Bonjour,
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai
remarqué une ligne de commande surprenante lorsque je lance msconfig.
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\qbclveikuf.exe",
qui n'existe pas non plus.
Mon antivirus ne détecte rien ni les différents adware que j'utilise.
Mauvais signe, qu'en pensez-vous?
Merci pour votre aide.
Alain
Bonjour, télécharges, installes et mets à jour puis scan ton ordi avec AVG anti spyware AVG anti rootkit ccleaner tous gratuits sur le net (recherche avec google) tu peux aussi télécharger hijackthis (tjrs gratuit sur google) le lancer et copier le rapport ici pour analyse: http://www.hijackthis.de/fr il te suffit après de cocher les éléments signalés comme dangereux et cliquer sur fixed tiens nous au courant cordialement
JPH "Alain LE GUEN" a écrit dans le message de news:
Bonjour, Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai remarqué une ligne de commande surprenante lorsque je lance msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les différents adware que j'utilise. Mauvais signe, qu'en pensez-vous? Merci pour votre aide. Alain
Bonjour,
télécharges, installes et mets à jour puis scan ton ordi avec
AVG anti spyware
AVG anti rootkit
ccleaner
tous gratuits sur le net (recherche avec google)
tu peux aussi télécharger hijackthis (tjrs gratuit sur google) le lancer et
copier le rapport ici pour analyse:
http://www.hijackthis.de/fr
il te suffit après de cocher les éléments signalés comme dangereux et
cliquer sur fixed
tiens nous au courant
cordialement
JPH
"Alain LE GUEN" <ALGi@ifrance.com> a écrit dans le message de news:
D8A6EDA9-5708-4272-8B8B-DEE837E97808@microsoft.com...
Bonjour,
Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai
remarqué une ligne de commande surprenante lorsque je lance msconfig.
Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data",
mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe",
qui n'existe pas non plus.
Mon antivirus ne détecte rien ni les différents adware que j'utilise.
Mauvais signe, qu'en pensez-vous?
Merci pour votre aide.
Alain
Bonjour, télécharges, installes et mets à jour puis scan ton ordi avec AVG anti spyware AVG anti rootkit ccleaner tous gratuits sur le net (recherche avec google) tu peux aussi télécharger hijackthis (tjrs gratuit sur google) le lancer et copier le rapport ici pour analyse: http://www.hijackthis.de/fr il te suffit après de cocher les éléments signalés comme dangereux et cliquer sur fixed tiens nous au courant cordialement
JPH "Alain LE GUEN" a écrit dans le message de news:
Bonjour, Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai remarqué une ligne de commande surprenante lorsque je lance msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe", qui n'existe pas non plus. Mon antivirus ne détecte rien ni les différents adware que j'utilise. Mauvais signe, qu'en pensez-vous? Merci pour votre aide. Alain
~Jean-Marc~ [MVP]
Salut Nina Popravka, tu nous disais :
Cool... J'adore les rootkits communiqueurs :-)
ROFL
-- ~Jean-Marc~ MVP Shell/User Fr ( Vista x86 Ultimate ) - http://msmvps.com/blogs/docxp/ - - http://docxp.mvps.org -
Salut Nina Popravka,
tu nous disais :
Cool... J'adore les rootkits communiqueurs :-)
ROFL
--
~Jean-Marc~ MVP Shell/User Fr
( Vista x86 Ultimate )
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -
-- ~Jean-Marc~ MVP Shell/User Fr ( Vista x86 Ultimate ) - http://msmvps.com/blogs/docxp/ - - http://docxp.mvps.org -
~Jean-Marc~ [MVP]
Salut Alain LE GUEN, tu nous disais :
Bonjour, Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai remarqué une ligne de commande surprenante lorsque je lance msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe", qui n'existe pas non plus.
Comme le disait Nina, il s'agit certainement d'un rootkit. Ceux que j'ai rencontré jusqu'à présent se laissent assez bien désinfecter avec GMER.
Dans GMER, chercher le nom du process qui doit être certainement indiqué en rouge, le noter, puis le "killer".
Dans autoruns, supprimer son lancement qui doit maintenant être visible, puis aller effacer le fichier noté. (ou si tu es curieux, le soumettre à www.virustotal.com )
@+
-- ~Jean-Marc~ MVP Shell/User Fr ( Vista x86 Ultimate ) - http://msmvps.com/blogs/docxp/ - - http://docxp.mvps.org -
Salut Alain LE GUEN,
tu nous disais :
Bonjour,
Depuis que j'ai un fonctionnement erratique de ma connexion internet,
j'ai remarqué une ligne de commande surprenante lorsque je lance
msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton
Data", mais dans lequel ce fichier n'est pas visible. Il fait
référence à une clé
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe",
qui n'existe pas non plus.
Comme le disait Nina, il s'agit certainement d'un rootkit.
Ceux que j'ai rencontré jusqu'à présent se laissent assez
bien désinfecter avec GMER.
Dans GMER, chercher le nom du process qui doit être
certainement indiqué en rouge, le noter, puis le "killer".
Dans autoruns, supprimer son lancement qui doit maintenant
être visible, puis aller effacer le fichier noté.
(ou si tu es curieux, le soumettre à www.virustotal.com )
@+
--
~Jean-Marc~ MVP Shell/User Fr
( Vista x86 Ultimate )
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -
Bonjour, Depuis que j'ai un fonctionnement erratique de ma connexion internet, j'ai remarqué une ligne de commande surprenante lorsque je lance msconfig. Du genre :"qbclveikuf.exe", situé dans un sous-dossier "Applicaton Data", mais dans lequel ce fichier n'est pas visible. Il fait référence à une clé "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunqbclveikuf.exe", qui n'existe pas non plus.
Comme le disait Nina, il s'agit certainement d'un rootkit. Ceux que j'ai rencontré jusqu'à présent se laissent assez bien désinfecter avec GMER.
Dans GMER, chercher le nom du process qui doit être certainement indiqué en rouge, le noter, puis le "killer".
Dans autoruns, supprimer son lancement qui doit maintenant être visible, puis aller effacer le fichier noté. (ou si tu es curieux, le soumettre à www.virustotal.com )
@+
-- ~Jean-Marc~ MVP Shell/User Fr ( Vista x86 Ultimate ) - http://msmvps.com/blogs/docxp/ - - http://docxp.mvps.org -
Laurent Jumet
Hello Nina !
Nina Popravka wrote:
Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier. On est sauvés, là... Autoruns décoche mieux que msconfig.
...bien sûr que Autoruns permet plus de choses que msconfig.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello Nina !
Nina Popravka <Nina@nospam.invalid> wrote:
Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui
lance ce fichier.
On est sauvés, là... Autoruns décoche mieux que msconfig.
...bien sûr que Autoruns permet plus de choses que msconfig.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Ce que je ferais, c'est télécharger Autoruns et décocher la ligne qui lance ce fichier. On est sauvés, là... Autoruns décoche mieux que msconfig.
...bien sûr que Autoruns permet plus de choses que msconfig.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Alain LE GUEN
Merci à tous pour vos précieux renseignements. J'ai actuellement neutralisé ce "RootKit" à l'aide de Cports>Kill. Opération que j'ai dû répéter 3 fois après redémarrages successifs. Pendant ce temps il n'est jamais apparu dans AutoRun et le test de HighJack n'a rien révélé??? Toujours est-il que ce fichier "étrange" semble avoir disparu et que mon système a retrouvé un fonctionnement normal. Je suis maintenant armé contre ce type d'intrusion (enfin j'espère), j'attends la prochaine de pieds fermes... Lol Merci encore, cordialement. Alain
Merci à tous pour vos précieux renseignements.
J'ai actuellement neutralisé ce "RootKit" à l'aide de Cports>Kill. Opération
que j'ai dû répéter 3 fois après redémarrages successifs.
Pendant ce temps il n'est jamais apparu dans AutoRun et le test de HighJack
n'a rien révélé???
Toujours est-il que ce fichier "étrange" semble avoir disparu et que mon
système a retrouvé un fonctionnement normal.
Je suis maintenant armé contre ce type d'intrusion (enfin j'espère),
j'attends la prochaine de pieds fermes... Lol
Merci encore, cordialement.
Alain
Merci à tous pour vos précieux renseignements. J'ai actuellement neutralisé ce "RootKit" à l'aide de Cports>Kill. Opération que j'ai dû répéter 3 fois après redémarrages successifs. Pendant ce temps il n'est jamais apparu dans AutoRun et le test de HighJack n'a rien révélé??? Toujours est-il que ce fichier "étrange" semble avoir disparu et que mon système a retrouvé un fonctionnement normal. Je suis maintenant armé contre ce type d'intrusion (enfin j'espère), j'attends la prochaine de pieds fermes... Lol Merci encore, cordialement. Alain
Nina Popravka
On Thu, 11 Oct 2007 18:36:26 +0200, "Alain LE GUEN" wrote:
J'ai actuellement neutralisé ce "RootKit" à l'aide de Cports>Kill. Opération que j'ai dû répéter 3 fois après redémarrages successifs. Attention cports sert à *voir* ce qui se passe, à tuer éventuellement
une connexion établie, mais ça n'est en aucun cas un anti machin. Juste un outil d'analyse qui apporte une interface agréable à netstat.
Pendant ce temps il n'est jamais apparu dans AutoRun et le test de HighJack n'a rien révélé??? C'est parfaitement normal. Vous avez affaire (semble-t-il) un un
rootkit, qui est un machin qui sait se cacher des trucs d'analyse de process et autres classiques.
Toujours est-il que ce fichier "étrange" semble avoir disparu et que mon système a retrouvé un fonctionnement normal. Je pense qu'il est toujours là, et vous devriez voir du côté des anti
rootkits, genre gmer, blacklight, rootkitrevealer et autres. -- Nina
On Thu, 11 Oct 2007 18:36:26 +0200, "Alain LE GUEN"
<aleguen@hotmail.fr> wrote:
J'ai actuellement neutralisé ce "RootKit" à l'aide de Cports>Kill. Opération
que j'ai dû répéter 3 fois après redémarrages successifs.
Attention cports sert à *voir* ce qui se passe, à tuer éventuellement
une connexion établie, mais ça n'est en aucun cas un anti machin.
Juste un outil d'analyse qui apporte une interface agréable à netstat.
Pendant ce temps il n'est jamais apparu dans AutoRun et le test de HighJack
n'a rien révélé???
C'est parfaitement normal. Vous avez affaire (semble-t-il) un un
rootkit, qui est un machin qui sait se cacher des trucs d'analyse de
process et autres classiques.
Toujours est-il que ce fichier "étrange" semble avoir disparu et que mon
système a retrouvé un fonctionnement normal.
Je pense qu'il est toujours là, et vous devriez voir du côté des anti
rootkits, genre gmer, blacklight, rootkitrevealer et autres.
--
Nina
On Thu, 11 Oct 2007 18:36:26 +0200, "Alain LE GUEN" wrote:
J'ai actuellement neutralisé ce "RootKit" à l'aide de Cports>Kill. Opération que j'ai dû répéter 3 fois après redémarrages successifs. Attention cports sert à *voir* ce qui se passe, à tuer éventuellement
une connexion établie, mais ça n'est en aucun cas un anti machin. Juste un outil d'analyse qui apporte une interface agréable à netstat.
Pendant ce temps il n'est jamais apparu dans AutoRun et le test de HighJack n'a rien révélé??? C'est parfaitement normal. Vous avez affaire (semble-t-il) un un
rootkit, qui est un machin qui sait se cacher des trucs d'analyse de process et autres classiques.
Toujours est-il que ce fichier "étrange" semble avoir disparu et que mon système a retrouvé un fonctionnement normal. Je pense qu'il est toujours là, et vous devriez voir du côté des anti
rootkits, genre gmer, blacklight, rootkitrevealer et autres. -- Nina
Alain LE GUEN
Nina,
Je reste vigilant... Je suis impressionné par votre compétence...Si...Si... Je suis sincère... Cordialement. Alain
Nina,
Je reste vigilant...
Je suis impressionné par votre compétence...Si...Si... Je suis sincère...
Cordialement.
Alain
