A votre avis que puis je faire d'autre ?
A votre avis que puis je faire d'autre ?
A votre avis que puis je faire d'autre ?
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]
Bonjour,
j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.
Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d
J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfg Jf40 03/07/2006 22:38
0 bytes Hidden from Windows API.
J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.
Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.
-Bien entendu Avast ne voit rien...
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.
-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)
(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)
Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)
Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....
A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]
Bonjour,
j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.
Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d
J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfg Jf40 03/07/2006 22:38
0 bytes Hidden from Windows API.
J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.
Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.
-Bien entendu Avast ne voit rien...
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.
-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)
(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)
Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)
Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....
A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]
Bonjour,
j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.
Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d
J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfg Jf40 03/07/2006 22:38
0 bytes Hidden from Windows API.
J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.
Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.
-Bien entendu Avast ne voit rien...
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.
-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)
(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)
Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)
Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....
A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.
As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?
C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?
Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Tu doit avoir une belle saloperie sur ta machine ...
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.
Repére un maximum de nom /localisations de fichiers, et scan ton disque
As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?
C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?
Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Tu doit avoir une belle saloperie sur ta machine ...
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.
Repére un maximum de nom /localisations de fichiers, et scan ton disque
As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?
C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?
Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Tu doit avoir une belle saloperie sur ta machine ...
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.
Repére un maximum de nom /localisations de fichiers, et scan ton disque
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
"Ascadix" a écrit dans le message de news:
44aa939b$0$822$
T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
je reviens sur tout cela.
Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30,
ouf) RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me
trouvait deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0
bytes Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005
08:37 0 bytes Key name contains embedded nulls (*)
je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne
sert pas .. :-)
Par contre avec RootKit Hook Analyser j'ai trouver un module qui est
charge, il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.
Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a
disparu.
Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.
"Ascadix" <ascadix.ng@free.fr> a écrit dans le message de news:
44aa939b$0$822$ba4acef3@news.orange.fr...
T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
je reviens sur tout cela.
Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30,
ouf) RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me
trouvait deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0
bytes Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005
08:37 0 bytes Key name contains embedded nulls (*)
je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne
sert pas .. :-)
Par contre avec RootKit Hook Analyser j'ai trouver un module qui est
charge, il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.
Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a
disparu.
Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.
"Ascadix" a écrit dans le message de news:
44aa939b$0$822$
T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
je reviens sur tout cela.
Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30,
ouf) RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me
trouvait deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0
bytes Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005
08:37 0 bytes Key name contains embedded nulls (*)
je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne
sert pas .. :-)
Par contre avec RootKit Hook Analyser j'ai trouver un module qui est
charge, il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.
Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a
disparu.
Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.
"Ascadix" a écrit dans le message de news:
44aa939b$0$822$
As-tu gardé une copie du fichier histoire de la passer à l'antivirus
voir le refiler à ton éditeur préféré pour voi ce qu'il en pense ?
non, quand je suis alle dans le rep je n'ai rien trouve, en Mode Sans
Echec non plus.C'est-y pas la zone de stockage des trucs genre licences/certificats
DRM ?
oui je pense, maus comme ce service ressamble a un rootkit, je
m'interroge. Je ne sais pas qui a cree ce rep DRM, je n'ecoute pas de
musique, peut etre un jeu....Traduction probable : t'as installé un Daemontool v3.x sur ton PC
..ou est le pb ? tu l'as pas fait exprés ?
oui ca ca me semble ok. :-)T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?
je connais pas, je vais voir ca.As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )
J'ai essayer en admin et en mse dans le registre pour le nettoyer.Tu doit avoir une belle saloperie sur ta machine ...
sans doute, et en meme temps elle fonctionne tres bien..Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
ok je vais essaye. J'ai passe un scan en ligne de Kaspersky (4h50 !),
rien machine clean dit il.As-t uregardé en mode sans echec ? parceque si tu commence àpenser
RootKit ...insiste pas en mode normal, tu vera rien, passe en mdoe
sans echec ou
oui j'ai fait en mse avec les applis qui le permettent . Blacklight
par exemple refuse.. (Rootkit revealer aussi je crois)mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le
dans un autre PC "propre" , pas la peine d'insister à scanner de
l'intérieur un systeme sérieusement compromis.
j'ai un systeme de secours, clean sur une autre partition d'un autre
disque. les fichiers n'apparaissent pas plus, et depuis la je ne peux
entrer dans le registre du systeme1 donc pas moyen de virer le
service.
Repére un maximum de nom /localisations de fichiers, et scan ton
disque
ben j'ai tout dit, j'ai pas encore d'autres infos que ces noms de
fichiers tarabiscotes.
Bon je vais essayer les 3 trucs que tu me proposes deja.
Merci :-)
"Ascadix" <ascadix.ng@free.fr> a écrit dans le message de news:
44aa939b$0$822$ba4acef3@news.orange.fr...
As-tu gardé une copie du fichier histoire de la passer à l'antivirus
voir le refiler à ton éditeur préféré pour voi ce qu'il en pense ?
non, quand je suis alle dans le rep je n'ai rien trouve, en Mode Sans
Echec non plus.
C'est-y pas la zone de stockage des trucs genre licences/certificats
DRM ?
oui je pense, maus comme ce service ressamble a un rootkit, je
m'interroge. Je ne sais pas qui a cree ce rep DRM, je n'ecoute pas de
musique, peut etre un jeu....
Traduction probable : t'as installé un Daemontool v3.x sur ton PC
..ou est le pb ? tu l'as pas fait exprés ?
oui ca ca me semble ok. :-)
T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?
je connais pas, je vais voir ca.
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )
J'ai essayer en admin et en mse dans le registre pour le nettoyer.
Tu doit avoir une belle saloperie sur ta machine ...
sans doute, et en meme temps elle fonctionne tres bien..
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
ok je vais essaye. J'ai passe un scan en ligne de Kaspersky (4h50 !),
rien machine clean dit il.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser
RootKit ...insiste pas en mode normal, tu vera rien, passe en mdoe
sans echec ou
oui j'ai fait en mse avec les applis qui le permettent . Blacklight
par exemple refuse.. (Rootkit revealer aussi je crois)
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le
dans un autre PC "propre" , pas la peine d'insister à scanner de
l'intérieur un systeme sérieusement compromis.
j'ai un systeme de secours, clean sur une autre partition d'un autre
disque. les fichiers n'apparaissent pas plus, et depuis la je ne peux
entrer dans le registre du systeme1 donc pas moyen de virer le
service.
Repére un maximum de nom /localisations de fichiers, et scan ton
disque
ben j'ai tout dit, j'ai pas encore d'autres infos que ces noms de
fichiers tarabiscotes.
Bon je vais essayer les 3 trucs que tu me proposes deja.
Merci :-)
"Ascadix" a écrit dans le message de news:
44aa939b$0$822$
As-tu gardé une copie du fichier histoire de la passer à l'antivirus
voir le refiler à ton éditeur préféré pour voi ce qu'il en pense ?
non, quand je suis alle dans le rep je n'ai rien trouve, en Mode Sans
Echec non plus.C'est-y pas la zone de stockage des trucs genre licences/certificats
DRM ?
oui je pense, maus comme ce service ressamble a un rootkit, je
m'interroge. Je ne sais pas qui a cree ce rep DRM, je n'ecoute pas de
musique, peut etre un jeu....Traduction probable : t'as installé un Daemontool v3.x sur ton PC
..ou est le pb ? tu l'as pas fait exprés ?
oui ca ca me semble ok. :-)T'as pas encore regardé avec ça
http://www.resplendence.com/hookanalyzer si il te donne qq infos en
plus ?
je connais pas, je vais voir ca.As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une
blague ..comme décris sur la page en question ( j'vais pas faire un
copier-coller de tout hein ... )
J'ai essayer en admin et en mse dans le registre pour le nettoyer.Tu doit avoir une belle saloperie sur ta machine ...
sans doute, et en meme temps elle fonctionne tres bien..Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
ok je vais essaye. J'ai passe un scan en ligne de Kaspersky (4h50 !),
rien machine clean dit il.As-t uregardé en mode sans echec ? parceque si tu commence àpenser
RootKit ...insiste pas en mode normal, tu vera rien, passe en mdoe
sans echec ou
oui j'ai fait en mse avec les applis qui le permettent . Blacklight
par exemple refuse.. (Rootkit revealer aussi je crois)mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le
dans un autre PC "propre" , pas la peine d'insister à scanner de
l'intérieur un systeme sérieusement compromis.
j'ai un systeme de secours, clean sur une autre partition d'un autre
disque. les fichiers n'apparaissent pas plus, et depuis la je ne peux
entrer dans le registre du systeme1 donc pas moyen de virer le
service.
Repére un maximum de nom /localisations de fichiers, et scan ton
disque
ben j'ai tout dit, j'ai pas encore d'autres infos que ces noms de
fichiers tarabiscotes.
Bon je vais essayer les 3 trucs que tu me proposes deja.
Merci :-)
"Ascadix" a écrit dans le message de news:
44aa939b$0$822$T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
siil te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
je reviens sur tout cela.
Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30, ouf)
RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me trouvait
deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0 bytes
Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005 08:37 0
bytes Key name contains embedded nulls (*)
je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne sert pas
.. :-)
Par contre avec RootKit Hook Analyser j'ai trouver un module qui est charge,
il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.
Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a disparu.
Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.
--
Cordialement,
Az Sam.
Bonsoir,
découvert : application présentant un risque potentiel Invader (loader)
"Ascadix" <ascadix.ng@free.fr> a écrit dans le message de news:
44aa939b$0$822$ba4acef3@news.orange.fr...
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
je reviens sur tout cela.
Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30, ouf)
RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me trouvait
deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0 bytes
Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005 08:37 0
bytes Key name contains embedded nulls (*)
je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne sert pas
.. :-)
Par contre avec RootKit Hook Analyser j'ai trouver un module qui est charge,
il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.
Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a disparu.
Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.
--
Cordialement,
Az Sam.
Bonsoir,
découvert : application présentant un risque potentiel Invader (loader)
"Ascadix" a écrit dans le message de news:
44aa939b$0$822$T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
siil te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
je reviens sur tout cela.
Avec sysclean, rien trouve (plus rapide que Kasper quand meme (3h30, ouf)
RegDellNull me trouve 2 clef avec un "* "que Rootkit analyser me trouvait
deja:
HKLMSOFTWAREAPSoftCustomDMIScope1.00.006*õÜv 01/09/2005 21:21 0 bytes
Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSystem* 30/10/2005 08:37 0
bytes Key name contains embedded nulls (*)
je ne pense pas y toucher. Dmiscope est un programme que j'ai installe
la clef windows, dans le doute je m'abstiens. :-/
Si quelqu'un peut me confirmer a quoi elle sert ou a quoi elle ne sert pas
.. :-)
Par contre avec RootKit Hook Analyser j'ai trouver un module qui est charge,
il a une adresse memoire, et une taille mais pas de nom.
pour le voir je l'ai renomme "ckoi" : http://cjoint.com/?hfqMPlj3oU
Malheureusement le renomage dans l'appli ne renomme pas en realite le
fichier. Donc je ne le trouve pas.
Sinon, concernant le service CBDZMCVQG et les clefs de registre, j'ai
utilise la fonction "supprimmer un service NT" de HJT et tout a disparu.
Mais du coup je n'ai rien identifie de precis, il reste peut etre des
cochonneries quelque part.
Si je peux trouver qui est ce driver sans nom qui est charge des le
demarrage, ce sera deja pas mal.
--
Cordialement,
Az Sam.
Bonsoir,
découvert : application présentant un risque potentiel Invader (loader)
Bonsoir,
KAV 6, me bloque ceci, donc voir, à tout hasard?découvert : application présentant un risque potentiel Invader (loader)
Le processus: C:Program FilesParagon SoftwarePartition
ManagerWinPMWinPM.exe
Bonsoir,
KAV 6, me bloque ceci, donc voir, à tout hasard?
découvert : application présentant un risque potentiel Invader (loader)
Le processus: C:Program FilesParagon SoftwarePartition
ManagerWinPMWinPM.exe
Bonsoir,
KAV 6, me bloque ceci, donc voir, à tout hasard?découvert : application présentant un risque potentiel Invader (loader)
Le processus: C:Program FilesParagon SoftwarePartition
ManagerWinPMWinPM.exe
Si t'es sur de ton copier-coller, il n'y a pas de sous-clef "system" dans
la clef suivante sur un XP standard..
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Si t'es sur de ton copier-coller, il n'y a pas de sous-clef "system" dans
la clef suivante sur un XP standard..
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Si t'es sur de ton copier-coller, il n'y a pas de sous-clef "system" dans
la clef suivante sur un XP standard..
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
"Jean" a écrit dans le message de news:
44ac2150$0$824$Bonsoir,
KAV 6, me bloque ceci, donc voir, à tout hasard?découvert : application présentant un risque potentiel Invader (loader)
Le processus: C:Program FilesParagon SoftwarePartition
ManagerWinPMWinPM.exe
ca n'a pas tellement de rapport avec mon soucis. Que veux tu dire ?
en tout cas je n'ai pas partition manager de paragon.
--
Cordialement,
Az Sam.
Bonsoir,
"Jean" <Jeantoutseul@orange.fr> a écrit dans le message de news:
44ac2150$0$824$ba4acef3@news.orange.fr...
Bonsoir,
KAV 6, me bloque ceci, donc voir, à tout hasard?
découvert : application présentant un risque potentiel Invader (loader)
Le processus: C:Program FilesParagon SoftwarePartition
ManagerWinPMWinPM.exe
ca n'a pas tellement de rapport avec mon soucis. Que veux tu dire ?
en tout cas je n'ai pas partition manager de paragon.
--
Cordialement,
Az Sam.
Bonsoir,
"Jean" a écrit dans le message de news:
44ac2150$0$824$Bonsoir,
KAV 6, me bloque ceci, donc voir, à tout hasard?découvert : application présentant un risque potentiel Invader (loader)
Le processus: C:Program FilesParagon SoftwarePartition
ManagerWinPMWinPM.exe
ca n'a pas tellement de rapport avec mon soucis. Que veux tu dire ?
en tout cas je n'ai pas partition manager de paragon.
--
Cordialement,
Az Sam.
Bonsoir,