ipl_001

Re, Tesgaz... toi qui sais tout Que faut-il pour empêcher la suppression d'un fichier en mode sans échec de Windows ? - processus (sans échec) - droit d'accès au fichier ou dossier - lecture seule Au fait, Fuse, quelle est l'organisation de fichiers ? FAT ? NTFS ?

Bonjour tesgaz, bonjour à tous, Autre solution semblable mais plus commode (je ne sais pas dans le cas de Fuse) : Installer un autre OS dans une autre partition... il faut toujours avoir une petite partition en rab ! Tesgaz... oui mais, comment ta solution (de même pour la mienne) pourrait-elle mieux fonctionner qu'un accès Knoppix ?

Bonjour à tous, Merci à toutes les nouvelles recrues venues donner une solution ! ... on le tient le programme à faire développer par hexanium ! LOL un truc capable de nous ratatiner tout processus et tout fichier (je raconte des sottises parce que si Knoppix n'y parvient pas... il y a un truc spécial !)

Okay, merci pour ta réponse tesgaz ! De mon côté, je ne trouve absolument rien d'infectieux dans le rapport HijackThis ! Certains n'aiment pas FlashGet mais plutôt pour une affaire de collecte abusif d'infos plutôt que de blocage du Gestionnaire des tâches ! Plutôt un dysfonctionnement Système !

Bonjour olimy95, tesgaz, bonjour à tous, Je te souhaite la bienvenue sur Zebulon ! Merci de venir sur notre forum ! tesgaz, connais-tu le nom du fichier qui lance le gestionnaire des tâches (un cpl, un exe ???). S'il s'agit d'un .exe, est-ce que ton idée de renommage en .com ne serait pas une solution ? Je regarde le log HijackThis... réponse d'ici 15 minutes env. !

Re, S'il te plaît, Fuse, voudrais-tu bien récapituler : - dans quels cas arrive-t-on à supprimer le fichier ? - dans quels cas a-t-on un message de refus ? - dans quels cas y a-t-il recréation, réinfection immédiate ? au reboot ? Mon idée en demandant çà est : Est-ce qu'il suffit de supprimer cette fichue DLL ? auquel cas, nous pourrions demander de l'aide aux spécialistes système / réseau de Zeb'

Bonjour Fuse, Clafouti, bonjour à tous, Un grand merci à Clafouti pour venir aider ! Je suis bien désarçonné ! Quelques idées/questions (folles) : - comment techniquement parlant, peut-on empêcher la suppression en mode sans échec ? protection par un des rares processus qui tourne et qui serait donc infecté ? Fuse... répète nous s'il te plaît (j'ai la flemme de tout relire) : lorsque tu supprimes en mode sans échec, est-ce que çà supprime vraiment ? est-ce que çà revient quelques secondes après (un processus qui recrée) ? est-ce que çà revient au prochain reboot (réinfection) ? - as-tu regardé les propriétés de la .DLL ? attribut lecture seule ? droits d'accès (mets tout le monde) ? - comment empêcher Knoppix de supprimer un fichier d'un disque Windows ??? Y a-t-il des attributs Windows dont Knoppix tiendra compte ? lecture seule ? droits d'accès ? -Fuse, tu as listé 4 clés/valeurs du registres qui parle de ce fichier... veux-tu bien Sauvegarder les clés puis supprimer les 4 clés/valeurs incriminées ? - je reviens sur le mode sans échec... nom de nom, pour empêcher la suppression d'un fichier, s'il n'y a pas de lecture seule, s'il n'y a pas de restriction de droit d'accès comme fichier à droit d'accès Systeme (comme la zone de restauration)... qu'est-ce que c'est ? Veux-tu bien fermer toutes les fenêtres et lister tous les processus ? Mon idée est qu'il y a un processus lancé par une clé inhabituelle ; pas une des clés RUN ou autre très connue mais mais que les pirates ont mis le doigt sur une clé qui est lancée même en sans échec et qui, de plus, est oubliée (laissée de côté) par HijackThis. Je rappelle qu'il y a tout un tas de manières pour lancer un programme au démarrage de Windows... tout un tas de clés inconnus de nous et peut-être non référencées par Microsoft : --- http://www.bleepingcomputer.com/forums/tutorial44.html --- http://www.pestpatrol.com/pestinfo/AutoStartingPests.asp --- http://www.silentrunners.org/sr_lauchpoints.html --- http://www.lacave.net/~jokeuse/usenet/demarrage.html --- http://assiste.free.fr/p/internet_attaques...e_demarrage.php - je me demande aussi s'il n'y a pas un module -jugé comme annodin- qui passe la main à un autre module infectieux ! Fuse, je suis désolé de te mettre ainsi à contribution pour des tests... heureusement que tu me sembles être un utilisateur très averti !

Bonjour à tous, Je reporte ici ce que j'ai écrit dans une autre discussion parallèle : (source : http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry495432 )

Bonjour tesgaz, megataupe, Laubean, Clafouti, bonjour à tous, Est-ce que PrevX ne fait pas çà ? ( http://www.prevx.com/ ) heu, il existe une version free... ---édition : voici l'URL pour la version Home gratuite http://www.prevx.com/prevxhome.asp

Rebonsoir Fuse, rebonsoir à tous, Télécharge, installe, lance, mets à jout et scanne Ewido : http://www.ewido.net/en/download/ Poste le rapport ! ---édition : je vais me coucher ! @demain !

Rebonsoir denfert, rebonsoir à tous, Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497}- (no file) O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [type32] "D:\Program Files\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWSX\System32\\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CloneCDTray] D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ADUserMon] D:\Program Files\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [updReg] D:\WINDOWSX\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [vdlDeamon] D:\Program Files\Havas Medimedia\Communs\Vidal.exe O4 - HKLM\..\Run: [iomega Drive Icons] D:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] D:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ASDPLUGIN] D:\WINDOWSX\system32\france.exe -N O4 - HKLM\..\Run: [HELPER] D:\WINDOWSX\system32\sweden.exe -N O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWSX\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: MS Office - Démarrage accéléré.lnk = D:\Applications\office95\Office\FASTBOOT.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Applications\office2000\Office\OSA9.EXE O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Scheduler d'Iomega Backup.lnk = D:\Program Files\Iomega\Iomega Backup\dtsc.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: SpySubtract.lnk = D:\Program Files\Intermute\SpySubstract\SpySub.exe O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk142XXUS O8 - Extra context menu item: Pages liées - res://d:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://d:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://d:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...mileyCentralIni tialSetup1.0.0.8.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://www.axilog.fr/inetcomp/iftwclix.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...trendmicro.com/ housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWSX\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWSX\System32\CTSvcCDA.exe O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - D:\Program Files\Iomega\AutoDisk\ADService.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - D:\WINDOWSX\system32\france.exe -N En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Renomme les fichiers suivants ! Je te les fais renommer car ils me sont inconnus et je ne veux pas les perdre, juste les rendre inactifs (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l'extension.anc : - D:\WINDOWSX\system32\sweden.exe Si tout est bon dans 2 jours, tu les supprimeras. Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir denfert, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! ??? Je ne connais pas ton spysummd !!! efficace ? j'irai étudier ça ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes ! (parce que c'est toi ! LOL)

Ce n'était pas un reproche mais au contraire des félicitations pour la patience et la persévérance !J'imagine bien que ce n'étaient pas des posts inutiles comme on a pu en voir sous d'autres cieux !

"aluerba" est "abreula" à l'envers !Quelles dates chacun des fichiers ? Y a-t-il d'autres fichiers avec la même date ? Oui, à mon avis, ils marchent ensemble ! Peux-tu renommer ces 2 fichiers en "aluerba-ini.anc" & "abreula-dll.anc" ? Sinon, peux-tu, en mode sans échec : - écraser par un autre fichier (de même nom bien sûr) créé avec notepad et ne contenant que 3 astérisques (par exemple) - éditer abreula.dll et enlever tout ce qu'il y a dedans ? Poste un autre rapport HijackThis !

Bonsoir adoums, queruak, bonsoir à tous, jeudi 28 avril 2005 à 21h00 -> aujourd'hui à 01h13 3 pages / 36 réponses ! Ouf ! Félicitations pour avoir remporter cette longue lutte ! Chapeau !

Bonsoir KewlCat, bonsoir à tous, Par quoi es-tu donc intrigué, KewlCat ?

A quoi joues-tu, yokelou ?

LOL Bonsoir hervlec, Chercheur, bonsoir à tous, Comme tu peux le voir, tu as les mêmes interlocuteurs quel que soit le forum ! LOL

Bonsoir sebdraluorg, bonsoir à tous, Qui dit liste noire dit que quelqu'un est à l'affut de toutes les arrivées de malwares !Virus qui arrive, c'est déjà chaud, malware qui arrive, c'est "metal jaune" Avec une liste noire, on est toujours un temps derrière lorsqu'on s'appelle Symantec (il faut que le virus soir lancé dans la nature, détecté et analysé) ; lorsqu'on s'appelle Zebulon, on doit se rapprocher d'un professionnel de la détection mondiale et on sera encore avec 2 temps en retard ! Liste noire, ça veut aussi dire mise à jour permanente des tables de définition... pas de problème pour les utilisateurs puisqu'hexanium y mettra Updater ! Il faut travailler plus en amont ! Je voudrais faire remarquer : - pourquoi ne pas surveiller les fichiers ds dossiers système récemment installés ? c'est ce que je faisais il y a queques années avant l'arrivée d'HijackThis et de tous les spywares/adwares ! - HijackThis est un centre de contrôle, un programme qui se refuse à mettre le doigt sur les malwares eux-mêmes et se contente de surveiller sur les endroits de la base de registres où peuvent être activés les programmes ! Avantage : pas de liste noire à mettre à jour en permannence ; on travaille au niveau des méthodes et c'est valable pour les malwares à venir sauf amélioration de la part des pirates (ce qui se produit maintenant très souvent !) Inconvénient : besoin d'interprétation d ela part d'un humain Remarque : certains ont tenté de compléter HJT avec des robots d'interprétation (j'en connais une ptite dizaine) mais ils ne sont pas à mettre entre es mains de tout un chacun... et ne le seront jamais... n'oublions pas en effet, que les pirates sont des humains et qu'ils programment en fonction des outils de protection et surtout, il y a beaucoup d'argent à se faire de la part de sociétés mafieuses !

Rebonsoir teiseken, rebonsoir à tous, C'est normal car dès que la connexion est établie, il va voir s'il y a des mises à jour à effectuer puis ensuite il se décharge ! Je ne sais pas quelles raisons tu as pour ne pas vouloir d'antivirus, pare-feu et autres protections mais tu prends des risques !Si tu choisis d'alléger ton système au maximum par exemple pour avoir toute la puissance pour des jeux, je te conseillerais plutôt de créer plusieurs profils et d'avoir toutes les protections lorsque tu surfes ! Ce que tu suggères n'est pas suffisant non plus... scan AV journalier !!! Si tu défragmentes régulièrement, ce sera rapide ! Je ne sais pas où tu es allé chercher que le site WindowsUpdate était la proie des pirates... il est vrai qu'il fut un temps où il y a eu des attaques en dDoS sur le site de M$ mais dDos ne veux pas dire infection !!!Non, je n'ai jamais entendu parler de page Windows Update infectées ! Oui, il faut faire les mises à jour sauf si tu compenses par d'autres protections et si tu es expert en sécurité et si tu es plus vigilant et précautionneux !

Merci !Je vais aller voir ! Je suis membre de ce forum... si Acrobase est sur le coup, il va te déloger ça vite fait ! ---édition : pow-wow n'est pas mauvais mais moins bon qu'Acrobase... et que Chercheur !

Fuse, Merci pour les infos RegSeeker (tu m'as l'air de t'y connaître... très bien !) La première et la quatrième correspondent à ce qu'on voit dans HijackThis : respectivement en O2 et O20 Les lignes 2 et 3 correspondent à des recherches que tu as faites (je pense) "MRU" = Most Recently Used

Fuse, Je tâche toujours de me tenir au courant de l'avancement et du niveau des forums de France et de Navarre (et du monde entier) : pourrais-je savoir quel est le forum qui n'a pas su (l'URL de la discussion si tu veux bien) ? Chercheur, O2 et O20 indélogeables -> L2Mfix (ou à la rigueur About:Buster) !!

Bonsoir Fuse, Chercheur, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! Certes HJT ne pourra pas enlever ces lignes O2 et O20... nouvelle technique de la part des pirates mais nous y parviendrons ! Don't worry! A toi Chercheur !

Rebonsoir hexanium, tesgaz, sebdraluorg, rebonsoir à tous, Juste quelques remarques concernant les propos de sebdraluorg : - attention qu'il y a des domaines spéciaux comme par exemple les antivirus... ils sont actuellement encore principalement basés sur des tables de définition de virus ce qui sous entend qu'ils attendent l'arrivée, la détection, l'analyse d'un virus pour les contrer et ils ont toujours un temps de retard ! Développer un antivirus signifie donc soit courir sans arrêt derrière avec l'absolue nécessité de prospecter et de faire évoluer les tables et le logiciel ou de mettre enfin au point (V-Guard existe depuis des décennies) un antivirus qui travaille au niveau du comportement d'un malware ! Le projet 'Le Rimouveur' d'anti-virus Français m'a bien l'air d'être aux oubliettes ! - les malwares feintent sans cesse les moyens de défense car outre le fait que les AV sont sans cesse en retard (par conception), ils jouent sur la spécialisation actuelle des outils de défense : antivieus, antitrojans, antispywares, etc. Les pirates programmes de manière à être à la limite des détections des antixxx et créent des malwares composites (à la fois virus, cheval de Troie, spyware, adware, etc.) Si nous concevons un logiciel de détection a posteriori/de prévention, il doit bosser sur toute la largeur ! - les pirates font sans cesse des progrès et les programmes de protection sont à la ramasse ! Lisez simplement ces 2 URL : -> http://www.cookiecentral.com/ - ".: Adware/Spyware Vendor Sued Over 'Invasive' Software" ( http://www.pcworld.com/news/article/0,aid,120641,00.asp ) - ".: The Sad State of Spyware" ( http://www.eweek.com/article2/0,1759,1788825,00.asp ) - ".: ID theft: Not 'if,' but 'when'" ( http://toledoblade.com/apps/pbcs.dll/artic...ESS07/503270328 ) - ".: Goodbye To Privacy" - ".: In Digital World, Privacy Is Being Eroded For Commercial Gain" - ".: Widespread Internet Attack Cripples Computers with Spyware" Vous y verrez que la guerre est impitoyable et rude ! -> http://www.cio.com/archive/031505/security.html "How To Save The Internet", un article qui annonce la mort de l'Internet pour 2006 due au tsunami malware (le gars aurait annoncé dès 2001) ! - détecter les éléments néfastes est une chose délicate mais de nombreux outils ont été développés même si ces jours ci, nous avons quelques surprises avec de nouveaux maux. Enlever les éléments néfastes est une toute autre paire de manche car il y a des système de protection, de réinfection sophistiqués mis en place... Les beaux outils d'hier (Ad-Aware, Spybot) sont dépassés aujourd'hui et nous courons après de nouveaux scanners ! Bien sûr, travailler plus en amont, au niveau de la surveillance est différent et "plus facile" mais ce ne sera qu'une petite partie du problème (il y aura toujours la grosse majorité des ordinateurs non protégée). 4 aspects de la lutte antimalware... hexanium, lorsque je lis dans ton message que tu nettoies à la main, le système de tes copains, j'en suis à penser que tes copains n'avaient pas de belles infections (de plus en plus dure chaque jour) et je t'ai suggéré de venir sur Sécurité te faire une idée...