angelique

moi je vois ça: usb2 via????? t'aurais pas un carte pci usb via ...... USB 2.0 (VT6202, VT6212) USB 2.0 Multi-lingual driver package http://www.viaarena.com/default.aspx?PageI...00&SubCatID=122 cependant je vois ça--->chipset de ta cm-->nvdianforce3 motherd board asus Faudrait voir à bien identifier si c'est du via qui gere tes usb!!mais qd je vois nforce3 comme chipset cm Guru va t'épauler...voir ce qu'il en pense!!

'soir; DAP est toujours viré par les conseillers sécu,car considéré comme pas cool... 1/ça serait bien de compléter ce genre d'info afin que les membres cible mieux ton os ton profil: 2/tu dois l'avoir dans ajout/supp de programmes,desinstalles le,et vires ensuite son repertoire restant en program files. Utilises la fonction "rechercher" et tapes y download accelerator plus Supprimes les reprtoires s'il en trouve d'autres. 3/Télécharge et installe les logiciels suivants au préalable: - AtfCleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php -Reboot en mode sans echec Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. -executer---cleanmgr 4/reboots

tu peux nous rappeler le lien où les conseillers ont planché sur zebulon avec ton probleme! stp

et ton hdd ide est bien en master? nappe 80 fils??

ça ne sera pas necessaire,la procedure de pré-nettoyage a fait ses preuves,le log.txt qui en découle pour etre analyser par un conseiller secu aussi,et leur methode tres claire.... Donc buzz 06,tu suis la procedure,tu postes ton rapport hijack,et un conseiller analysera ton .txt et te donnera la démarche à suivre.

Profil d'entreprise de la Chine Network Communications Group Corporation La Chine Network Communications Corporation (ci-après désignée sous le nom de la « commande numérique par ordinateur ») est une entreprise superbe de télécommunications en Chine et l'associé fixe de service de télécommunications pour les 2008 jeux olympiques. C'est un opérateur bien connu de télécommunications en Chine et dans le monde. Je ne suis pas experte mais je pense: Provider qui te balance un paquet pour trouver des ip libres,c'est pour son attribution des ip de ses abonnés, za fait donc son boulot!!

ne peux tu pas cocher la case "ne plus afficher..." ds ta fenetre d'alerte ,comme ça za bossera en silence... Rien d'anormal que tu subissent des attaques!! humm!!! mais vu que c'est un provider,c'est le meme principe que jazy50,recherche d'ip libre je pense!!

la suite ici: http://forum.zebulon.fr/index.php?showtopic=95800&hl=

personnellement ,suis sous xp là,2000 connais pas!!cependant c'est le meme noyau... fsutil.ex_ est present sur le cd d'xp: donc doit l'etre sur ton cd de 2000. donc essaies en mettant ton cd ds ton lecteur d:\ executer cmd expand d:\i386\fsutil.ex_ c:\windows\system32\fsutil.exe

charte:

La suite là: http://forum.zebulon.fr/index.php?showtopic=95715&hl=

je reviens avec un test j'ai kill ntvdm.exe et j'ai shutdown l'os....ce message apparrait mais pourtant aucune error ds l'obs d'evenement,il le repertorie juste comme évenement mais en bleu ,pas de x rouge ou ! jaune: Je precise que si ntvdm.exe n'est pas kill ,aucune erreur de ce style..au shutdown du pc! : Application popup : ntvdm.exe - Erreur d'application : L'instruction à "0x77f59ecd" emploie l'adresse mémoire "0x00000010". La mémoire ne peut pas être "written". google rien,bilou walou!!!

je rajoute un screen du process: si qlq1 pouvait me filer un coup de main à identifier le log/dll qui utilise ntvdm.exe un reboot: Merci!

bon je ne vois de trace de ntvdm.exe nul part pourtant existant ds le taskmgr: faut regarder où dans autorun lol?? si j'utilise "find" et y tape ntvdm.exe ,autorun trouve rien

essaies de sauvegarder le cookies en C:\Documents and Settings\regis56\Cookies regis56@zebulon[2] à vraie dire je sais pas trop mais cependant si tu ouvres regis56@zebulon[2]: __utma 269030778.1606696041.1148238694.1148238694.1148238694.1 zebulon.fr/ 1600 2350186496 32111674 1612867216 29785354 * __utmz 269030778.1148238694.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none) zebulon.fr/ 1600 475879168 29822067 1613337216 29785354 * zebuforums_member_id 145560 zebulon.fr/ 153x 3666508xxx29858779 18559xxxx 29785xxx * [color=#FF0000]zebuforums_pass_hash[/color]xxxxxexxxxxexxxxxxxdbjxxx9 zebulon.fr/ 153x 3666508xxx29858779 18559xxxx 29785xxx * zebuforums_pass_hash saute aux yeux ...hash MD5 qui crypte le mdp. Sous firefox,je ne sais pas o{u est localisé le cookies d'identification. P't'etre une piste...!!

bon sans avoir le pc sous les yeux,je pense avoir résolu le truc infos: 1/Daemon tool au boot du pc 2/HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ VirtualDeviceDrivers Cette clé stocke les pilotes de périphérique utilisés dans une session NTVDM. Le programme d'installation de Windows crée ces entrées lors de l'installation d'un pilote de périphérique. 3/D'ou l'appel de ntvdm.exe au boot du pc vu le threads de ntvdm.exe Ca me parrait logique. A vérifier demain!! avec autorun

j'vais le coupler avec processexplorer pour voir. et tu sais pourquoi blacklight ne reconnais pas les process 16bits?? Merci Pitcat

et oui je le remonte Y'a pas une appli. qui me dirait precisement quel logs/prog/driver eventuellement lance ntvdm.exe au boot??? NTVDM.EXE de microsoft se lance au boot,donc y'a bien une appli 16 bits qui le reclame!!!

P't'etre une attaque DDOS comme ça s'est deja produit en novembre....2004

je rajoute une info sur le threads de ntvdm.exe:

alors j'ai procedé par élimination en comparant "show all process" de balcklight et un cmd/tasklist il en ressort: ntvdm.exe 476 Console 0 48 Ko n'est pas pris en compte ds blacklight ds "show all process" et tasklist ne donne pas ce process du PID 476 <Unavailable> ds le rapport de balcklight d'aujourd'hui donc tjrs meme question: 05/21/06 16:39:20 [Error]: 6024 1 ????????? <Unavailable>----PID 476 ntvdm.exe pour les appli 16bits qui donne ça??? pourquoi?? quel est donc ,ou quel serait le comportement et l'efficacité de blacklight sur un rootkit employant un 16-bit process to execute on a 32-bit platform???aucune detection du rootkit? est ce pertinant comme question ou fais-je fausse piste?? Merci

de rien!!

BaRtWoRlDv6 as tu tjrs ce truc de system32 au boot?? Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - AtfCleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php -Reboot en mode sans echec Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine postes ton rapport ewido

-blacklight ne montre rien..smitfraudfix oui! 1/relance hijackthis do a system scan only et fixcheck juste cette ligne: O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\MCE\system32\WPDShServiceObj.dll 2/Redémarre en mode sans échec, relance SmitfraudFix.cmd Dans le menu, sélectionne 2 3/tu reposts rapport smitfraudfix du 2 et hijack