[Réseau local ; services ; erreurs] Bon mais c'est quoi encore ce truc ? Allez, quoi, quelqu'un ...

Le
Gloops
Bonjour tout le monde,

Tout-à-l'heure, lorsque j'ai baissé le couvercle de mon portable ça l'a
mis en veille, et lorsque je l'ai relevé, le portable s'est réveillé,
mais m'a signalé un câble réseau débranché. Or, il ne s'agissait pas du
modem ADSL, qui manifestement fonctionne bien.

Il y a une carte pour communication sans fil, mais ça fait des mois
qu'elle n'est pas branchée. Sur le moment j'ai supposé que c'était ça,
elle suscite parfois ce genre de message au démarrage de session.

J'ignore si ça a quelque chose à voir, mais j'ai ensuite essayé de faire
une mise à jour d'antivirus à l'aide de SuperExec de JCB et d'un
navigateur maison, or SuperExec m'a jeté avec "Erreur d'exécution :
Erreur code 193". J'ai vérifié que l'application appelée fonctionne bien.

Au sujet de cette erreur 193 j'ai failli appeler JCB à la rescousse, et
puis je me suis aperçu que derrière il y avait une fenêtre indiquant que
Maplenet était en cours de démarrage, et que ça pouvait prendre quelques
minutes. Seulement, si "quelques" dépasse la trentaine, je trouve quand
même qu'il y a un malaise. Au demeurant, Maplenet, ça ne me cause pas
plus que ça. J'ai vu que c'est une entreprise qui vend du matériel de
réseau, et qui publie des composants, mais lequel là-dedans est concerné ?

Mes favoris réseau existent toujours, mais il n'y a rien dedans.

Le chkdsk a bien pris une cinquantaine de minutes, mais il ne m'a pas
semblé qu'il m'ait signalé quelque chose. La phase qui a pris le plus de
temps était la 4, vérification du fichier, dans lequel si je ne m'abuse
la 3 venait d'écrire les données des descripteurs de sécurité.

Profitons un peu du paysage dans l'observateur d'événements, catégorie
système (ordre chronologique, après le redémarrage) :

Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {4F9B9553-DCE9-4899-BB45-4D62B0CDF2E3} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {CD89D352-5A13-49F8-9EB5-7E6D1FB0CD57} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {CD89D352-5A13-49F8-9EB5-7E6D1FB0CD57} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : Service Control Manager
ID de l'événement : 7001
Le service DDE réseau dépend du service DSDM DDE réseau qui n'a pas pu
démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou
qu'aucun périphérique activé ne lui est associé.

*
Il y a des soucis avec certains services, il me semble ?
Mais ça fait quand même une centaine de lignes, de pas loin de deux
cents caractères chacune, alors j'ai rangé ça là :
http://www.zailes.org/Data/Services.csv

ou si on préfère quelque chose de lisible :
http://www.zailes.org/Data/services.html

(attention, les URL sont sensibles à la casse)

Je disais il y a une semaine que j'avais découvert un répertoire
bizarre, j'aimerais vérifier si ces noms de services disent quelque
chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait :
AWHGAJUSHTO
MCLXBOGWRPJWK

Qu'est-ce que je dirais bien encore ?
Ah oui, que cette machine me donne quelques doutes, je l'ai déjà dit :
http://groups.google.fr/group/microsoft.public.fr.windowsxp/browse_thread/thread/65660644e21f5e3e/52338f00f3aef4fc?lnk=st&q=group%3Amicrosoft.public.fr.windowsxp+author%3AGloops&rnum%&hl=fr#52338f00f3aef4fc

(même newsgroup, 9 août 20:39, "Trucs bizarres")

Je ne savais pas encore si le nom d'utilisateur vu dans la liste avait
un répertoire dans Documents and Settings, il s'est avéré que si (bien
planqué).

Depuis j'ai mis McAfee dans le coup, en espérant que ça les inspire plus.

Pour ce qui est de RootkitRevealer, le conflit avec CMD s'est réglé en
redémarrant, mais il n'empêche que six heures ne suffisent pas à
analyser 56 Go, et qu'après j'ai tendance à me dire que ça ne marchera
pas. ça tombe mal que SysInternals soit en cours de restructuration,
apparemment je ne suis pas le premier à rencontrer ce problème.

Il y a quand même une chose sympathique, c'est le gestionnaire de
périphériques : rien de rouge, ni de jaune ("pourvou qué ça dourle ").

Cet après-midi, j'ai réinstallé l'antivirus McAfee (oui, j'avais fait
une restauration système et il y est allergique), et ensuite j'ai fait
une analyse : système nickel (qu'il dit).

Ben, ça en faisait, sur la patate, hein ?
Je commence par où, maintenant ?
Vos réponses Page 1 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gloops
Le #1360005
Ah oui j'ai oublié de préciser après tout ça : SuperExec dénonce
toujours une erreur 193.
Nina Popravka
Le #1359985
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops wrote:

Je commence par où, maintenant ?
Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.

A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et
j'ai un assez gros disque assez plein de merdier...
Je commencerais par :
- aller voir à quels exécutables correspondent les services martiens
et ce qu'ils foutent là.
- lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne
sous quel utilisateur, et TOUS les identifier
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à
qui, sous quel utilisateur.
Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine
(voir ton autre post), je m'affolerais très très sérieusement ;->>>>>>
Je ne m'énerverais pas avec un antivirus, parce que j'aime bien
comprendre...
Et si ça n'était pas MA machine, je passerais tout au lance flamme et
réinstallerais tout, pas envie d'y passer ma journée :-)))))
--
Nina

Nina Popravka
Le #1359972
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops wrote:

j'aimerais vérifier si ces noms de services disent quelque
chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait :
AWHGAJUSHTO
MCLXBOGWRPJWK
J'oubliais : les deux martiens, c'est toi qui les as désactivés, je

suppose ?
--
Nina

Gloops
Le #1359959
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops wrote:

Je commence par où, maintenant ?
Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.

A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et
j'ai un assez gros disque assez plein de merdier...


Donc ce n'est pas d'abord sur RootkitRevealer qu'il faudra agir, mais
voir ce qui bloque ...

Je commencerais par :
- aller voir à quels exécutables correspondent les services martiens
et ce qu'ils foutent là.


Oh, ben ça ne sent pas bon :
C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
C:DOCUME~1adminLOCALS~1TempHAS.exe
C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe
C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe

En fait, ça crèche au même endroit que RevelationV2 au moment où j'ai
essayé de l'effacer.
J'ai envoyé tout le répertoire à la poubelle, mais ce que je crains,
c'est que si on a su les mettre une fois, on saura recommencer.
Si c'est vraiment ce que j'ai mis en quarantaine il y a des chances
qu'une fois les traces situées on arrive à écoper, mais encore s'agit-il
de savoir ...
C'est fou, ce truc-là est resté tranquille un an ou deux, ne m'a jamais
cherché de poux sur la machine où je l'ai utilisé, et là, à partir de la
sauvegarde ça se met à déconner. Peut-être un cookie serait allé
chercher dedans ? C'est assez mystérieux ces petits bouts de texte qui
arrivent à faire tant de dégâts.
Mais peut-être que j'ai tout autre chose de vérolé, à la base.

- lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne
sous quel utilisateur, et TOUS les identifier
J'ai un tfswctrl.exe, ça c'est normal, mais path not available, c'est

plus mystérieux.
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on
sait se cacher d'un antivirus, on sait aussi se cacher de
ProcessExplorer ...


- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à
qui, sous quel utilisateur.


Bon, c'est en cours de téléchargement. Oh, et puis ça fait une sieste au
bout de 2%, sent pas bon non plus c't'affaire-là.

Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine
(voir ton autre post), je m'affolerais très très sérieusement ;->>>>>>


Ben ... oui.
Eh oui et puis alors "RD kTchH", accès refusé (à l'administrateur).
Je vais voir en sans échec, pour voir.
D'autant que pour aller gérer les droits sur un répertoire non visible,
ça ne se fait pas comme d'habitude, on dirait qu'il y en a qui ont peur
que je m'ennuie ...

Je ne m'énerverais pas avec un antivirus, parce que j'aime bien
comprendre...


D'autant que le propre du rootkit, c'est de se cacher de l'antivirus (et
il a l'air de faire ça assez bien)
Enfin en général McAfee explique assez bien, une fois qu'ils savent.

Et si ça n'était pas MA machine, je passerais tout au lance flamme et
réinstallerais tout, pas envie d'y passer ma journée :-)))))


Voui. Tu fais ça dans quel ordre, le lance-flammes d'abord, et ensuite
on installe sur les cendres ? :)

J'ai fait des sauvegardes d'image avec Ghost, mais j'ai comme
l'impression que j'ai intérêt à démarrer ma restauration avec un système
sain -et je me demande comment le vérifier. J'imagine que le CD de
restauration est démarrable, autrement ce serait un comble. C'est aussi
une sauvegarde Ghost.

Quant à dire que je ne vais pas y passer du temps si je dois tout
réinstaller ...

Et est-ce que ce que je vais réinstaller est sain ?

Parce que tout remettre à plat d'accord, mais si on ne sait pas d'où
vient le mal on peut y passer du temps et se trouver Gros Jean comme
devant ...

Merci pour ces quelques indices.


Nina Popravka
Le #1359954
On Mon, 14 Aug 2006 11:19:06 +0200, Gloops wrote:

Autrement je ne vois pas de noms exotiques, mais bien entendu, si on
sait se cacher d'un antivirus, on sait aussi se cacher de
ProcessExplorer ...
On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je

pense...
En revanche, on peut très facilement ressembler à un process connu :-)
(j'ai laissé passer un lsass.exe contrefait à la première lecture la
semaine dernière...)
Quant aux antivirus, heu... bin... selon les races ça laisse passer
certains trucs et pas d'autres.
--
Nina

Gloops
Le #1359951
AWHGAJUSHTO
MCLXBOGWRPJWK
J'oubliais : les deux martiens, c'est toi qui les as désactivés, je

suppose ?


Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi.
Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se
réactivent tout seuls.


Gloops
Le #1359949
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à
qui, sous quel utilisateur.


Bon, voilà :
http://www.zailes.org/Data/cports.html

Gloops
Le #1359948
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi.
Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se
réactivent tout seuls.


Au fait ça serait bien vicieux puisque j'ai vidé le répertoire. Ah, oui,
un répertoire temporaire, pour ne pas dire d'où on vient ...

Nina Popravka
Le #1359944
On Mon, 14 Aug 2006 11:41:37 +0200, Gloops wrote:

Bon, voilà :
http://www.zailes.org/Data/cports.html
C'est d'un calme totalement déprimant, mais ce que tu dois regarder,

c'est les process name, et toute la partie de droite à partir de
process path, des fois que tu voies une bizarrerie.
--
Nina

Gloops
Le #1359942
On Mon, 14 Aug 2006 11:19:06 +0200, Gloops wrote:

Autrement je ne vois pas de noms exotiques, mais bien entendu, si on
sait se cacher d'un antivirus, on sait aussi se cacher de
ProcessExplorer ...



Bon, ce n'est pas énorme, je l'ai mis ici en-dessous.

On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je
pense...


Un article dans la presse était alarmant sur le niveau de connaissances
mis en œuvre aujourd'hui pour développer certaines saletés.

En revanche, on peut très facilement ressembler à un process connu :-)
(j'ai laissé passer un lsass.exe contrefait à la première lecture la
semaine dernière...)




Quant aux antivirus, heu... bin... selon les races ça laisse passer
certains trucs et pas d'autres.


C'est pour ça que j'en ai lancé trois. Mais bien sûr si ils mettent en
œuvre des API vérolées ...

Alors voilà procexpl. Là j'ai laissé la messagerie en route, alors que
je l'avais arrêtée pour les ports, pour que ce soit plus lisible.

acs c'est Atheros Configuration Service (Atheros est la marque de mon modem)

Process PID CPU Description Company Name
System Idle Process 0
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 500 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 568
winlogon.exe 596 Application d'ouverture de session Windows NT
Microsoft Corporation
services.exe 640 Applications Services et Contrôleur Microsoft
Corporation
ati2evxx.exe 832 ATI External Event Utility EXE Module ATI
Technologies Inc.
svchost.exe 848 Generic Host Process for Win32 Services Microsoft
Corporation
MpfAgent.exe 1756
FxSvr2.exe 3248
WindowsSearchIndexer.exe 1000
svchost.exe 912
svchost.exe 1032 Generic Host Process for Win32 Services
Microsoft Corporation
THotkey.exe 1456 Hotkey Utility TOSHIBA
TPSMain.exe 3516 TOSHIBA Corporation
IEXPLORE.EXE 3612 Internet Explorer Microsoft Corporation
IEXPLORE.EXE 2292 Internet Explorer Microsoft Corporation
procexp.exe 3124 Sysinternals Process Explorer Sysinternals
acs.exe 1156
svchost.exe 1236
svchost.exe 1296
spoolsv.exe 1472 Spooler SubSystem App Microsoft Corporation
CFSvcs.exe 1676 Service of ConfigFree. TOSHIBA CORPORATION
GHOSTS~2.EXE 1716 Norton Ghost Start Symantec Corporation
Mcdetect.exe 1748 McAfee WSC Integration Service McAfee, Inc
McShield.exe 1772 On-Access Scanner service McAfee Inc.
McTskshd.exe 1804 McAfee Task Scheduler McAfee, Inc
MpfService.exe 1892 McAfee Personal Firewall Service McAfee
Corporation
svchost.exe 1928 Generic Host Process for Win32 Services
Microsoft Corporation
TAPPSRV.exe 1944 TOSHIBA TAPPSRV TOSHIBA Corp.
tardisnt.exe 1960
wdfmgr.exe 128
fxssvc.exe 332 Service de télécopie Microsoft Corporation
alg.exe 1872
iPodService.exe 3168 iPodService Module Apple Computer, Inc.
lsass.exe 652 LSA Shell (Export Version) Microsoft Corporation
ati2evxx.exe 2328 ATI External Event Utility EXE Module ATI
Technologies Inc.
explorer.exe 2412 1.56
SynTPLpr.exe 2912
SynTPEnh.exe 2492 1.56
ltmoh.exe 2844
TvsTray.exe 2852
NDSTray.exe 3740
SmoothView.exe 2860
PadExe.exe 3064 1.56
tfswctrl.exe 3348
CFSServ.exe 656
CFXFER.exe 2564
DecomptNet.exe 3264
ACU.exe 3284
iTunesHelper.exe 3236
GhostStartTrayApp.exe 776
mcagent.exe 3060
ctfmon.exe 1552
MpfTray.exe 3512
LVCOMSX.EXE 3784
LogiTray.exe 3556
mcvsshld.exe 1372
McVSEscn.exe 2540
oasclnt.exe 2584
wonderkeys.exe 260
WksDict.exe 468
thunderbird.exe 1208
ClocX.exe 2616 1.56
fdm.exe 2972
TWizard.exe 1376
Sonnaille.exe 2876 93.75
WindowsSearch.exe 2692
pddlghlp.exe 2428
WkCalRem.exe 696
soffice.exe 2152
soffice.bin 2512
ctfmon.exe 2232 CTF Loader Microsoft Corporation
soffice.exe 3508 OpenOffice.org 2.0 OpenOffice.org
soffice.bin 2000 OpenOffice.org 2.0 OpenOffice.org


Publicité
Poster une réponse
Anonyme