Bonjour,
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai
remarqué une ligne de commande surprenante lorsque je lance msconfig.
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\qbclveikuf.exe",
qui n'existe pas non plus.
Mon antivirus ne détecte rien ni les différents adware que j'utilise.
Mauvais signe, qu'en pensez-vous?
Merci pour votre aide.
Alain
On Wed, 10 Oct 2007 19:01:28 +0200, "Alain LE GUEN" wrote:
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les différents adware que j'utilise. Mauvais signe, qu'en pensez-vous?
Oui, ça a une sale gueule... Il faudrait savoir si il y a du trafic non sollicité. Ce que vous utilisez pour vous connecter (clé wifi, ou carte ou je sais pas quoi), ça a un voyant qui clignote quand il y a de l'activité ? Si oui, quittez toutes vos applis et regardez si ça clignote alors que vous ne faites rien, déjà. Vous pouvez aussi installer : http://www.nirsoft.net/utils/cports.html et pareil, toutes applis fermées, voir si vous avez des connexions *établies* avec l'extérieur. -- Nina
On Wed, 10 Oct 2007 19:01:28 +0200, "Alain LE GUEN" <ALGi@ifrance.com>
wrote:
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe",
qui n'existe pas non plus.
Mon antivirus ne détecte rien ni les différents adware que j'utilise.
Mauvais signe, qu'en pensez-vous?
Oui, ça a une sale gueule...
Il faudrait savoir si il y a du trafic non sollicité.
Ce que vous utilisez pour vous connecter (clé wifi, ou carte ou je
sais pas quoi), ça a un voyant qui clignote quand il y a de l'activité
? Si oui, quittez toutes vos applis et regardez si ça clignote alors
que vous ne faites rien, déjà.
Vous pouvez aussi installer :
http://www.nirsoft.net/utils/cports.html
et pareil, toutes applis fermées, voir si vous avez des connexions
*établies* avec l'extérieur.
--
Nina
On Wed, 10 Oct 2007 19:01:28 +0200, "Alain LE GUEN" wrote:
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les différents adware que j'utilise. Mauvais signe, qu'en pensez-vous?
Oui, ça a une sale gueule... Il faudrait savoir si il y a du trafic non sollicité. Ce que vous utilisez pour vous connecter (clé wifi, ou carte ou je sais pas quoi), ça a un voyant qui clignote quand il y a de l'activité ? Si oui, quittez toutes vos applis et regardez si ça clignote alors que vous ne faites rien, déjà. Vous pouvez aussi installer : http://www.nirsoft.net/utils/cports.html et pareil, toutes applis fermées, voir si vous avez des connexions *établies* avec l'extérieur. -- Nina
Alain LE GUEN
Merci pour votre réponse. Connexion "normale" par carte réseau classique à un routeur + LiveBox??? Alain
Merci pour votre réponse.
Connexion "normale" par carte réseau classique à un routeur + LiveBox???
Alain
Merci pour votre réponse. Connexion "normale" par carte réseau classique à un routeur + LiveBox??? Alain
Alain LE GUEN
J'ai effectivement localisé le "parasite" avec curports. Ensuite je fais quoi de ses précieux renseignements? Process Id, Local Port... Cordialement. Alain
J'ai effectivement localisé le "parasite" avec curports.
Ensuite je fais quoi de ses précieux renseignements? Process Id, Local
Port...
Cordialement.
Alain
J'ai effectivement localisé le "parasite" avec curports. Ensuite je fais quoi de ses précieux renseignements? Process Id, Local Port... Cordialement. Alain
Nina Popravka
On Wed, 10 Oct 2007 21:06:20 +0200, "Alain LE GUEN" wrote:
J'ai effectivement localisé le "parasite" avec curports. Ensuite je fais quoi de ses précieux renseignements? Process Id, Local Port...
Ca ressemble à quoi ? Ce qui est intéressant, c'est le "process path" tout à droite. En général soit c'est un truc incroyablement basique, soit un rootkit tordu. Regardez aussi votre liste des process (taskmgr.exe) pour voir si vous avez le même sous le même nom. -- Nina
On Wed, 10 Oct 2007 21:06:20 +0200, "Alain LE GUEN" <ALGi@ifrance.com>
wrote:
J'ai effectivement localisé le "parasite" avec curports.
Ensuite je fais quoi de ses précieux renseignements? Process Id, Local
Port...
Ca ressemble à quoi ?
Ce qui est intéressant, c'est le "process path" tout à droite.
En général soit c'est un truc incroyablement basique, soit un rootkit
tordu.
Regardez aussi votre liste des process (taskmgr.exe) pour voir si vous
avez le même sous le même nom.
--
Nina
On Wed, 10 Oct 2007 21:06:20 +0200, "Alain LE GUEN" wrote:
J'ai effectivement localisé le "parasite" avec curports. Ensuite je fais quoi de ses précieux renseignements? Process Id, Local Port...
Ca ressemble à quoi ? Ce qui est intéressant, c'est le "process path" tout à droite. En général soit c'est un truc incroyablement basique, soit un rootkit tordu. Regardez aussi votre liste des process (taskmgr.exe) pour voir si vous avez le même sous le même nom. -- Nina
Alain LE GUEN
Zut j'ai fais "Kill the process" Mais le nom n'apparaissait pas dans "taskmgr". Je verrai au prochain démarrage... Merci, pour m'avoir appris de nouvelles choses... Cordialement. Alain
Zut j'ai fais "Kill the process"
Mais le nom n'apparaissait pas dans "taskmgr".
Je verrai au prochain démarrage...
Merci, pour m'avoir appris de nouvelles choses...
Cordialement.
Alain
Zut j'ai fais "Kill the process" Mais le nom n'apparaissait pas dans "taskmgr". Je verrai au prochain démarrage... Merci, pour m'avoir appris de nouvelles choses... Cordialement. Alain
Nina Popravka
On Wed, 10 Oct 2007 21:44:24 +0200, "Alain LE GUEN" wrote:
Zut j'ai fais "Kill the process" Mais le nom n'apparaissait pas dans "taskmgr". C'est plus ennuyeux... mais souvent le process qui tourne a un nom
différent.
Je verrai au prochain démarrage... Merci, pour m'avoir appris de nouvelles choses... Ce que tu peux faire aussi, c'est de capturer le trafic avec Wireshark
http://www.wireshark.org/download.html pour voir ce que ça raconte.
Si tu ne vois pas de process que tu ne connais pas dans taskmgr, tu as affaire à un rootkit ou assimilé, et c'est très chiant. Donc il faut te diriger vers les anti rootkit genre blacklight et autres. D'autre part, techniquement, un rootkit doit pouvoir se dissimuler des outils d'analyse de connexions et de trafic qui tournent sur la bécane. -- Nina
On Wed, 10 Oct 2007 21:44:24 +0200, "Alain LE GUEN" <ALGi@ifrance.com>
wrote:
Zut j'ai fais "Kill the process"
Mais le nom n'apparaissait pas dans "taskmgr".
C'est plus ennuyeux... mais souvent le process qui tourne a un nom
différent.
Je verrai au prochain démarrage...
Merci, pour m'avoir appris de nouvelles choses...
Ce que tu peux faire aussi, c'est de capturer le trafic avec Wireshark
http://www.wireshark.org/download.html
pour voir ce que ça raconte.
Si tu ne vois pas de process que tu ne connais pas dans taskmgr, tu as
affaire à un rootkit ou assimilé, et c'est très chiant.
Donc il faut te diriger vers les anti rootkit genre blacklight et
autres.
D'autre part, techniquement, un rootkit doit pouvoir se dissimuler des
outils d'analyse de connexions et de trafic qui tournent sur la
bécane.
--
Nina
On Wed, 10 Oct 2007 21:44:24 +0200, "Alain LE GUEN" wrote:
Zut j'ai fais "Kill the process" Mais le nom n'apparaissait pas dans "taskmgr". C'est plus ennuyeux... mais souvent le process qui tourne a un nom
différent.
Je verrai au prochain démarrage... Merci, pour m'avoir appris de nouvelles choses... Ce que tu peux faire aussi, c'est de capturer le trafic avec Wireshark
http://www.wireshark.org/download.html pour voir ce que ça raconte.
Si tu ne vois pas de process que tu ne connais pas dans taskmgr, tu as affaire à un rootkit ou assimilé, et c'est très chiant. Donc il faut te diriger vers les anti rootkit genre blacklight et autres. D'autre part, techniquement, un rootkit doit pouvoir se dissimuler des outils d'analyse de connexions et de trafic qui tournent sur la bécane. -- Nina
Laurent Jumet
Hello Alain !
"Alain LE GUEN" wrote:
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai remarqué une ligne de commande surprenante lorsque je lance msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf. exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les différents adware que j'utilise. Mauvais signe, qu'en pensez-vous? Merci pour votre aide. Alain
C'est très suspect. Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello Alain !
"Alain LE GUEN" <ALGi@ifrance.com> wrote:
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai
remarqué une ligne de commande surprenante lorsque je lance msconfig.
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.
exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les
différents adware que j'utilise. Mauvais signe, qu'en pensez-vous? Merci
pour votre aide. Alain
C'est très suspect.
Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai remarqué une ligne de commande surprenante lorsque je lance msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf. exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les différents adware que j'utilise. Mauvais signe, qu'en pensez-vous? Merci pour votre aide. Alain
C'est très suspect. Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Alain LE GUEN
Tu me rassures beaucoup... Lol Je ne connaissais pas l'existence des Root Kit. Je m'informerai demain et te tiendrai au courant. Merci encore. Alain
Tu me rassures beaucoup... Lol
Je ne connaissais pas l'existence des Root Kit.
Je m'informerai demain et te tiendrai au courant.
Merci encore.
Alain