[Réseau local ; services ; erreurs] Bon mais c'est quoi encore ce truc ? Allez, quoi, quelqu'un ...
52 réponses
Gloops
Bonjour tout le monde,
Tout-à-l'heure, lorsque j'ai baissé le couvercle de mon portable ça l'a
mis en veille, et lorsque je l'ai relevé, le portable s'est réveillé,
mais m'a signalé un câble réseau débranché. Or, il ne s'agissait pas du
modem ADSL, qui manifestement fonctionne bien.
Il y a une carte pour communication sans fil, mais ça fait des mois
qu'elle n'est pas branchée. Sur le moment j'ai supposé que c'était ça,
elle suscite parfois ce genre de message au démarrage de session.
J'ignore si ça a quelque chose à voir, mais j'ai ensuite essayé de faire
une mise à jour d'antivirus à l'aide de SuperExec de JCB et d'un
navigateur maison, or SuperExec m'a jeté avec "Erreur d'exécution :
Erreur code 193". J'ai vérifié que l'application appelée fonctionne bien.
Au sujet de cette erreur 193 j'ai failli appeler JCB à la rescousse, et
puis je me suis aperçu que derrière il y avait une fenêtre indiquant que
Maplenet était en cours de démarrage, et que ça pouvait prendre quelques
minutes. Seulement, si "quelques" dépasse la trentaine, je trouve quand
même qu'il y a un malaise. Au demeurant, Maplenet, ça ne me cause pas
plus que ça. J'ai vu que c'est une entreprise qui vend du matériel de
réseau, et qui publie des composants, mais lequel là-dedans est concerné ?
Mes favoris réseau existent toujours, mais il n'y a rien dedans.
Le chkdsk a bien pris une cinquantaine de minutes, mais il ne m'a pas
semblé qu'il m'ait signalé quelque chose. La phase qui a pris le plus de
temps était la 4, vérification du fichier, dans lequel si je ne m'abuse
la 3 venait d'écrire les données des descripteurs de sécurité.
Profitons un peu du paysage dans l'observateur d'événements, catégorie
système (ordre chronologique, après le redémarrage) :
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {4F9B9553-DCE9-4899-BB45-4D62B0CDF2E3} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {CD89D352-5A13-49F8-9EB5-7E6D1FB0CD57} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {CD89D352-5A13-49F8-9EB5-7E6D1FB0CD57} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : Service Control Manager
ID de l'événement : 7001
Le service DDE réseau dépend du service DSDM DDE réseau qui n'a pas pu
démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou
qu'aucun périphérique activé ne lui est associé.
*
Il y a des soucis avec certains services, il me semble ?
Mais ça fait quand même une centaine de lignes, de pas loin de deux
cents caractères chacune, alors j'ai rangé ça là :
http://www.zailes.org/Data/Services.csv
ou si on préfère quelque chose de lisible :
http://www.zailes.org/Data/services.html
(attention, les URL sont sensibles à la casse)
Je disais il y a une semaine que j'avais découvert un répertoire
bizarre, j'aimerais vérifier si ces noms de services disent quelque
chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait :
AWHGAJUSHTO
MCLXBOGWRPJWK
Qu'est-ce que je dirais bien encore ?
Ah oui, que cette machine me donne quelques doutes, je l'ai déjà dit :
http://groups.google.fr/group/microsoft.public.fr.windowsxp/browse_thread/thread/65660644e21f5e3e/52338f00f3aef4fc?lnk=st&q=group%3Amicrosoft.public.fr.windowsxp+author%3AGloops&rnum=25&hl=fr#52338f00f3aef4fc
(même newsgroup, 9 août 20:39, "Trucs bizarres")
Je ne savais pas encore si le nom d'utilisateur vu dans la liste avait
un répertoire dans Documents and Settings, il s'est avéré que si (bien
planqué).
Depuis j'ai mis McAfee dans le coup, en espérant que ça les inspire plus.
Pour ce qui est de RootkitRevealer, le conflit avec CMD s'est réglé en
redémarrant, mais il n'empêche que six heures ne suffisent pas à
analyser 56 Go, et qu'après j'ai tendance à me dire que ça ne marchera
pas. ça tombe mal que SysInternals soit en cours de restructuration,
apparemment je ne suis pas le premier à rencontrer ce problème.
Il y a quand même une chose sympathique, c'est le gestionnaire de
périphériques : rien de rouge, ni de jaune ("pourvou qué ça dourle ...").
Cet après-midi, j'ai réinstallé l'antivirus McAfee (oui, j'avais fait
une restauration système et il y est allergique), et ensuite j'ai fait
une analyse : système nickel (qu'il dit).
Ben, ça en faisait, sur la patate, hein ?
Je commence par où, maintenant ?
Ah oui j'ai oublié de préciser après tout ça : SuperExec dénonce toujours une erreur 193.
Nina Popravka
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops wrote:
Je commence par où, maintenant ? Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.
A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et j'ai un assez gros disque assez plein de merdier... Je commencerais par : - aller voir à quels exécutables correspondent les services martiens et ce qu'ils foutent là. - lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne sous quel utilisateur, et TOUS les identifier - lancer cports et identifier tout ce qui parle et écoute, pourquoi, à qui, sous quel utilisateur. Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine (voir ton autre post), je m'affolerais très très sérieusement ;->>>>>> Je ne m'énerverais pas avec un antivirus, parce que j'aime bien comprendre... Et si ça n'était pas MA machine, je passerais tout au lance flamme et réinstallerais tout, pas envie d'y passer ma journée :-))))) -- Nina
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops <gloops@niark.invalid>
wrote:
Je commence par où, maintenant ?
Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.
A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et
j'ai un assez gros disque assez plein de merdier...
Je commencerais par :
- aller voir à quels exécutables correspondent les services martiens
et ce qu'ils foutent là.
- lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne
sous quel utilisateur, et TOUS les identifier
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à
qui, sous quel utilisateur.
Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine
(voir ton autre post), je m'affolerais très très sérieusement ;->>>>>>
Je ne m'énerverais pas avec un antivirus, parce que j'aime bien
comprendre...
Et si ça n'était pas MA machine, je passerais tout au lance flamme et
réinstallerais tout, pas envie d'y passer ma journée :-)))))
--
Nina
Je commence par où, maintenant ? Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.
A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et j'ai un assez gros disque assez plein de merdier... Je commencerais par : - aller voir à quels exécutables correspondent les services martiens et ce qu'ils foutent là. - lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne sous quel utilisateur, et TOUS les identifier - lancer cports et identifier tout ce qui parle et écoute, pourquoi, à qui, sous quel utilisateur. Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine (voir ton autre post), je m'affolerais très très sérieusement ;->>>>>> Je ne m'énerverais pas avec un antivirus, parce que j'aime bien comprendre... Et si ça n'était pas MA machine, je passerais tout au lance flamme et réinstallerais tout, pas envie d'y passer ma journée :-))))) -- Nina
Nina Popravka
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops wrote:
j'aimerais vérifier si ces noms de services disent quelque chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait : AWHGAJUSHTO MCLXBOGWRPJWK J'oubliais : les deux martiens, c'est toi qui les as désactivés, je
suppose ? -- Nina
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops <gloops@niark.invalid>
wrote:
j'aimerais vérifier si ces noms de services disent quelque
chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait :
AWHGAJUSHTO
MCLXBOGWRPJWK
J'oubliais : les deux martiens, c'est toi qui les as désactivés, je
j'aimerais vérifier si ces noms de services disent quelque chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait : AWHGAJUSHTO MCLXBOGWRPJWK J'oubliais : les deux martiens, c'est toi qui les as désactivés, je
suppose ? -- Nina
Gloops
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops wrote:
Je commence par où, maintenant ? Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.
A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et j'ai un assez gros disque assez plein de merdier...
Donc ce n'est pas d'abord sur RootkitRevealer qu'il faudra agir, mais voir ce qui bloque ...
Je commencerais par : - aller voir à quels exécutables correspondent les services martiens et ce qu'ils foutent là.
Oh, ben ça ne sent pas bon : C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe C:DOCUME~1adminLOCALS~1TempHAS.exe C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
En fait, ça crèche au même endroit que RevelationV2 au moment où j'ai essayé de l'effacer. J'ai envoyé tout le répertoire à la poubelle, mais ce que je crains, c'est que si on a su les mettre une fois, on saura recommencer. Si c'est vraiment ce que j'ai mis en quarantaine il y a des chances qu'une fois les traces situées on arrive à écoper, mais encore s'agit-il de savoir ... C'est fou, ce truc-là est resté tranquille un an ou deux, ne m'a jamais cherché de poux sur la machine où je l'ai utilisé, et là, à partir de la sauvegarde ça se met à déconner. Peut-être un cookie serait allé chercher dedans ? C'est assez mystérieux ces petits bouts de texte qui arrivent à faire tant de dégâts. Mais peut-être que j'ai tout autre chose de vérolé, à la base.
- lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne sous quel utilisateur, et TOUS les identifier J'ai un tfswctrl.exe, ça c'est normal, mais path not available, c'est
plus mystérieux. Autrement je ne vois pas de noms exotiques, mais bien entendu, si on sait se cacher d'un antivirus, on sait aussi se cacher de ProcessExplorer ...
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à qui, sous quel utilisateur.
Bon, c'est en cours de téléchargement. Oh, et puis ça fait une sieste au bout de 2%, sent pas bon non plus c't'affaire-là.
Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine (voir ton autre post), je m'affolerais très très sérieusement ;->>>>>>
Ben ... oui. Eh oui et puis alors "RD kTchH", accès refusé (à l'administrateur). Je vais voir en sans échec, pour voir. D'autant que pour aller gérer les droits sur un répertoire non visible, ça ne se fait pas comme d'habitude, on dirait qu'il y en a qui ont peur que je m'ennuie ...
Je ne m'énerverais pas avec un antivirus, parce que j'aime bien comprendre...
D'autant que le propre du rootkit, c'est de se cacher de l'antivirus (et il a l'air de faire ça assez bien) Enfin en général McAfee explique assez bien, une fois qu'ils savent.
Et si ça n'était pas MA machine, je passerais tout au lance flamme et réinstallerais tout, pas envie d'y passer ma journée :-)))))
Voui. Tu fais ça dans quel ordre, le lance-flammes d'abord, et ensuite on installe sur les cendres ? :)
J'ai fait des sauvegardes d'image avec Ghost, mais j'ai comme l'impression que j'ai intérêt à démarrer ma restauration avec un système sain -et je me demande comment le vérifier. J'imagine que le CD de restauration est démarrable, autrement ce serait un comble. C'est aussi une sauvegarde Ghost.
Quant à dire que je ne vais pas y passer du temps si je dois tout réinstaller ...
Et est-ce que ce que je vais réinstaller est sain ?
Parce que tout remettre à plat d'accord, mais si on ne sait pas d'où vient le mal on peut y passer du temps et se trouver Gros Jean comme devant ...
Merci pour ces quelques indices.
On Mon, 14 Aug 2006 03:21:35 +0200, Gloops <gloops@niark.invalid>
wrote:
Je commence par où, maintenant ?
Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.
A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et
j'ai un assez gros disque assez plein de merdier...
Donc ce n'est pas d'abord sur RootkitRevealer qu'il faudra agir, mais
voir ce qui bloque ...
Je commencerais par :
- aller voir à quels exécutables correspondent les services martiens
et ce qu'ils foutent là.
Oh, ben ça ne sent pas bon :
C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
C:DOCUME~1adminLOCALS~1TempHAS.exe
C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe
C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
En fait, ça crèche au même endroit que RevelationV2 au moment où j'ai
essayé de l'effacer.
J'ai envoyé tout le répertoire à la poubelle, mais ce que je crains,
c'est que si on a su les mettre une fois, on saura recommencer.
Si c'est vraiment ce que j'ai mis en quarantaine il y a des chances
qu'une fois les traces situées on arrive à écoper, mais encore s'agit-il
de savoir ...
C'est fou, ce truc-là est resté tranquille un an ou deux, ne m'a jamais
cherché de poux sur la machine où je l'ai utilisé, et là, à partir de la
sauvegarde ça se met à déconner. Peut-être un cookie serait allé
chercher dedans ? C'est assez mystérieux ces petits bouts de texte qui
arrivent à faire tant de dégâts.
Mais peut-être que j'ai tout autre chose de vérolé, à la base.
- lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne
sous quel utilisateur, et TOUS les identifier
J'ai un tfswctrl.exe, ça c'est normal, mais path not available, c'est
plus mystérieux.
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on
sait se cacher d'un antivirus, on sait aussi se cacher de
ProcessExplorer ...
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à
qui, sous quel utilisateur.
Bon, c'est en cours de téléchargement. Oh, et puis ça fait une sieste au
bout de 2%, sent pas bon non plus c't'affaire-là.
Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine
(voir ton autre post), je m'affolerais très très sérieusement ;->>>>>>
Ben ... oui.
Eh oui et puis alors "RD kTchH", accès refusé (à l'administrateur).
Je vais voir en sans échec, pour voir.
D'autant que pour aller gérer les droits sur un répertoire non visible,
ça ne se fait pas comme d'habitude, on dirait qu'il y en a qui ont peur
que je m'ennuie ...
Je ne m'énerverais pas avec un antivirus, parce que j'aime bien
comprendre...
D'autant que le propre du rootkit, c'est de se cacher de l'antivirus (et
il a l'air de faire ça assez bien)
Enfin en général McAfee explique assez bien, une fois qu'ils savent.
Et si ça n'était pas MA machine, je passerais tout au lance flamme et
réinstallerais tout, pas envie d'y passer ma journée :-)))))
Voui. Tu fais ça dans quel ordre, le lance-flammes d'abord, et ensuite
on installe sur les cendres ? :)
J'ai fait des sauvegardes d'image avec Ghost, mais j'ai comme
l'impression que j'ai intérêt à démarrer ma restauration avec un système
sain -et je me demande comment le vérifier. J'imagine que le CD de
restauration est démarrable, autrement ce serait un comble. C'est aussi
une sauvegarde Ghost.
Quant à dire que je ne vais pas y passer du temps si je dois tout
réinstaller ...
Et est-ce que ce que je vais réinstaller est sain ?
Parce que tout remettre à plat d'accord, mais si on ne sait pas d'où
vient le mal on peut y passer du temps et se trouver Gros Jean comme
devant ...
Je commence par où, maintenant ? Au vu de tout ça, je dirais qu'elle est légèrement vérolée, en effet.
A titre indicatif, RootKitRevealer a fini en 5 mn sur ma bécane, et j'ai un assez gros disque assez plein de merdier...
Donc ce n'est pas d'abord sur RootkitRevealer qu'il faudra agir, mais voir ce qui bloque ...
Je commencerais par : - aller voir à quels exécutables correspondent les services martiens et ce qu'ils foutent là.
Oh, ben ça ne sent pas bon : C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe C:DOCUME~1adminLOCALS~1TempHAS.exe C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
En fait, ça crèche au même endroit que RevelationV2 au moment où j'ai essayé de l'effacer. J'ai envoyé tout le répertoire à la poubelle, mais ce que je crains, c'est que si on a su les mettre une fois, on saura recommencer. Si c'est vraiment ce que j'ai mis en quarantaine il y a des chances qu'une fois les traces situées on arrive à écoper, mais encore s'agit-il de savoir ... C'est fou, ce truc-là est resté tranquille un an ou deux, ne m'a jamais cherché de poux sur la machine où je l'ai utilisé, et là, à partir de la sauvegarde ça se met à déconner. Peut-être un cookie serait allé chercher dedans ? C'est assez mystérieux ces petits bouts de texte qui arrivent à faire tant de dégâts. Mais peut-être que j'ai tout autre chose de vérolé, à la base.
- lancer ProcessExplorer (chez Sysinternals) pour voir ce qui tourne sous quel utilisateur, et TOUS les identifier J'ai un tfswctrl.exe, ça c'est normal, mais path not available, c'est
plus mystérieux. Autrement je ne vois pas de noms exotiques, mais bien entendu, si on sait se cacher d'un antivirus, on sait aussi se cacher de ProcessExplorer ...
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à qui, sous quel utilisateur.
Bon, c'est en cours de téléchargement. Oh, et puis ça fait une sieste au bout de 2%, sent pas bon non plus c't'affaire-là.
Et oui, si je voyais apparaître un nouvel utilisateur sur ma machine (voir ton autre post), je m'affolerais très très sérieusement ;->>>>>>
Ben ... oui. Eh oui et puis alors "RD kTchH", accès refusé (à l'administrateur). Je vais voir en sans échec, pour voir. D'autant que pour aller gérer les droits sur un répertoire non visible, ça ne se fait pas comme d'habitude, on dirait qu'il y en a qui ont peur que je m'ennuie ...
Je ne m'énerverais pas avec un antivirus, parce que j'aime bien comprendre...
D'autant que le propre du rootkit, c'est de se cacher de l'antivirus (et il a l'air de faire ça assez bien) Enfin en général McAfee explique assez bien, une fois qu'ils savent.
Et si ça n'était pas MA machine, je passerais tout au lance flamme et réinstallerais tout, pas envie d'y passer ma journée :-)))))
Voui. Tu fais ça dans quel ordre, le lance-flammes d'abord, et ensuite on installe sur les cendres ? :)
J'ai fait des sauvegardes d'image avec Ghost, mais j'ai comme l'impression que j'ai intérêt à démarrer ma restauration avec un système sain -et je me demande comment le vérifier. J'imagine que le CD de restauration est démarrable, autrement ce serait un comble. C'est aussi une sauvegarde Ghost.
Quant à dire que je ne vais pas y passer du temps si je dois tout réinstaller ...
Et est-ce que ce que je vais réinstaller est sain ?
Parce que tout remettre à plat d'accord, mais si on ne sait pas d'où vient le mal on peut y passer du temps et se trouver Gros Jean comme devant ...
Merci pour ces quelques indices.
Nina Popravka
On Mon, 14 Aug 2006 11:19:06 +0200, Gloops wrote:
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on sait se cacher d'un antivirus, on sait aussi se cacher de ProcessExplorer ... On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je
pense... En revanche, on peut très facilement ressembler à un process connu :-) (j'ai laissé passer un lsass.exe contrefait à la première lecture la semaine dernière...) Quant aux antivirus, heu... bin... selon les races ça laisse passer certains trucs et pas d'autres. -- Nina
On Mon, 14 Aug 2006 11:19:06 +0200, Gloops <gloops@niark.invalid>
wrote:
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on
sait se cacher d'un antivirus, on sait aussi se cacher de
ProcessExplorer ...
On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je
pense...
En revanche, on peut très facilement ressembler à un process connu :-)
(j'ai laissé passer un lsass.exe contrefait à la première lecture la
semaine dernière...)
Quant aux antivirus, heu... bin... selon les races ça laisse passer
certains trucs et pas d'autres.
--
Nina
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on sait se cacher d'un antivirus, on sait aussi se cacher de ProcessExplorer ... On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je
pense... En revanche, on peut très facilement ressembler à un process connu :-) (j'ai laissé passer un lsass.exe contrefait à la première lecture la semaine dernière...) Quant aux antivirus, heu... bin... selon les races ça laisse passer certains trucs et pas d'autres. -- Nina
Gloops
AWHGAJUSHTO MCLXBOGWRPJWK J'oubliais : les deux martiens, c'est toi qui les as désactivés, je
suppose ?
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi. Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se réactivent tout seuls.
AWHGAJUSHTO
MCLXBOGWRPJWK
J'oubliais : les deux martiens, c'est toi qui les as désactivés, je
suppose ?
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi.
Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se
réactivent tout seuls.
AWHGAJUSHTO MCLXBOGWRPJWK J'oubliais : les deux martiens, c'est toi qui les as désactivés, je
suppose ?
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi. Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se réactivent tout seuls.
Gloops
- lancer cports et identifier tout ce qui parle et écoute, pourquoi, à qui, sous quel utilisateur.
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi. Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se réactivent tout seuls.
Au fait ça serait bien vicieux puisque j'ai vidé le répertoire. Ah, oui, un répertoire temporaire, pour ne pas dire d'où on vient ...
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi.
Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se
réactivent tout seuls.
Au fait ça serait bien vicieux puisque j'ai vidé le répertoire. Ah, oui,
un répertoire temporaire, pour ne pas dire d'où on vient ...
Ils n'étaient pas démarrés, ça doit être pour tromper l'ennemi. Depuis tout-à-l'heure je les ai carrément désactivés, on verra si ils se réactivent tout seuls.
Au fait ça serait bien vicieux puisque j'ai vidé le répertoire. Ah, oui, un répertoire temporaire, pour ne pas dire d'où on vient ...
c'est les process name, et toute la partie de droite à partir de process path, des fois que tu voies une bizarrerie. -- Nina
Gloops
On Mon, 14 Aug 2006 11:19:06 +0200, Gloops wrote:
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on sait se cacher d'un antivirus, on sait aussi se cacher de ProcessExplorer ...
Bon, ce n'est pas énorme, je l'ai mis ici en-dessous.
On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je pense...
Un article dans la presse était alarmant sur le niveau de connaissances mis en œuvre aujourd'hui pour développer certaines saletés.
En revanche, on peut très facilement ressembler à un process connu :-) (j'ai laissé passer un lsass.exe contrefait à la première lecture la semaine dernière...)
Quant aux antivirus, heu... bin... selon les races ça laisse passer certains trucs et pas d'autres.
C'est pour ça que j'en ai lancé trois. Mais bien sûr si ils mettent en œuvre des API vérolées ...
Alors voilà procexpl. Là j'ai laissé la messagerie en route, alors que je l'avais arrêtée pour les ports, pour que ce soit plus lisible.
acs c'est Atheros Configuration Service (Atheros est la marque de mon modem)
Process PID CPU Description Company Name System Idle Process 0 Interrupts n/a Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 500 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 568 winlogon.exe 596 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 640 Applications Services et Contrôleur Microsoft Corporation ati2evxx.exe 832 ATI External Event Utility EXE Module ATI Technologies Inc. svchost.exe 848 Generic Host Process for Win32 Services Microsoft Corporation MpfAgent.exe 1756 FxSvr2.exe 3248 WindowsSearchIndexer.exe 1000 svchost.exe 912 svchost.exe 1032 Generic Host Process for Win32 Services Microsoft Corporation THotkey.exe 1456 Hotkey Utility TOSHIBA TPSMain.exe 3516 TOSHIBA Corporation IEXPLORE.EXE 3612 Internet Explorer Microsoft Corporation IEXPLORE.EXE 2292 Internet Explorer Microsoft Corporation procexp.exe 3124 Sysinternals Process Explorer Sysinternals acs.exe 1156 svchost.exe 1236 svchost.exe 1296 spoolsv.exe 1472 Spooler SubSystem App Microsoft Corporation CFSvcs.exe 1676 Service of ConfigFree. TOSHIBA CORPORATION GHOSTS~2.EXE 1716 Norton Ghost Start Symantec Corporation Mcdetect.exe 1748 McAfee WSC Integration Service McAfee, Inc McShield.exe 1772 On-Access Scanner service McAfee Inc. McTskshd.exe 1804 McAfee Task Scheduler McAfee, Inc MpfService.exe 1892 McAfee Personal Firewall Service McAfee Corporation svchost.exe 1928 Generic Host Process for Win32 Services Microsoft Corporation TAPPSRV.exe 1944 TOSHIBA TAPPSRV TOSHIBA Corp. tardisnt.exe 1960 wdfmgr.exe 128 fxssvc.exe 332 Service de télécopie Microsoft Corporation alg.exe 1872 iPodService.exe 3168 iPodService Module Apple Computer, Inc. lsass.exe 652 LSA Shell (Export Version) Microsoft Corporation ati2evxx.exe 2328 ATI External Event Utility EXE Module ATI Technologies Inc. explorer.exe 2412 1.56 SynTPLpr.exe 2912 SynTPEnh.exe 2492 1.56 ltmoh.exe 2844 TvsTray.exe 2852 NDSTray.exe 3740 SmoothView.exe 2860 PadExe.exe 3064 1.56 tfswctrl.exe 3348 CFSServ.exe 656 CFXFER.exe 2564 DecomptNet.exe 3264 ACU.exe 3284 iTunesHelper.exe 3236 GhostStartTrayApp.exe 776 mcagent.exe 3060 ctfmon.exe 1552 MpfTray.exe 3512 LVCOMSX.EXE 3784 LogiTray.exe 3556 mcvsshld.exe 1372 McVSEscn.exe 2540 oasclnt.exe 2584 wonderkeys.exe 260 WksDict.exe 468 thunderbird.exe 1208 ClocX.exe 2616 1.56 fdm.exe 2972 TWizard.exe 1376 Sonnaille.exe 2876 93.75 WindowsSearch.exe 2692 pddlghlp.exe 2428 WkCalRem.exe 696 soffice.exe 2152 soffice.bin 2512 ctfmon.exe 2232 CTF Loader Microsoft Corporation soffice.exe 3508 OpenOffice.org 2.0 OpenOffice.org soffice.bin 2000 OpenOffice.org 2.0 OpenOffice.org
On Mon, 14 Aug 2006 11:19:06 +0200, Gloops <gloops@niark.invalid>
wrote:
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on
sait se cacher d'un antivirus, on sait aussi se cacher de
ProcessExplorer ...
Bon, ce n'est pas énorme, je l'ai mis ici en-dessous.
On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je
pense...
Un article dans la presse était alarmant sur le niveau de connaissances
mis en uvre aujourd'hui pour développer certaines saletés.
En revanche, on peut très facilement ressembler à un process connu :-)
(j'ai laissé passer un lsass.exe contrefait à la première lecture la
semaine dernière...)
Quant aux antivirus, heu... bin... selon les races ça laisse passer
certains trucs et pas d'autres.
C'est pour ça que j'en ai lancé trois. Mais bien sûr si ils mettent en
uvre des API vérolées ...
Alors voilà procexpl. Là j'ai laissé la messagerie en route, alors que
je l'avais arrêtée pour les ports, pour que ce soit plus lisible.
acs c'est Atheros Configuration Service (Atheros est la marque de mon modem)
Process PID CPU Description Company Name
System Idle Process 0
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 500 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 568
winlogon.exe 596 Application d'ouverture de session Windows NT
Microsoft Corporation
services.exe 640 Applications Services et Contrôleur Microsoft
Corporation
ati2evxx.exe 832 ATI External Event Utility EXE Module ATI
Technologies Inc.
svchost.exe 848 Generic Host Process for Win32 Services Microsoft
Corporation
MpfAgent.exe 1756
FxSvr2.exe 3248
WindowsSearchIndexer.exe 1000
svchost.exe 912
svchost.exe 1032 Generic Host Process for Win32 Services
Microsoft Corporation
THotkey.exe 1456 Hotkey Utility TOSHIBA
TPSMain.exe 3516 TOSHIBA Corporation
IEXPLORE.EXE 3612 Internet Explorer Microsoft Corporation
IEXPLORE.EXE 2292 Internet Explorer Microsoft Corporation
procexp.exe 3124 Sysinternals Process Explorer Sysinternals
acs.exe 1156
svchost.exe 1236
svchost.exe 1296
spoolsv.exe 1472 Spooler SubSystem App Microsoft Corporation
CFSvcs.exe 1676 Service of ConfigFree. TOSHIBA CORPORATION
GHOSTS~2.EXE 1716 Norton Ghost Start Symantec Corporation
Mcdetect.exe 1748 McAfee WSC Integration Service McAfee, Inc
McShield.exe 1772 On-Access Scanner service McAfee Inc.
McTskshd.exe 1804 McAfee Task Scheduler McAfee, Inc
MpfService.exe 1892 McAfee Personal Firewall Service McAfee
Corporation
svchost.exe 1928 Generic Host Process for Win32 Services
Microsoft Corporation
TAPPSRV.exe 1944 TOSHIBA TAPPSRV TOSHIBA Corp.
tardisnt.exe 1960
wdfmgr.exe 128
fxssvc.exe 332 Service de télécopie Microsoft Corporation
alg.exe 1872
iPodService.exe 3168 iPodService Module Apple Computer, Inc.
lsass.exe 652 LSA Shell (Export Version) Microsoft Corporation
ati2evxx.exe 2328 ATI External Event Utility EXE Module ATI
Technologies Inc.
explorer.exe 2412 1.56
SynTPLpr.exe 2912
SynTPEnh.exe 2492 1.56
ltmoh.exe 2844
TvsTray.exe 2852
NDSTray.exe 3740
SmoothView.exe 2860
PadExe.exe 3064 1.56
tfswctrl.exe 3348
CFSServ.exe 656
CFXFER.exe 2564
DecomptNet.exe 3264
ACU.exe 3284
iTunesHelper.exe 3236
GhostStartTrayApp.exe 776
mcagent.exe 3060
ctfmon.exe 1552
MpfTray.exe 3512
LVCOMSX.EXE 3784
LogiTray.exe 3556
mcvsshld.exe 1372
McVSEscn.exe 2540
oasclnt.exe 2584
wonderkeys.exe 260
WksDict.exe 468
thunderbird.exe 1208
ClocX.exe 2616 1.56
fdm.exe 2972
TWizard.exe 1376
Sonnaille.exe 2876 93.75
WindowsSearch.exe 2692
pddlghlp.exe 2428
WkCalRem.exe 696
soffice.exe 2152
soffice.bin 2512
ctfmon.exe 2232 CTF Loader Microsoft Corporation
soffice.exe 3508 OpenOffice.org 2.0 OpenOffice.org
soffice.bin 2000 OpenOffice.org 2.0 OpenOffice.org
Autrement je ne vois pas de noms exotiques, mais bien entendu, si on sait se cacher d'un antivirus, on sait aussi se cacher de ProcessExplorer ...
Bon, ce n'est pas énorme, je l'ai mis ici en-dessous.
On ne peut pas se cacher de Process Explorer ET Rootkit Revealer, je pense...
Un article dans la presse était alarmant sur le niveau de connaissances mis en œuvre aujourd'hui pour développer certaines saletés.
En revanche, on peut très facilement ressembler à un process connu :-) (j'ai laissé passer un lsass.exe contrefait à la première lecture la semaine dernière...)
Quant aux antivirus, heu... bin... selon les races ça laisse passer certains trucs et pas d'autres.
C'est pour ça que j'en ai lancé trois. Mais bien sûr si ils mettent en œuvre des API vérolées ...
Alors voilà procexpl. Là j'ai laissé la messagerie en route, alors que je l'avais arrêtée pour les ports, pour que ce soit plus lisible.
acs c'est Atheros Configuration Service (Atheros est la marque de mon modem)
Process PID CPU Description Company Name System Idle Process 0 Interrupts n/a Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 500 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 568 winlogon.exe 596 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 640 Applications Services et Contrôleur Microsoft Corporation ati2evxx.exe 832 ATI External Event Utility EXE Module ATI Technologies Inc. svchost.exe 848 Generic Host Process for Win32 Services Microsoft Corporation MpfAgent.exe 1756 FxSvr2.exe 3248 WindowsSearchIndexer.exe 1000 svchost.exe 912 svchost.exe 1032 Generic Host Process for Win32 Services Microsoft Corporation THotkey.exe 1456 Hotkey Utility TOSHIBA TPSMain.exe 3516 TOSHIBA Corporation IEXPLORE.EXE 3612 Internet Explorer Microsoft Corporation IEXPLORE.EXE 2292 Internet Explorer Microsoft Corporation procexp.exe 3124 Sysinternals Process Explorer Sysinternals acs.exe 1156 svchost.exe 1236 svchost.exe 1296 spoolsv.exe 1472 Spooler SubSystem App Microsoft Corporation CFSvcs.exe 1676 Service of ConfigFree. TOSHIBA CORPORATION GHOSTS~2.EXE 1716 Norton Ghost Start Symantec Corporation Mcdetect.exe 1748 McAfee WSC Integration Service McAfee, Inc McShield.exe 1772 On-Access Scanner service McAfee Inc. McTskshd.exe 1804 McAfee Task Scheduler McAfee, Inc MpfService.exe 1892 McAfee Personal Firewall Service McAfee Corporation svchost.exe 1928 Generic Host Process for Win32 Services Microsoft Corporation TAPPSRV.exe 1944 TOSHIBA TAPPSRV TOSHIBA Corp. tardisnt.exe 1960 wdfmgr.exe 128 fxssvc.exe 332 Service de télécopie Microsoft Corporation alg.exe 1872 iPodService.exe 3168 iPodService Module Apple Computer, Inc. lsass.exe 652 LSA Shell (Export Version) Microsoft Corporation ati2evxx.exe 2328 ATI External Event Utility EXE Module ATI Technologies Inc. explorer.exe 2412 1.56 SynTPLpr.exe 2912 SynTPEnh.exe 2492 1.56 ltmoh.exe 2844 TvsTray.exe 2852 NDSTray.exe 3740 SmoothView.exe 2860 PadExe.exe 3064 1.56 tfswctrl.exe 3348 CFSServ.exe 656 CFXFER.exe 2564 DecomptNet.exe 3264 ACU.exe 3284 iTunesHelper.exe 3236 GhostStartTrayApp.exe 776 mcagent.exe 3060 ctfmon.exe 1552 MpfTray.exe 3512 LVCOMSX.EXE 3784 LogiTray.exe 3556 mcvsshld.exe 1372 McVSEscn.exe 2540 oasclnt.exe 2584 wonderkeys.exe 260 WksDict.exe 468 thunderbird.exe 1208 ClocX.exe 2616 1.56 fdm.exe 2972 TWizard.exe 1376 Sonnaille.exe 2876 93.75 WindowsSearch.exe 2692 pddlghlp.exe 2428 WkCalRem.exe 696 soffice.exe 2152 soffice.bin 2512 ctfmon.exe 2232 CTF Loader Microsoft Corporation soffice.exe 3508 OpenOffice.org 2.0 OpenOffice.org soffice.bin 2000 OpenOffice.org 2.0 OpenOffice.org
