Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

CCleaner: "ntsvc.ocx"- trojan ou pas?


cotes du rhone

Messages recommandés

Bonjour Medicus33

Je venais juste de faire la mise à jour quand j'ai découvert ton post ( version 1.33.382 ).

 

Je suis arrêté sur ce souci:

 

1)- DoctorAlex m'avait détecté ceci:

"Toolbar/System/soap Pro ; C:\WINDOWS\system32\ntsvc.ocx"

que j'avais fixé immédiatement avec DoctorAlex.

 

2)- Mais en lançant "Erreurs" de CCleaner, j'y trouve ceci:

 

• DLL partagées manquantes; C:\WINDOWS\system32\ntsvc.ocx; Clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

 

• ActiveX/COM Inexistant; InProcServer32\C:\WINDOWS\system32\ntsvc.ocx; Clé

HKCR\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}

 

3)- Et d'autre part sur Google < http://www.sophos.fr/security/analyses/trojtaladraf.html >, je trouve ceci:

 

Lorsque Troj/Taladra-F est installé, il crée le fichier sain <System>\ntsvc.ocx.

Troj/Taladra-F est enregistré sous la forme d’un nouveau service de pilote système nommé "NTAuth" avec "NTAuth" comme nom affiché et un type de démarrage automatique, de manière à ce qu’il soit lancé lors du démarrage du système. Les entrées du registre sont créées sous :

HKLM\SYSTEM\CurrentControlSet\Services\NTAuth\

Le fichier ntsvc.ocx est enregistré sous la forme d’un objet COM, créant des entrées de registre sous :

HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C)

HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C)

HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C)

HKCR\NTService.Control.1\

HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C)

 

Je dois supposé que DoctorAlex a bien fait son travail ( la ligne à fixer était affichée avec un gros point rouge); mais que penser de ces deux lignes en CCleaner que je n'ose supprimer ( corriger )?

 

Comment vérifier que ce fichier ntsvc.ocx est enregistré sous la forme dun objet COM, comme indiqué ci-avant ?

 

Merci de me guider dans cette "affaire".

 

4)- Ce souci doit être mis en rapport avec l'incident relaté ici < http://forum.zebulon.fr/index.php?act=ST&a...52&t=104145 >( en effet, cela s'est passé le même jour ), et pour lequel je demande :« Comment reconnaître un bon "Hidden" d'un indésirable à supprimer absolument ? »

 

En effet, il se fait que les intervenants ont tous ce "Hidden Windows.htm" dans Thunderbird , mais chez tous, il est vide et aussi de volume différent pour un même Thunderbird( je dis bizarre ----> résultat d'une tentative d'intrusion ?? )

 

Merci de me guider dans cette "affaire".

Bonne journée.

Modifié par cotes du rhone
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

ntsvc.ocx est un ActiveX assez ancien(1997) qui était(est ?)utilisé pour lancer une application en tant que service.

 

Vous avez vu sur Sophos que des malwares en utilisent les propriétés.

En soi, c'est un processus légitime mais pas nécéssairement les programmes qu'il permet d'installer.

 

Si vous ne programmez pas( DotNet,VbScript etc...),je ne vois pas ce qui vous empècherait de le désinstaller.

 

Mais avant, j'en ferais une sauvagarde au cas où..

 

Une fois désinstallé, il serait intéressant de voir si (et lequel) un programme le réclame.Il serait alors temps de le réinstaller.

 

 

Pear

Lien vers le commentaire
Partager sur d’autres sites

Merci Pear

Ceci est très intéressant pour comprendre.

Je tenterai prochainement la manipulation ( avec sauvegarde ); puisque je ne programmerai pas si tôt ( j'en ai fait en 1970, au temps de IBM 360, en langage Assembler ).

 

Mais pourriez-vous SVP me confirmer, dès lors que j'ai reçu des avis négatifs sur "Doctor Alex Antispyware v2.03", s'il peut avantageusement être remplacé par " Counter Spy "en supposant que ce dernier ne soit pas un simple anti-virus ( j'ai KAS Internet Security 6.0 ) ?

 

Merci pour votre collaboration.

Bon WE.

Modifié par cotes du rhone
Lien vers le commentaire
Partager sur d’autres sites

Merci Pear

Ceci est très intéressant pour comprendre.

Je tenterai prochainement la manipulation ( avec sauvegarde ); puisque je ne programmerai pas si tôt ( j'en ai fait en 1970, au temps de IBM 360, en langage Assembler ).

 

Mais pourriez-vous SVP me confirmer, dès lors que j'ai reçu des avis négatifs sur "Doctor Alex Antispyware v2.03", s'il peut avantageusement être remplacé par " Counter Spy "en supposant que ce dernier ne soit pas un simple anti-virus ( j'ai KAS Internet Security 6.0 ) ?

 

Merci pour votre collaboration.

Bon WE.

Je ne peux rien confirmer au sujet des antispyware.Je n'utlise que Spybot mais j'ai blindé je cache de Firefox en suivant le conseil de Tesgaz (http://speedweb1.free.fr/frames2.php?page=securite6).

 

Je n'ai pas vu le moindre malware depuis des mois.

 

Pear

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...