Fake.Beep.Sys = faux positif ?

[bdbs]

Passe SDFix en mode sans echec

alors que le fichier en question n'a fait tiquer aucun des AV du lien que tu as posté ?

 

je n'ai absolument rien contre (et je te remercie de me conseiller... surtout), mais j'aimerais bien comprendre avant d'effacer un fichier !

 

J'aimerais bien qu'Amecobil nous en dise plus aussi !

 

Je me donne jusqu'à ce soir pour passer SDFix

 

à ce sujet, 2 questions Angélique :

* dois-je passer SDFix sur mon compte invité (sur lequel je surfe, et par lequel MAM tique sur ce fichier beep.sys, mais qui logiquement n'a pas accès au répertoire contenant beep.sys) ou sur mon compte admin (à partir duquel aucun scan ne réagit, mais qui a accès au répertoire concerné) ?

* d'où vient le quote que tu as posté dans ton tout premier message ?

 

Merci encore

Modifié le 11 mai 2008 par bdbs

[angelique]

Moi je ferais les 2 comptes ^^

 

http://www.bleepingcomputer.com/forums/lof...hp/t125268.html

http://www.bleepingcomputer.com/forums/lof...hp/t122356.html

 

Le compte invité est peut etre infecté et l'infection utilise le beep.sys patché , d'ou l'utilisation de SDFix pour le déterminer.

[bdbs]

Moi je ferais les 2 comptes ^^

Alors va pour les 2 comptes, tant qu'à faire...

Mais SDFix ne supprimera-t-il le fichier que s'il était vraiment dangereux ? Et donne-t-il des infos sur le danger en question (ou alors une log pour dire qu'il n'y avait aucune menace et qu'il n'a donc rien fait) ?

C'est ma dernière question, promis juré

Merci bcp

[angelique]

SDFix se base sur le checksum MD5 du légitime et du non légitime.donc pas de risques,le seul soucis qu'il peut rencontrer c'est juste l'impossibilité de restaurer l'originale

[angelique]

tu veux pas me poster un rapport HijackThis de ta session invité sur laquelle MBAM couine stp!!

 

*creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

la lancer, Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

[bdbs]

Hello Angélique

 

Voici le log souhaité... et merci encore de m'aider à élucider ce petit mystère

 

(entre parenthèses, quel intérêt de créer un dossier HJT par rapport au fait de le mettre ailleurs ou sur le bureau ?)

 

J'ai donc téléchargé puis lancé hijackthis depuis mon compte limité (oui car je dois préciser que ce n'est pas un compte "visiteur" au sens du compte visiteur windows, c'est un compte limité -par opposition au compte admin). Ceci doit expliquer le message préliminaire "For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, Hijackthis may NOT be able to fix this, etc. blablabla"

 

--------------------------------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:17:50, on 11/05/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HJT\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: messagebox.vbs

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1203853556675

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1203854688556

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

 

--

End of file - 4277 bytes

[angelique]

(entre parenthèses, quel intérêt de créer un dossier HJT par rapport au fait de le mettre ailleurs ou sur le bureau ?)

 

ce n'est qu'une suggestion , histoire de le ranger quelquepart ;o)

 

J'ai donc téléchargé puis lancé hijackthis depuis mon compte limité (oui car je dois préciser que ce n'est pas un compte "visiteur" au sens du compte visiteur windows, c'est un compte limité -par opposition au compte admin). Ceci doit expliquer le message préliminaire "For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, Hijackthis may NOT be able to fix this, etc. blablabla"

 

c'est normal.

 

• relance HJT " do a system scan only" , coche uniquement les lignes ci dessous et clic fixched :

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

• donc on va verifier avec SDFix

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

SDFix will only run on Windows 2000 and Windows XP in Safe Mode !

( Requires Administrator Account Privileges )

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel administrateur car SDFix le requiere , et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

[angelique]

j'ai edité mon message , donc actualise ta page .

 

tuto pour information:: http://www.bleepingcomputer.com/forums/topic131299.html

[bdbs]

• relance HJT " do a system scan only" , coche uniquement les lignes ci dessous et clic fixched :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

OK, j'en suis là, il me demande de tout fermer, donc je vais tout fermer (je reviens dans qq minutes !).

 

Et dans la foulée je suivrai ta procédure pour SDFix.

 

j'ai edité mon message , donc actualise ta page .

Effectivement, j'ai vu la différence : lancer SDFix depuis mon compte admin (en mode sans échec) et non depuis le compte limité.

 

Mais puisqu'il requiert un compte admin, je ne pourrai pas non plus faire ceci depuis mon compte limité, non ?

 

--->>>

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Dis-moi juste si je dois l'installer/extraire depuis admin ou limité, et je me lance !

 

Merciiiiiiiiii

Modifié le 11 mai 2008 par bdbs

[angelique]

tu peux l'extraire en c:\ depuis ton compte limité , mais faut l'utiliser avec une session qui a les privilege administrateurs en mode sans echec, comme ça on\tu seras fixé sur la legitimité de beep.sys ;o)