Sherlok

Remarque, tu n'as pas besoin d'un logiciel pour séparer le son d'une vidéo ! Achète un cable PURE AV (by Belkin) Mini-Stereo Audio Cable 6ft/1,8m (à la FNAC environ 7 euros, vu le prix, inutile de lésiner sur la qualité => 24k Gold-Plated Connectors and contacts, le meilleur) Les 2 pins sont identiques : Branche un pin sur la sortie sono, l'autre sur l'entré sono (Ex. Micro) Et tu captes ce que tu entendrais si tu n'avais pas branché le câble. Cela revient à rerouter le son sortie->entrée Reste à faire un save du fichier wav obtenu ce qui peut être fait avec pratiquement n'importe quoi (flux audio sur la prise microphone) La qualité est excellente. Bonne séparation.

Solution : VirtualDubMod (faire recherche avec google) excellent, préférer version anglaise. Extraction son, save, reprise possible pour modif, ajustement à l'image près. FREEWARE Cordialement

Merci, Bonne idée ce multi-scan, plus complet que le mien (seulement 7 anti-spy pour 27 chez virustotal), dont voici le résultat pour le 1er trojan : -------------------------------------------------------------------------------- Server response Results of a file scan This is a report processed by VirusTotal on 09/08/2006 at 09:06:27 (CET) after scanning the file "loader.exe" file. Antivirus Version Update Result AntiVir 7.1.1.14 09.08.2006 TR/Delphi.Downloader.Gen Authentium 4.93.8 09.08.2006 no virus found Avast 4.7.844.0 09.07.2006 no virus found AVG 386 09.07.2006 no virus found BitDefender 7.2 09.08.2006 no virus found CAT-QuickHeal 8.00 09.07.2006 no virus found ClamAV devel-20060426 09.08.2006 no virus found DrWeb 4.33 09.08.2006 no virus found eTrust-InoculateIT 23.72.119 09.08.2006 no virus found eTrust-Vet 30.3.3068 09.08.2006 no virus found Ewido 4.0 09.05.2006 no virus found Fortinet 2.77.0.0 09.07.2006 no virus found F-Prot 3.16f 09.08.2006 no virus found F-Prot4 4.2.1.29 09.07.2006 no virus found Ikarus 0.2.65.0 09.08.2006 no virus found Kaspersky 4.0.2.24 09.08.2006 no virus found McAfee 4847 09.07.2006 no virus found Microsoft 1.1560 09.08.2006 no virus found NOD32v2 1.1744 09.08.2006 no virus found Norman 5.90.23 09.07.2006 no virus found Panda 9.0.0.4 09.07.2006 no virus found Sophos 4.09.0 09.08.2006 no virus found Symantec 8.0 09.08.2006 no virus found TheHacker 5.9.8.207 09.07.2006 no virus found UNA 1.83 09.07.2006 no virus found VBA32 3.11.1 09.07.2006 no virus found VirusBuster 4.3.7:9 09.07.2006 no virus found -------------------------------------------------------------------------------- Quant au serveur jotti, il répond : File: loader.exe Status: POSSIBLY INFECTED/MALWARE MD5 a7d06f2a4cecd7502bd51e08637c4cdf Pour un scan avec 15 anti-spy ------------------------------------------------------------------------------- Bien, cela prouve quoi ? sachant que certains malwares sont détectés par certains logiciels mais pas par d'autres et réciproquement. Si l'on raisonne en terme de probabilité, en admettant que tous ces anti-spy se valent sur ce coup, il y a 1/27 chance (ou malchance !) que ce soit un trojan. Mais si l'on raisonne en terme de risque, 1/27 ème de chance de voir son compte bancaire = 0, cela fait beaucoup je trouve. Enfin, la non détection de malware par N anti-spy ne prouve absolument pas qu'il n'y en a pas, tout au plus que la probabilité qu'il y en ai un est (relativement) faible.

Bonjour à tous, J'ai pris connaissance du sujet de tesgaz sur le p2p (85544), excellent et vrai 90% des softs p2p sont infectés, pourris jusqu'à la moelle. Mais que dire et que faire lorsque l'on télécharge du site de l'éditeur une version d'évaluation qui s'avère contenir un virus ou un spyware ? Incroyable ? Vous voulez quelques exemples ? 1) Site Aha, download IconLover 4, trial version 30 jours : contient le trojan TR/Delphi.Downloader.Gen (non détecté au chargement mais se trouve dans le fichier \Iconlover\loader.exe, détecté à l'install par AntiVir) 2) VirtualDubMod, site de l'éditeur version fr, freeware, contient le trojan Trojan.Spy.Ransom qui demande une ranson à verser sur un compte type paradis fiscal sous peine de voir un fichier pris au hasard effacé toutes les 30mn ! (détecté par ewido) 3) Le même download, contient un autre trojan dans l'uninstall détecté par spyware doctor. Je pourrais multiplier les exemples... Alors quand tesgaz préconise l'utilisation de freewares, il à surement raison, mais il faut bien comprendre que rien n'est gratuit sur le net, même les freewares. Que le PC mette 3 mn pour booter suite à un spyware, n'est pas dramatique en soi. Mais que son numéro de carte bancaire soit capté au moment de la frappe et expédié en Russie où ailleurs, c'est plus embêtant ! Qu'en pensez-vous ? Que peux-t-on faire pour éviter ça ? Faut-il exclure tous les téléchargement d'où qu'ils viennent ? Doit-on exclure l'exécution des softs non signés (ce qui est la majorité des cas)

Merci, J'ai regardé ces liens : rien de probant. Je vais faire une réparation, car j'ai aussi remarqué que certains services avaient purement et simplement disparus ! Par exemple WMI, bien que les exe correspondant soient bien là. Ceci s'est peut-être produit car au moment de la réinstall j'ai appuyé sur Esc pour annuler (je n'avais pas sauvegardé certains dossiers), puis, après remise en état antérieur par Windows, j'ai relancé. Je te tiens au courant, pour le cas ou cela se produirait pour quelqu'un d'autre ! Cordialement Holmes

Bonjour, Après réinstallation de Windows XP Pro SP2, dans les Services, lorsque je demande les Propriétés d'un service quelconque (quel que soit son état et son type de démarrage), puis Dépendances J'ai le message suivant : Dépendances de service Interface: Classe non enregistrée j'ai cherché sur le web et n'ai pas trouvé d'explication. Quelqu'un connait-il la cause de ce message ? Merci d'avance Holmes

Merci Charles, J'ai résolu mon pb en décapant avec CCleaner, jv16PT et autres... et en réinstallant windows XP et Office (sur lequel j'avais quelques doutes d'infections), puis en restaurant à partir d'un backup sur un HD externe à une date sure. Tout est redevenu OK ! Je m'interroge quand même sur la présence d'une centaine d'occurences d'un mystérieux spyware générique HEUR/Crypt.E détectée par AntiVir lors d'une sauvegarde avec Nero 7 BackItUp (mais pas détectée lors des scans "normaux"). Cordialement

Bien, bien, bien... J'ai donc : - tout nettoyé avec CCleaner, jv16PT et autres - réinstallé Windows XP à partir du CD, ainsi que Office qui me semblait louche ! - restauré les dossiers surs à partir d'une sauvegarde sur HD externe à une date où tout marchait - renettoyé le tout au cas où... Je vais faire un achat en gros de balais brosse et de lessive St Marc ! Tout semble OK, mais ne me dit pas de quoi j'étais infecté. Conclusion : en plus d'être prudent, il faut impérativement faire des sauvegardes régulières, c'est le meilleur remède contre les malwares. Amicalement

Oui, je n'utilise que IE Explorer comme navigateur sur le PC et Firefox sur un Mac. J'ai aussi remarqué que WINDOWS\system32\wingon.exe se réinitialisait d'une session à l'autre même si on le supprimait ? Evidemment tous ces exec "Microsoft" ne sont pas signés... Je suis tenté de réinstaller Windows XP Pro, qu'en penses-tu ?. Cordialement

Bon, j'ai vérifié dans les services, tout est OK pour le pare feu aussi. Je suis allé sur le site microsoft, comme indiqué sur le forum. Rien n'y fait : le programme ne se lance pas ! (mais à partir de l'URL sur IE Explorer, ca marche) Personnellement, si j'avais à écrire un trojan, je ne le ferais pas lancer lors du démarrage (trop repérable avec HijackThis). Je l'integrerais dans un programme de windows qui se lance régulièrement, comme par ex wupdmgr.exe Il faudrait aussi vérifier régulièrement que le programme en question est toujours le mien, dans le cas contraire le recharger à partir d'un autre endroit où je l'aurais dupliqué sous un autre nom. Enfin pour ne pas être détecté par un anti-trojan, il suffit d'intégrer le code malfaisant en plein milieu d'une routine et non pas avec un branchement au début du programme. Mais peut-être que je me trompe n'étant pas expert en sécurité, mais en algorithmique... Sans tomber dans la parano, je pense que l'un ou plusieurs des exec windows ont été vérolés. Comment s'en assurer ? Merci pour tes conseils

Autre aspect currieux : je ne peux plus lancer Windows update (même directement par C:\WINDOWS\system32\wupdmgr.exe) je suis obligé de passer par l'URL du site dans IE Explorer ??? Que faire ???

Merci Horus agressor pour ta réponse J'ai appliqué scrupuleusement la procédure, Résultat scan AntiVir : End of the scan: jeudi 10 août 2006 20:20 Used time: 1:15:39 min The scan has been done completely. 5313 Scanning directories 261580 Files were scanned 0 viruses and/or unwanted programs was found 0 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 2405 Archives were scanned 21 Warnings 1 Notes Les 21 warnings correspondent à des fichiers : C:\WINDOWS\system32\config Data\Microsoft\Crypto\RSA\MachineKeys Data\Microsoft\Windows\UsrClass.dat C:\Documents and Settings\NetworkService\ntuser.dat.LOG \NTUSER.DAT \NTUser.dat.LOG qui ne peuvent être ouverts par AntiVir. Voila le log HijackThis : Logfile of HijackThis v1.99.1 Scan saved at 20:32:19, on 10/08/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\mqtgsvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Apoint\Apoint.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Apoint\HidFind.exe C:\Program Files\Apoint\Apntex.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint\Apoint.exe" O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154013081687 O17 - HKLM\System\CCS\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{44ACD20B-B0C6-41BB-990B-88E6D1EEA50B}: NameServer = 80.118.192.100,80.118.196.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{B9CCB64C-0C09-4051-AB15-D6755B819280}: NameServer = 80.118.192.100,80.118.196.35 O17 - HKLM\System\CS1\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36 O17 - HKLM\System\CS2\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe Les 4 lignes 017 correspondent bien à mes IP DNS Le 20 semble suspect ? Remarque : en mode sans échec, la barre de lancement rapide reste grise. Merci de tes conseils

Bonjour, Suite à mon précédent post "Kerio se crashe..." (sans réponse) je me suis débrouillé tout seul pour supprimer mes spyware (en galérant pas mal !). Reste encore quelques pb : 1) ma barre de lancement rapide reste grise au lieu d'être bleue, ce qui n'est pas normal. 2) J'ai aussi sous WINDOWS\system32 un exec : sc.exe (31 232 octets) Je sais que : "Cette commande permet de communiquer avec le contrôleur de services et les services installés. Les paramètres de SC.exe peuvent permettre de configurer un service spécifique, extraire le statut courant d'un service et arrêter et lancer un service. " Mais, sur le site http://callways.com/liste_process-windows.htm j'ai vu que ce pouvait être un trojan et que même si ce code était sain, il n'était pas indispensable. J'ai donc essayé de le supprimer Lorsque je l'expédie à la poubelle c'est possible, mais au réaffichage suivant (page précédente, page suivante) sc.exe est toujours là ! Est-ce normal Dr Watson ? Est-ce l'indice d'une contamination ? Que faire pour s'en débarrasser ? Merci pour une réponse...

Bonjour, Au démarrage Kerio Premium Personal Firewall se crashe "Sunbelt Kerio Firewall Service a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru. ... Veuillez signaler ce problème à Microsoft". puis redémarre apparemment normalement, (dans les services il apparaît comme "Sunbelt Kerio Personal Firewall 4", type de démarrage = "Automatique"). Un indice : mes barres d'outils lancement rapide et notification sont devenues grises au lieu de bleues comme habituellement. Je ne sais pas s'il s'agit d'un spyware ou autre virus ou d'une mauvaise configuration. Un expert peut-il m'aider ? Tous les scans (ewido, Kaspersky, Spyware Doctor, BitDefender, Spybot S&D,...) ne trouvent rien, sauf AntiVir lors des BackItUp avec Nero 7 (une centaine de détection d'un spyware HEUR/Crypt.E toujours le même, non détecté lors des scans. Voila mon rapport HijackThis : Logfile of HijackThis v1.99.1 Scan saved at 22:50:04, on 09/08/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Premium\sched.exe C:\Program Files\AntiVir PersonalEdition Premium\avguard.exe C:\Program Files\AntiVir PersonalEdition Premium\avesvc.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\AntiVir PersonalEdition Premium\avmailc.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\mqtgsvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\AntiVir PersonalEdition Premium\avgnt.exe C:\Program Files\Apoint\Apoint.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE C:\Program Files\Apoint\HidFind.exe C:\Program Files\Apoint\Apntex.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [kpf4ss] "C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" O4 - HKLM\..\Run: [EPSON Stylus C84] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P16 "EPSON Stylus C84" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [sunbelt Kerio Personal Firewall 4] "C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154013081687 O17 - HKLM\System\CCS\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{44ACD20B-B0C6-41BB-990B-88E6D1EEA50B}: NameServer = 80.118.192.100,80.118.196.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{B9CCB64C-0C09-4051-AB15-D6755B819280}: NameServer = 80.118.192.100,80.118.196.35 O17 - HKLM\System\CS1\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36 O17 - HKLM\System\CS2\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Anti-Spywares\Spyware Doctor\sdhelp.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe Cordialement Merci de votre aide.