous ce fichier qui semble imiter un nom de
fichier krosoft !!
@+
bonjour,
joke0 a formulé ce jeudi :
Montre nous ce scan d'Hijack This, ou alors utilise mon
excellente FAQ¹ :
Merci pour ton aide.
Je vais faire les deux , si tu permets :-)
je vais consulter cette FAQ qui m'a l'air riche et touffue a souhait et
je te poste ci-dessous le log d'hijack:
Logfile of HijackThis v1.97.7
Scan saved at 08:54:37, on 26/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Il s'agit d'un message multivolet au format MIME. --------------5AC2BD2BA17EA5A732BD363F Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit
Je dirais que tu as un fichier bizarre : c:windowssystem32msystem.exe, à mon avis il y a quelque chose sous ce fichier qui semble imiter un nom de fichier krosoft !!
@+
bonjour, joke0 a formulé ce jeudi :
Montre nous ce scan d'Hijack This, ou alors utilise mon excellente FAQ¹ :
Merci pour ton aide.
Je vais faire les deux , si tu permets :-)
je vais consulter cette FAQ qui m'a l'air riche et touffue a souhait et je te poste ci-dessous le log d'hijack:
Logfile of HijackThis v1.97.7 Scan saved at 08:54:37, on 26/02/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Je dirais que tu as un fichier bizarre : c:windowssystem32msystem.exe, à mon avis il y a quelque chose sous ce fichier qui semble imiter un nom de fichier krosoft !!
Bien vu !
j'étais en train de lister les processus qui apparaissent sur cette machine et pas sur la mienne et , en effet, "msystem" est curieux. Je viens de tenter des redemarrage après avoir arreté ce processus et je n'ai plus le message...
J'ai donc enlevé "msystem" du demarrage, effacé l'executable et viré toutes ses références dans la base de registre et ça roule!
Merci a tous les deux :-)
-- kenavo lionel
bonjour,
Liébert Yannick avait prétendu :
Je dirais que tu as un fichier bizarre : c:windowssystem32msystem.exe, à
mon avis il y a quelque chose sous ce fichier qui semble imiter un nom de
fichier krosoft !!
Bien vu !
j'étais en train de lister les processus qui apparaissent sur cette
machine et pas sur la mienne et , en effet, "msystem" est curieux. Je
viens de tenter des redemarrage après avoir arreté ce processus et je
n'ai plus le message...
J'ai donc enlevé "msystem" du demarrage, effacé l'executable et viré
toutes ses références dans la base de registre et ça roule!
Je dirais que tu as un fichier bizarre : c:windowssystem32msystem.exe, à mon avis il y a quelque chose sous ce fichier qui semble imiter un nom de fichier krosoft !!
Bien vu !
j'étais en train de lister les processus qui apparaissent sur cette machine et pas sur la mienne et , en effet, "msystem" est curieux. Je viens de tenter des redemarrage après avoir arreté ce processus et je n'ai plus le message...
J'ai donc enlevé "msystem" du demarrage, effacé l'executable et viré toutes ses références dans la base de registre et ça roule!
Merci a tous les deux :-)
-- kenavo lionel
joke0
Salut,
lionel.paugam:
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Pas à jour...
Running processes: C:WINDOWSSystem32msystem.exe
Une bestiole. Cocher. Je dirais que c'est un TrojanSpy.Win32.Tofger :-/
Ton AV ne détecte rien car je pense qu'un autre processus le désactive au démarrage.
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers suspects, les déplacer après les avoir désactivés dans le gestionnaire de tâche. Tu pourras alors normalement les scanner avec AVP.
-- joke0
Salut,
lionel.paugam:
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Pas à jour...
Running processes:
C:WINDOWSSystem32msystem.exe
Une bestiole. Cocher.
Je dirais que c'est un TrojanSpy.Win32.Tofger :-/
Ton AV ne détecte rien car je pense qu'un autre processus le
désactive au démarrage.
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers
suspects, les déplacer après les avoir désactivés dans le
gestionnaire de tâche. Tu pourras alors normalement les scanner
avec AVP.
Ton AV ne détecte rien car je pense qu'un autre processus le désactive au démarrage.
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers suspects, les déplacer après les avoir désactivés dans le gestionnaire de tâche. Tu pourras alors normalement les scanner avec AVP.
-- joke0
djehuti
salut "joke0" a écrit dans le message news:
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers suspects, les déplacer après les avoir désactivés dans le gestionnaire de tâche. Tu pourras alors normalement les scanner avec AVP.
salut
"joke0" <joke0_NOSWEN@tiscali.fr> a écrit dans le message news:
XnF949B8553FE5BBjoke0@127.0.0.1
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers
suspects, les déplacer après les avoir désactivés dans le
gestionnaire de tâche. Tu pourras alors normalement les scanner
avec AVP.
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers suspects, les déplacer après les avoir désactivés dans le gestionnaire de tâche. Tu pourras alors normalement les scanner avec AVP.
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Pas à jour...
c'est étonnant : windows update ne me propose aucune nouvelle mise a jour :-/
Je dirais que c'est un TrojanSpy.Win32.Tofger :-/
effectivement c'est le fichier qui me créait des problèmes.
Très louche aussi. Probablement un Avkiller...
Une bestiole. Cocher. Je pense que c'est un TrojanProxy.Win32.Daemonize
Très louche aussi...
Cocher
Très louche...
Encore plus louche
Il faudra cocher si "rundll32.vbe" est une bestiole.
Pareil.
Pfiou ! j'en ai pas fini visiblement :-(
a vrai dire l'av a détecté pas mal de choses, une bonne dizaine de malwares différents au moins. Ces desactiveurs d'av sont selectifs ? je veux dire, ils empêchent tout scan ou bien seulemnt que l'AV les scanne eux ? Si je place Eicar, par exemple, et que je scanne , avp ne devrait pas le detecter a cause de ces bloqueur de scan ?
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers suspects, les déplacer après les avoir désactivés dans le gestionnaire de tâche. Tu pourras alors normalement les scanner avec AVP.
merci, il me reste du pain sur la planche ;-) Je vais mettre le disque en esclave sur ma machine et le scanner comme ça.
-- kenavo lionel
bonjour,
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Pas à jour...
c'est étonnant : windows update ne me propose aucune nouvelle mise a
jour :-/
Je dirais que c'est un TrojanSpy.Win32.Tofger :-/
effectivement c'est le fichier qui me créait des problèmes.
Très louche aussi. Probablement un Avkiller...
Une bestiole. Cocher.
Je pense que c'est un TrojanProxy.Win32.Daemonize
Très louche aussi...
Cocher
Très louche...
Encore plus louche
Il faudra cocher si "rundll32.vbe" est une bestiole.
Pareil.
Pfiou ! j'en ai pas fini visiblement :-(
a vrai dire l'av a détecté pas mal de choses, une bonne dizaine de
malwares différents au moins.
Ces desactiveurs d'av sont selectifs ? je veux dire, ils empêchent tout
scan ou bien seulemnt que l'AV les scanne eux ?
Si je place Eicar, par exemple, et que je scanne , avp ne devrait pas
le detecter a cause de ces bloqueur de scan ?
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers
suspects, les déplacer après les avoir désactivés dans le
gestionnaire de tâche. Tu pourras alors normalement les scanner
avec AVP.
merci, il me reste du pain sur la planche ;-)
Je vais mettre le disque en esclave sur ma machine et le scanner comme
ça.
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Pas à jour...
c'est étonnant : windows update ne me propose aucune nouvelle mise a jour :-/
Je dirais que c'est un TrojanSpy.Win32.Tofger :-/
effectivement c'est le fichier qui me créait des problèmes.
Très louche aussi. Probablement un Avkiller...
Une bestiole. Cocher. Je pense que c'est un TrojanProxy.Win32.Daemonize
Très louche aussi...
Cocher
Très louche...
Encore plus louche
Il faudra cocher si "rundll32.vbe" est une bestiole.
Pareil.
Pfiou ! j'en ai pas fini visiblement :-(
a vrai dire l'av a détecté pas mal de choses, une bonne dizaine de malwares différents au moins. Ces desactiveurs d'av sont selectifs ? je veux dire, ils empêchent tout scan ou bien seulemnt que l'AV les scanne eux ? Si je place Eicar, par exemple, et que je scanne , avp ne devrait pas le detecter a cause de ces bloqueur de scan ?
Il faut donc lancer un scan manuel, ou trouver tous ces fichiers suspects, les déplacer après les avoir désactivés dans le gestionnaire de tâche. Tu pourras alors normalement les scanner avec AVP.
merci, il me reste du pain sur la planche ;-) Je vais mettre le disque en esclave sur ma machine et le scanner comme ça.
J'ai mal compris ou bien vous pensez que les infos que j'ai diffusé sont "sensibles " ?
-- kenavo lionel
joke0
Salut,
lionel.paugam:
J'ai mal compris ou bien vous pensez que les infos que j'ai diffusé sont "sensibles " ?
Elles pourrait être sensibles. Dans votre log, on voit les logiciels que vous utilisez et des prénoms. Pour une entreprise, de tels détails sont bien évidemment sensibles. Pour des particuliers, cela peut révéler des détails que vous auriez préféré garder secret (identité, utilisation de logiciels P2P etc.).
-- joke0
Salut,
lionel.paugam:
J'ai mal compris ou bien vous pensez que les infos que j'ai
diffusé sont "sensibles " ?
Elles pourrait être sensibles. Dans votre log, on voit les
logiciels que vous utilisez et des prénoms. Pour une entreprise,
de tels détails sont bien évidemment sensibles. Pour des
particuliers, cela peut révéler des détails que vous auriez
préféré garder secret (identité, utilisation de logiciels P2P
etc.).
J'ai mal compris ou bien vous pensez que les infos que j'ai diffusé sont "sensibles " ?
Elles pourrait être sensibles. Dans votre log, on voit les logiciels que vous utilisez et des prénoms. Pour une entreprise, de tels détails sont bien évidemment sensibles. Pour des particuliers, cela peut révéler des détails que vous auriez préféré garder secret (identité, utilisation de logiciels P2P etc.).
