Infection ou pas

Le
Alain LE GUEN
Bonjour,
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai
remarqué une ligne de commande surprenante lorsque je lance msconfig.
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe",
qui n'existe pas non plus.
Mon antivirus ne détecte rien ni les différents adware que j'utilise.
Mauvais signe, qu'en pensez-vous?
Merci pour votre aide.
Alain
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nina Popravka
Le #1217054
On Wed, 10 Oct 2007 19:01:28 +0200, "Alain LE GUEN" wrote:

Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe",
qui n'existe pas non plus.
Mon antivirus ne détecte rien ni les différents adware que j'utilise.
Mauvais signe, qu'en pensez-vous?


Oui, ça a une sale gueule...
Il faudrait savoir si il y a du trafic non sollicité.
Ce que vous utilisez pour vous connecter (clé wifi, ou carte ou je
sais pas quoi), ça a un voyant qui clignote quand il y a de l'activité
? Si oui, quittez toutes vos applis et regardez si ça clignote alors
que vous ne faites rien, déjà.
Vous pouvez aussi installer :
http://www.nirsoft.net/utils/cports.html
et pareil, toutes applis fermées, voir si vous avez des connexions
*établies* avec l'extérieur.
--
Nina

Alain LE GUEN
Le #1217045
Merci pour votre réponse.
Connexion "normale" par carte réseau classique à un routeur + LiveBox???
Alain
Alain LE GUEN
Le #1217043
J'ai effectivement localisé le "parasite" avec curports.
Ensuite je fais quoi de ses précieux renseignements? Process Id, Local
Port...
Cordialement.
Alain
Nina Popravka
Le #1216907
On Wed, 10 Oct 2007 21:06:20 +0200, "Alain LE GUEN" wrote:

J'ai effectivement localisé le "parasite" avec curports.
Ensuite je fais quoi de ses précieux renseignements? Process Id, Local
Port...


Ca ressemble à quoi ?
Ce qui est intéressant, c'est le "process path" tout à droite.
En général soit c'est un truc incroyablement basique, soit un rootkit
tordu.
Regardez aussi votre liste des process (taskmgr.exe) pour voir si vous
avez le même sous le même nom.
--
Nina

Alain LE GUEN
Le #1216906
Zut j'ai fais "Kill the process"
Mais le nom n'apparaissait pas dans "taskmgr".
Je verrai au prochain démarrage...
Merci, pour m'avoir appris de nouvelles choses...
Cordialement.
Alain
Nina Popravka
Le #1216903
On Wed, 10 Oct 2007 21:44:24 +0200, "Alain LE GUEN" wrote:

Zut j'ai fais "Kill the process"
Mais le nom n'apparaissait pas dans "taskmgr".
C'est plus ennuyeux... mais souvent le process qui tourne a un nom

différent.

Je verrai au prochain démarrage...
Merci, pour m'avoir appris de nouvelles choses...
Ce que tu peux faire aussi, c'est de capturer le trafic avec Wireshark

http://www.wireshark.org/download.html
pour voir ce que ça raconte.

Si tu ne vois pas de process que tu ne connais pas dans taskmgr, tu as
affaire à un rootkit ou assimilé, et c'est très chiant.
Donc il faut te diriger vers les anti rootkit genre blacklight et
autres.
D'autre part, techniquement, un rootkit doit pouvoir se dissimuler des
outils d'analyse de connexions et de trafic qui tournent sur la
bécane.
--
Nina

Laurent Jumet
Le #1216901
Hello Alain !

"Alain LE GUEN"
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai
remarqué une ligne de commande surprenante lorsque je lance msconfig.
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.
exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les
différents adware que j'utilise. Mauvais signe, qu'en pensez-vous? Merci
pour votre aide. Alain


C'est très suspect.
Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

Alain LE GUEN
Le #1216899
Tu me rassures beaucoup... Lol
Je ne connaissais pas l'existence des Root Kit.
Je m'informerai demain et te tiendrai au courant.
Merci encore.
Alain
Nina Popravka
Le #1216896
On Wed, 10 Oct 2007 22:49:10 +0200, "Laurent Jumet"

C'est très suspect.
Sans dec ?


Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier.
On est sauvés, là... Autoruns décoche mieux que msconfig.

La prochaine étape devrait logiquement être le rapport hijackthis.
:-)
--
Nina

Nina Popravka
Le #1216895
On Wed, 10 Oct 2007 22:51:06 +0200, "Alain LE GUEN"

Tu me rassures beaucoup... Lol
Bon enfin y a pas le feu au lac... Il semblerait que votre bécane

inonde la terre de cochonneries, mais 24h de plus, 24h de moins, ça
n'est pas vital. Y en a, ça dure des mois ou des années.

Je ne connaissais pas l'existence des Root Kit.
Un rootkit est un nuisible, mais qui se dissimule très efficacement.


Je m'informerai demain et te tiendrai au courant.
Cool... J'adore les rootkits communiqueurs :-)

--
Nina

Publicité
Poster une réponse
Anonyme