Fake.Beep.Sys = faux positif ?

bdbs · le 11 mai 2008

tu peux l'extraire en c:\ depuis ton compte limité , mais faut l'utiliser avec une session qui a les privilege administrateurs en mode sans echec, comme ça on\tu seras fixé sur la legitimité de beep.sys ;o)

OK, parfait, je me lance.

A noter toutefois que Kaspersky vient d'hurler son fameux cri du cochon et détecte SDFix comme un "Heur.Invader"...

J'ai passé outre, c'est dire la confiance que je porte à Zébulon en général et à toi en particulier !!!!

angelique · le 11 mai 2008

c'est justement un faux_positif ce que kaspersky trouve chez SDFix

exemple de detection sur analyse Kaspersky:

virus Heur.Invader (modification) Le fichier: C:\Users\Acer\Documents\logiciels\SDFix.exe//data.rar/SDFix\catchme.exe

bdbs · le 11 mai 2008

Angélique, dans ton tuto, il est marqué de lancer "RunThis.cmd"

Or dans C:\SDFix j'ai seulement RunThis.bat...

edit : OK pour le faux positif "catchme.exe" qui a fait tousser mon Kaspersky.

Autre info : HJT est incapable de fixer la ligne que tu m'as fait cocher (elle réapparaît sans cette à chaque nouvelle analyse...)

mmmhhhh ça sent pas bon tout ça...

Modifié le 11 mai 2008 par bdbs

angelique · le 11 mai 2008

oui , à une periode c'etait RunThis.cmd , j'ai pas modifié mon canned , RunThis.bat ok ^^

la 02 jarte pas car cession limité certainement ^^

bdbs · le 11 mai 2008

Hello Angélique

J'ai donc fait tourner SDFix comme tu me l'as indiqué.

A noter : en mode sans échec, windows ne m'a même pas proposé mon compte limité pour me loguer

Donc j'ai pris mon compte admin habituel (et non pas le compte Administrateur)

Bref voici le log "report.txt"

------------------------------------

SDFix: Version 1.181

Run by XXXXXXXXXX(héhé, là je masque le nom de mon compte limité) on 11/05/2008 at 15:16

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 15:38:23

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 25 Feb 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

bdbs · le 11 mai 2008

Bon, donc a priori pas d'infection

Mais deux énigmes :

1/ ce fichier "fake".beep.sys qui ressort à chaque scan de MAM à partir de mon compte limité (alors que, je le répête, il ne devrait pas y avoir accès !!!!!!)

2/ cette ligne inconnue que HJT a mise en évidence

Un très grand merci pour ta patience Angélique (je sais que je suis du genre chiant et pas super compétent en la matière ).

Si jamais l'un de mes scans KIS ou SAS trouve quelque chose, je reviens poster ici.

De même, si qqn a des explications ou veut que je fasse ceci ou cela, lance un soft ou teste un fichier, aucun problème !!

A bientôt et viva zébulon !

PS : si, une toute dernière question : c'est quoi ça :

Files with Hidden Attributes : Mon 25 Feb 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

voilou !

Modifié le 11 mai 2008 par bdbs

angelique · le 11 mai 2008

bon bah t'es fixé , rien

**supprime c:\SDFix

** remet ton fichier hosts en lecture seule dans ses proprietes\appliquer:

C:\WINDOWS\system32\drivers\etc\hosts

2/ cette ligne inconnue que HJT a mise en évidence

elle doit etre corrigeable avec ton compte admin.

c'est une BHO

OBJECT NAMEGUIDSTATUSFILENAMEDESCRIPTIONWindows Live Call HoverToCall class{7E853D72-626A-48EC-A868-BA8D5E23E045}L BHO HTC.DLL, htc.8.1.0178.00.dll, htc.8.1.0168.00.dll, htc.8.1.01**.00.dllWindows Live Messenger

Section O2

Cette section correspond aux Browser Helper Objects (BHOs).

Les Browser helper objects sont des extensions pour votre navigateur qui augmentent ses fonctionnalités. Ils peuvent être utilisés par des espiogiciels (spyware) ainsi que par des programmes légitimes comme la Google Toolbar et Adobe Reader. Vous devez faire des recherches pour décider si vous devez ou non supprimer l'un d'entre eux, car certains sont légitimes.

Clés de Registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Exemple O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Antivirus\NavShExt.dll

Il existe une excellente liste des CSLIDs connus associés à des BHOs (Browser Helper Objects) et des barres d'outils, rassemblés par Tony Klein, ici:
Liste des CLSIDs [ http://castlecops.com/CLSID.html ] Pour consulter cette liste, utilisez le CLSID qui est le nombre écrit entre les accolades dans l'affichage créé par HijackThis. Le CLSID dans cet affichage fait référence à des éléments du Registre qui contiennent des informations sur les Browser Helper Objects et les barres d'outils.

Lorsque vous corrigez ces types d'éléments avec HijackThis, ce dernier va essayer de supprimer le fichier malveillant listé. Parfois ce fichier peut être en cours d'utilisation même si Internet Explorer est fermé. Si le fichier est toujours présent après que vous l'ayez supprimé avec HijackThis, il est conseillé de redémarrer en mode sans échec et de supprimer manuellement ce fichier malveillant.

PS : si, une toute dernière question : c'est quoi ça :
Files with Hidden Attributes : Mon 25 Feb 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Je sais pas, à 1ere vu je dirais la gestion des DRM avec ta musique telechargé legalement !!!

... je vois pas quoi te dire d'autre

bdbs · le 11 mai 2008

**supprime c:\SDFix
** remet ton fichier hosts en lecture seule dans ses proprietes\appliquer:

C:\WINDOWS\system32\drivers\etc\hosts

Pourquoi le supprimer ? Ne puis-je pas le lancer de temps en temps, juste pour entretenir la santé ?

Et je n'ai pas souvenir d'avoir sorti le fichier hosts de la lecture seule (c'est SDFix qui l'a fait ?)

Je sais pas, à 1ere vu je dirais la gestion des DRM avec ta musique telechargé legalement !!!

Mhhh... je n'ai téléchargé aucune musique légalement (ni illégalement d'ailleurs )

C'est peut-être lié à la déclaration de revenus que j'ai faite en ligne récemment ?

Voilà, pas d'autre question votre honneur !

angelique · le 11 mai 2008

•Pourquoi le supprimer ? Ne puis-je pas le lancer de temps en temps, juste pour entretenir la santé ? >>> il est regulierement updaté donc ça sert à rien de le passer dans 2 jours , il sera obsolete ;o)

•Et je n'ai pas souvenir d'avoir sorti le fichier hosts de la lecture seule (c'est SDFix qui l'a fait ?) >>> oui

Checking Services :

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting

•C'est peut-être lié à la déclaration de revenus que j'ai faite en ligne récemment ?>> j'ai pas l'info pour le moment !! ;o)

le 11 mai 2008

Salut,

Téméraire que je suis, je suis retourné sur le site où je me doutais avoir ramassé le Beep.sys, histoire d'en avoir le coeur net.

Je ne m'étais pas trompé.

Alors que MAM ne détectait plus rien après l'exécution de SDFix hier, il a remis ça après le surf.

Donc re-SDFix. Et là c'est bon.

bdbs> je n'ai pas vérifié si le fichier était effacé, il me semble d'ailleurs que je ne l'ai pas trouvé! Comme toi MAM ne le détecte que lorsque je suis logé sur le compte qui l'a chopé, sinon il ne voit rien.

Il ne s'agit pas d'un faux positif à mon avis, même si les autres outils de détection ne bronchent pas.

Pour angelique > Voici le rapport SDFix de ce jour.

SDFix: Version 1.180

Run by claude on 11/05/2008 at 22:21

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 22:29:48

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"

"C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe"="C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe:*:Enabled:IPUtility"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Thu 2 Feb 2006 2,422,984 A..H. --- "C:\Documents and Settings\Gruobud\Local Settings\Temp\BIT77.tmp"

Fri 14 Dec 2007 2,306,312 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\56102acfc0bb685cc59421494156ad30\BITD.tmp"

Finished!

Et voici celui d'hier!

SDFix: Version 1.180

Run by ...... on 11/05/2008 at 00:29

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 00:39:11