DLLCompare & DLL manquant ( procédure ) [RESOLU]

[cotes du rhone]

Bonjour à tous,

 

Je voudrais SVP rencontrer votre avis et vos conseils.

Je n'ai pas trouvé dans une recherche Zebulon.

 

Je suis embêté sur ce topic < http://www.commentcamarche.net/forum/affic...-log-dllcompare >; et je crains avoir commis une erreur en essayant d'aider l'internaute.

 

 

1)- L'internaute me présente ce log DLLCompare:

* DLLCompare Log version(1.0.0.127)

Files Found that Windows does not See or cannot Access

*Not everything listed here means you are infected!

________________________________________________

 

C:\WINDOWS\SYSTEM32\msstkprp.dll Thu 5 Apr 2001 17:43:20 A.S.R 94,208 92.00 K

C:\WINDOWS\SYSTEM32\stdftfr.dll Tue 21 Nov 2000 3:46:34 A.S.. 6,656 6.50 K

________________________________________________

 

1,492 items found: 1,492 files (2 H/S), 0 directories.

Total of file sizes: 303,247,667 bytes 289.20 M

 

Administrator Account = True --------------------End log---------------------

 

2)- Ces deux fichiers sont vérifiés avec VirusTotal

-C:\WINDOWS\SYSTEM32\msstkprp.dll

-C:\WINDOWS\SYSTEM32\stdftfr.dll

 

Résultat: Pas de virus trouvés.

 

3)- Je lui fais lancer CCleaner + AVG Anti-Spyware + HJT .

- AVG Anti-Spyware ne livre que ceci :C:\WINDOWS\system32\BO2202031216.dll -> Adware.BargainBuddy : Nettoyé et sauvegardé (mise en quarantaine).

- Le log HJT semble correct. ( je le laisse consulter sur le topic, SVP )

 

4)- Je pense alors à ceci < Une première explication est ici

< http://www.symantec.com/region/fr/techsupp...are.spyall.html > .

« Malgré que les analyses par VirusTotal n'ont pas détecté d'infection en ces deux DLL, c'est toutefois des saletés de Spyware.SpyAll . C'est un logiciel espion qui dérobe des informations confidentielles en enregistrant des frappes de clavier et en prenant des captures d'écran. Les informations recueillies peuvent être envoyées à une adresse électronique prédéterminée. »

 

Et je demande à appliquer l'action dans la BdR; comme ceci :

- Télécharge ERUNT < http://www.zebulon.fr/articles/base-de-registre-3.php#sauve >; afin d'éviter des ennuis suite à d'éventuelles fausses manipulations dans la base de registres.

Mode d'emploi < http://surgele.free.fr/viewpage.php?page_id=10 >

 

- Cliquez sur "Démarrer" > "Exécuter". > Tapez "regedit" > Puis cliquez sur "OK".

L'éditeur de registre s'affiche.

- Clic sur le + en face de HKLM , ensuite naviguez dans la colonne pour accédez à la sous-clé :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Dans le volet de droite, clic-droit pour supprimer la valeur : "svctask" = "svctask.exe"

- Naviguez dans HKLM vers la sous-clé suivante et supprimez-la :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\svctask.exe

- Naviguez dans HKCU vers la sous-clé suivante et supprimez-la :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\spyall

- Quittez l’Editeur du Registre.

- Relancer DLLCompare + log.

 

REPONSE: « je n'ai trouvé aucune des cles du registre que tu mentionnes.

et dllcompare me donne toujours le meme log :

C:\WINDOWS\SYSTEM32\msstkprp.dll Thu 5 Apr 2001 17:43:20 A.S.R 94,208 92.00 K

C:\WINDOWS\SYSTEM32\stdftfr.dll Tue 21 Nov 2000 3:46:34 A.S.. 6,656 6.50 K »

 

5)- Mais voilà que je lui demande ceci ( me fiant à l'analyse par DLLCompare ):

 

Rechercher et supprimer les deux DLL si tu les trouves en suivant leur chemin :

-C:\WINDOWS\SYSTEM32\msstkprp.dll

-C:\WINDOWS\SYSTEM32\stdftfr.dll

Ils existent, puisque VirusTotal les a trouvés

Je crains que l'internaute l'ait déjà exécuté.

 

6)- Pour préparer la réparation de ma faute, je recherche ces deux DLL là

< http://www.dll-files.com/ > . Or ils sont inconnus dans leur bibliothèque !! ??

 

7)- Dans mon PC, je trouve le premier SYSTEM32\msstkprp.dll .

 

Mais pas le second SYSTEM32\stdftfr.dll , alors que Prevx1 File Information livre ceci : « stdftfr.dll Microsoft Corporation -DLL de l'objet de mise en forme de donn饳 standard Microsoft 6.00.8163 en %WINDIR%\SYSTEM32\ ==> légitime. »

 

Trois questions donc, SVP:

 

Que décider ? Quel est votre diagnostic, SVP ? Comment interprêter DLLCompare ?

Comment faire pour télécharger un DLL si absent chez < http://www.dll-files.com/ > ?

Comment faire pour replacer au bon endroit un DLL téléchargé ( procédure ) ?

 

 

Merci d'avance pour votre collaboration.

Je sais, il y a longtemps que je n'ai questionné Zebulon.

Ne m'en veuillez pas.

PS : Des infos sur le site "Forum-Speedweb-Tesgaz" inaccessible ( alors qu'il l'était à la nouvelle année ) ??

 

Bonne journée.

Modifié le 15 février 2007 par cotes du rhone

[Gof]

Bonjour cotes du rhone,

 

Que décider ? Quel est votre diagnostic, SVP ? Comment interprêter DLLCompare ?

Je n'ai regardé que Dllcompare, que je n'utilise pas. Comment l'interpréter ? Il est clairement dit "Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected!" : " Fichiers trouvés que windows ne voit pas ou auquel il n'accède pas. Tout ce qui est listé ici ne signifie pas forcément que vous êtes infecté. " Traduction Gof .

 

A priori, elles ne semblent pas infectieuses. Ces dll semblent lié à l'environnement Vb pour des appli.

 

Comment faire pour télécharger un DLL si absent chez < http://www.dll-files.com/ > ?

Tu trouveras celle-ci ici : MSSTKPRP.DLL

La deuxième, ici : STDFTFR.DLL

 

En googlant, tu peux les trouver rapidement (vérifier les tailles, l'intégrité en les uploadant toi même s'il le faut sur virustotal, etc), si les liens habituels n'ont rien donné. Si tu l'as sur ton pc, tu peux l'uploader et ensuite la faire télécharger à l'internaute. (avec ce site par exemple : http://www.freefilehosting.net/)

 

Comment faire pour replacer au bon endroit un DLL téléchargé ( procédure ) ?

Le plus simple est de la coller dans le répertoire system32 et de redémarrer. Si windows ou une application en a besoin, elle devrait être rechargée. Si ce n'est pas le cas et qu'une application ou autre plante, pour la recharger en invite (menu démarrer, exécuter), il faut taper ceci (sans les guillemets):

 

"RegSvr32 %systemroot%\system32\nomdll.dll"

 

RegSvr32.exe fonctionne en ligne de commande et utilise, entre autres, la syntaxe et les switchs suivants:

Le fait d'exécuter "Regsvr32 nom_du_contrôle" installe le contrôle

Le fait d'exécuter "Regsvr32 /u nom_du_contrôle" désinstalle le contrôle

Ceci est à saisir dans Démarrer > Exécuter et il peut être nécessaire de donner l'emplacement du contrôle (son chemin d'accès complet).

D'ailleurs, si tu fais supprimer manuellement des dll, il est conseillé de les désenregistrer avant de les supprimer.

 

PS : Des infos sur le site "Forum-Speedweb-Tesgaz" inaccessible

Forum déplacé et disponible ici : http://clement.reinier.free.fr/forum-tesgaz/index.php

 

Juste une observation, si la valeur ci-dessous avait été présente, elle aurait été vue dans une O4 dans le log HJT.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Dans le volet de droite, clic-droit pour supprimer la valeur : "svctask" = "svctask.exe"

Je crois qu'il aurait été plus prudent en tout cas, de rechercher si cette valeur était présente dans la base de registre avant de la faire supprimer.

 

Bon, je ne me suis pas prononcé sur la désinfection, sur ce qui resterait à faire ou pas, je n'ai pas trop le temps de regarder là, j'ai juste essayé de régler le souci de ces 2 dll. En cas de doutes, il vaut mieux renommer un fichier que de le supprimer.

 

En espérant que cela t'a aidé, et que je n'ai pas dit trop de bêtises, à bientot.

[Médicus 33]

Bonjour cotes du rhone, Gof

 

Je trouve Gof, qui lui connait son affaire, bien gentil (comme d'habitude)... Il est clairement dit////il est conseillé de/// Je crois qu'il aurait été plus prudent /// En cas de doutes

 

Il y a une morale à cette histoire : c'est bien de vouloir aider les autres, mais l'analyse sécurité et la désinfection ne s'inventent pas.

Il ne faut pas jouer aux apprentis sorciers quand on n'a pas la connaissance.

Dans mon métier on a une maxime en latin "Primum non nocere" (D'abord ne pas nuire). En bref : quand on sait pas on l'avoue et surtout on s'abstient.

[cotes du rhone]

Bonjour Gof

 

Sois sincèrement et respectueusement remercié.

 

Oui, non seulement tes réponses m'ont aidé; mais elles répondent entièrement à mon souhait.

Je suis content d'avoir osé poser cette question sur Zebulon, dont la réputation ne m'a jamais fait défaut.

 

L'imprudence commise à propos des deux fichiers litigieux livrés par DLLCompare ( à savoir, demander de les supprimer manuellement ) , n'a heureusement pas eu de conséquence puisque j'ai pu intercepter/interpeller l'internaute par MP pour annuler cette "demande de suppression manuelle".

 

Mis à part cette "imprudence", je ne vois pas de faute grave dans l'aide apportée à cet internaute ( qui avait besoin de comprendre ). Peut-être l'action dans la BdR est-elle plus tendancieuse; mais je voulais vérifier par là si ces fichiers n'avaient été générés par un logiciel espion comme Spyware.SpyAll ( Gérard n'en parlait-il pas précisément - ou par analogie - ici < < http://forum.zebulon.fr/index.php?showtopic=115766 > ; citant une "invasion" récente ? ).

 

Sois rassuré sur ceci également : je ne considérerai jamais la politesse et le respect d'autrui ( notamment par des mots tels que: "Il est clairement dit"////"il est conseillé de"/// "Je crois qu'il aurait été plus prudent" /// "En cas de doutes"; pour ne reprendre que ceux cités par notre "ami à distance" Medicus33 ) comme de la gentillesse; mais comme le fruit d'une bonne éducation, d'un bon état d'âme et de la bonne volonté .

 

Bonne continuation.

 

 

Merci à Medicus33 de m'avoir demandé de ne pas être trop entreprenant.

Bien sûr, tu m'en parles avec tes mots. J'apprécie.

Je te cite : « Dans mon métier on a une maxime en latin "Primum non nocere" ».

- (D'abord ne pas nuire) - Pas besoin de me le traduire . Chez moi, c'était écrit au-dessus de notre entrée.

Nous n'en faisions pas un métier; mais une consigne de vie.

Tu sais aussi que je suis seul avec ma maladie et ma situation familiale.

Pour ce temps à venir, il me reste un PC comme compagnie.

Tu connais mon intégrité et ma volonté de savoir.

Je ne vois pas beaucoup d'autres façons d'apprendre ce que je veux, et à mon rythme, que de m'impliquer dans l'entraide avec mes moyens.

Et ces moyens ont évolués un peu depuis nos derniers contacts.

Il n'y a pas besoin de me dire "tu n'as pas la connaissance", ou "quand on sait pas on l'avoue et surtout on s'abstient". ( À preuve, voici ce que je disais à l'internaute : « J'attends des avis contradictoires relativement à ces deux fichiers livrés par DLLCompare ». )

Je ne suis pas du genre à me gonfler, ni à porter un tuteur à mes cervicales. Je n'ai réellement pas besoin d'artifice. J'ai seulement besoin d'aide.

 

Avec vous et quelques autres qui se reconnaîtront, je me sais bien entourés.

 

Al.

Modifié le 15 février 2007 par cotes du rhone

[Médicus 33]

Rebonjour cotes du rhone

Ouaip...tu me connais assez pour savoir que mon style n'est pas toujours "diplomatique" mais parfois plutôt "vif". Il n'y avait rien de méchant dans mon propos mais juste une "MAJ" (!!! ) sur la prudence extrême que l'on doit observer quand on aide; il ne faut jamais au grand jamais risquer d'aggraver la situation. Si je te l'ai fait observer d'une manière trop brutale et que je t'ai blessé, alors acceptes mes excuses sur le style.

(Hors sujet: J'ai personnellement aussi des ennuis de santé, hélas sérieux, actuellement, c'est aussi la raison pour laquelle je passe plus de temps sur mon PC puisque je ne peux aller travailler; peut-être aussi se trouve là la raison de mes emportements...)

[Gof]

Bonsoir à tous, cotes du rhone, Médicus 33

 

Content de vous lire tous les deux ! Pas de soucis pour le coup de main, n'hésite pas.

 

J'ai moi même fait beaucoup d'erreurs et ai eu quelques frayeurs parfois

(petite prière au dieu-charles-ingals et à Marie-Kimberly qui doivent encore s'en souvenir )

 

A bientôt.