A votre avis que puis je faire d'autre ?
A votre avis que puis je faire d'autre ?
A votre avis que puis je faire d'autre ?
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]
Bonjour,
j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.
Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d
J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfg�Jf40 03/07/2006 22:38
0 bytes Hidden from Windows API.
J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.
Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.
-Bien entendu Avast ne voit rien...
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.
-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)
(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)
Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)
Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....
A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]
Bonjour,
j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.
Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d
J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfg�Jf40 03/07/2006 22:38
0 bytes Hidden from Windows API.
J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.
Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.
-Bien entendu Avast ne voit rien...
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.
-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)
(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)
Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)
Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....
A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.
[Suivi sur fr.compsecurite.virus en abscence d'autres infos plus
precises.]
Bonjour,
j'ai decouvert que j'avais un service XP anomral. Son nom est
CBDZMCVQG. avec pour executable :
C:DOCUME~1"nom-utilisateurLOCALS~1TempCBDZMCVQG.exe
Ce service est parametre en "manuel" et n'est apparement pas demarré.
J'ai vidé le temp, puis meme supprimmer et recreer le repertoire.
Parralellement,(mais est ce lie?) j'ai decouvert un repertoire
C:Documents and SettingsAll Users.WINDOWSDRM la liste des fichiers
suivante: http://cjoint.com/?hehrCfsa1d
J'ai tente Rootkit Revealer il me donne :
HKLMSYSTEMControlSet002Servicesd347prtCfg�Jf40 03/07/2006 22:38
0 bytes Hidden from Windows API.
J'ai tente BlackLight, il me donne 2 fichiers du style :
c:/kjhgsdytaqnbnxpoiu
je les coches pour renommage mais au reboot suivant ils sont toujours
la et je ne les vois nulle part.
Hier je suis passe par le registe pour essayer de virer ce service :
- 2clefs ont refuse de s'effacees : "erreur d'ecriture", idem en mode
sans echec.
- 2 autres clefs on pu etre supprimees mais au reboot suivant, le
service avait disparu et etait remplace par 2 nouveaux , l'un avec un
nom proche du 1er (suite de lettre) et pointant un .exe dans le meme
rep et l'autre s'appellant ZA pointant toujours vers un hypothetique
ZA.exe dans le meme rep temporaire de l'utilisateur.
-Bien entendu Avast ne voit rien...
-Spybot ne voit rien non plus.
-Ewido ne voit rien que quelques cookies.
-AdAware SE ne trouve rien non plus.
-SmitFraudFix ne trouve rien non plus.
-HiJackThis 1.99.1 voit ceci :
O23 - Service: CBDZMCVQG - Unknown owner -
C:DOCUME~1brutusLOCALS~1TempCBDZMCVQG.exe (file missing)
tout le reste je le connais et sais l'epliquer.
+ Si je coche ce service , HiJackThis le passe en desactivé.
-Le module ADS spy de hijackthis trouve cela :
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesFichiers communsMicrosoft Shared :
X4DHUAHknRYfB16uJRjK (1027 bytes)
C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891 bytes)
C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4 (1086
bytes) C:Program FilesWindowsUpdate : RONGrmuixCxlE6Tyn9ov (891
bytes) C:Program FilesWindowsUpdate : XzDvHeut5hyRuFGROmPnB8ARt4
(1086 bytes)
(note :Ces noms ressemblent a ceux trouve par Black Light sans
pourtant etre les memes.)
Apres suppression et reboot ils n'aparaissent plus dans ADS Spy et
BlackLight ne trouve plus rien.
Rootkit revealer annonce toujours le meme resultat (je pense que ce
347prt c'est DaemonTools)
Par contre le service lui est toujours la (désactivé a defaut de
mieux).
Je ne sais plus ou chercher....
A votre avis que puis je faire d'autre ? je n'ai guere d'elements
pour faire un recherche Internet.
As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?
C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?
Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Tu doit avoir une belle saloperie sur ta machine ...
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.
Repére un maximum de nom /localisations de fichiers, et scan ton disque
As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?
C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?
Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Tu doit avoir une belle saloperie sur ta machine ...
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.
Repére un maximum de nom /localisations de fichiers, et scan ton disque
As-tu gardé une copie du fichier histoire de la passer à l'antivirus voir
le
refiler à ton éditeur préféré pour voi ce qu'il en pense ?
C'est-y pas la zone de stockage des trucs genre licences/certificats DRM ?
Traduction probable : t'as installé un Daemontool v3.x sur ton PC ..ou est
le pb ? tu l'as pas fait exprés ?
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Tu doit avoir une belle saloperie sur ta machine ...
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
As-t uregardé en mode sans echec ? parceque si tu commence àpenser RootKit
...insiste pas en mode normal, tu vera rien, passe en mdoe sans echec ou
mieux, boot avec un CD genre Bart-PE ou démonte ton disque et met-le dans
un
autre PC "propre" , pas la peine d'insister à scanner de l'intérieur un
systeme sérieusement compromis.
Repére un maximum de nom /localisations de fichiers, et scan ton disque
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.
T'as pas encore regardé avec ça http://www.resplendence.com/hookanalyzer
si
il te donne qq infos en plus ?
As-t uvérifié les permissions ? sinon, vérifié avec ça
http://www.sysinternals.com/Utilities/RegDelNull.html si c'est une blague
..comme décris sur la page en question ( j'vais pas faire un copier-coller
de tout hein ... )
Récupére SYSCLEAN chez Trendmicro et scan avec , en mode sans echec.