Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Sécurité

service XP dangeureux ?

Le
Az Sam
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus precises.]

Bonjour,

j'ai decouvert que j'avais un service XP anomral. Son nom est CBDZMCVQG.
avec pour executable :
C:\DOCUME~1\"nom-utilisateur\LOCALS~1\Temp\CBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.

Parralellement,(mais est ce lie?) j'ai decouvert un repertoire C:\Documents
and Settings\All Users.WINDOWS\DRM la liste des fichiers suivante:
http://cjoint.com/?hehrCfsa1d

J'ai tente Rootkit Revealer il me donne :
HKLM\SYSTEM\ControlSet002\Services\d347prt\Cfg\0Jf40 03/07/2006 22:38 0
bytes Hidden from Windows API.

J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours la et
je ne les vois nulle part.

Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode sans
echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le service
avait disparu et etait remplace par 2 nouveaux , l'un avec un nom proche du
1er (suite de lettre) et pointant un .exe dans le meme rep et l'autre
s'appellant ZA pointant toujours vers un hypothetique ZA.exe dans le meme
rep temporaire de l'utilisateur.

-Bien entendu Avast ne voit rien
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:\DOCUME~1\brutus\LOCALS~1\Temp\CBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.

-Le module ADS spy de hijackthis trouve cela :
C:\Program Files\Fichiers communs\Microsoft Shared : X4DHUAHknRYfB16uJRjK
(1027 bytes)
C:\Program Files\Fichiers communs\Microsoft Shared : X4DHUAHknRYfB16uJRjK
(1027 bytes)
C:\Program Files\WindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:\Program Files\WindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086 bytes)
C:\Program Files\WindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:\Program Files\WindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086 bytes)

(note :Ces noms ressemblent a ceux trouve par Black Light sans pourtant etre
les memes.)

Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce 347prt
c'est DaemonTools)

Par contre le service lui est toujours la (désactivé a defaut de mieux).
Je ne sais plus ou chercher.

A votre avis que puis je faire d'autre ? je n'ai guere d'elements pour faire
un recherche Internet.

Merci.
--

Cordialement,
Az Sam.
Lire les 24 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
leloo10
Le #1593162
Az Sam a écrit
A votre avis que puis je faire d'autre ?


Comme ça, sans réfléchir : passer à linux ?
:)

Répondre en citant
Ascadix
Le #1593161
De la plume numérique de Az Sam, nous vîmes sortir un à un les octets du
messages suivant:

[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]

Bonjour,

j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.


As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?

Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d


C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?

J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfgJf40 03/07/2006 22:38
0 bytes Hidden from Windows API.


Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?

J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.


As-tu passé un bon coup de chkdsk /f sur ton DD ?

T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer si
il te donne qq infos en plus ?

Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.


As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utiliti...lNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )

- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.


Tu doit avoir une belle saloperie sur ta machine ...

-Bien entendu Avast ne voit rien...


Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.

-Spybot ne voit rien non plus.


As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.

-Ewido ne voit rien que quelques cookies.


Connais pos

-AdAware SE ne trouve rien non plus.


Il voit pas grand chose lui à part les cookies ...

-SmitFraudFix ne trouve rien non plus.


Connais po

-HiJackThis 1.99.1 voit ceci :

O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.

-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)

(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)

Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)

Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....

A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.


Repére un maximum de nom /localisations de fichiers, et scan ton disque
depuis un autre systeme ( tu boot sur un CD ou tu met ton DD dans un boitier
USB que tu colle sur un PC sain.

là, tu aura plus de chance de voir un peu ce qui ce passe dedans sans que
la/les saloperies te fassent tourner en bourique en restant actif et en
détournant tes softs de controle.

Répondre en citant
Az Sam
Le #1593159
"Ascadix" 44aa939b$0$822$

As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le

refiler à ton éditeur préféré pour voi ce qu'il en pense ?



non, quand je suis alle dans le rep je n'ai rien trouve, en Mode Sans Echec
non plus.

C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?


oui je pense, maus comme ce service ressamble a un rootkit, je m'interroge.
Je ne sais pas qui a cree ce rep DRM, je n'ecoute pas de musique, peut etre
un jeu....

Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?


oui ca ca me semble ok. :-)

T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si

il te donne qq infos en plus ?


je connais pas, je vais voir ca.

As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utiliti...lNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )


J'ai essayer en admin et en mse dans le registre pour le nettoyer.

Tu doit avoir une belle saloperie sur ta machine ...


sans doute, et en meme temps elle fonctionne tres bien..

Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.


ok je vais essaye. J'ai passe un scan en ligne de Kaspersky (4h50 !), rien
machine clean dit il.

As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou


oui j'ai fait en mse avec les applis qui le permettent . Blacklight par
exemple refuse.. (Rootkit revealer aussi je crois)

mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un

autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.


j'ai un systeme de secours, clean sur une autre partition d'un autre disque.
les fichiers n'apparaissent pas plus, et depuis la je ne peux entrer dans le
registre du systeme1 donc pas moyen de virer le service.

Repére un maximum de nom /localisations de fichiers, et scan ton disque


ben j'ai tout dit, j'ai pas encore d'autres infos que ces noms de fichiers
tarabiscotes.
Bon je vais essayer les 3 trucs que tu me proposes deja.
Merci :-)



--

Cordialement,
Az Sam.

Répondre en citant
Az Sam
Le #1593155
"Ascadix" 44aa939b$0$822$

T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si

il te donne qq infos en plus ?

As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utiliti...lNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )

Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.



je reviens sur tout cela.

Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30, ouf)
RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me trouvait
deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0 bytes
Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005 08:37 0
bytes Key name contains embedded nulls (*)

je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne sert pas
.. :-)

Par contre avec RootKit Hook Analyser j'ai trouver un module qui est charge,
il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.

Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a disparu.

Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.

--

Cordialement,
Az Sam.

Répondre en citant
Ascadix
Le #1593153
De la plume numérique de Az Sam, nous vîmes sortir un à un les octets du
messages suivant:

"Ascadix" 44aa939b$0$822$

T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?

As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utiliti...lNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )

Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.



je reviens sur tout cela.

Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30,
ouf) RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me
trouvait deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0
bytes Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005
08:37 0 bytes Key name contains embedded nulls (*)

je ne pense pas y toucher. Dmiscope est un programme que j'ai installe


OK

la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne
sert pas .. :-)


Si t'es sur de ton copier-coller, il n'y a pas de sous-clef "system" dans
la clef suivante sur un XP standard..
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Par contre avec RootKit Hook Analyser j'ai trouver un module qui est
charge, il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.


Là, je sêche ...

Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a
disparu.

Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.


Jette un coup d'oeuil avec Autoruns de SysInternals ..mais sans trop
d'espoir toutefois.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.


Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme