Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Fake.Beep.Sys = faux positif ?

bdbs

Par bdbs
dans Sécurisation, prévention

 Partager

Messages recommandés

amecobil Junior Member

amecobil

Posté(e)
Posté(e) (modifié)
Salut,

 

Téméraire que je suis, je suis retourné sur le site où je me doutais avoir ramassé le Beep.sys, histoire d'en avoir le coeur net.

Je ne m'étais pas trompé.

Alors que MAM ne détectait plus rien après l'exécution de SDFix hier, il a remis ça après le surf.

Donc re-SDFix. Et là c'est bon.

 

bdbs> je n'ai pas vérifié si le fichier était effacé, il me semble d'ailleurs que je ne l'ai pas trouvé! Comme toi MAM ne le détecte que lorsque je suis logé sur le compte qui l'a chopé, sinon il ne voit rien.

 

Il ne s'agit pas d'un faux positif à mon avis, même si les autres outils de détection ne bronchent pas.

 

 

 

Pour angelique > Voici le rapport SDFix de ce jour.

 

 

SDFix: Version 1.180

Run by claude on 11/05/2008 at 22:21

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 22:29:48

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"

"C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe"="C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe:*:Enabled:IPUtility"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Thu 2 Feb 2006 2,422,984 A..H. --- "C:\Documents and Settings\Gruobud\Local Settings\Temp\BIT77.tmp"

Fri 14 Dec 2007 2,306,312 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\56102acfc0bb685cc59421494156ad30\BITD.tmp"

 

Finished!

 

 

Et voici celui d'hier!

 

 

SDFix: Version 1.180

Run by ...... on 11/05/2008 at 00:29

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 00:39:11

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"

"C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe"="C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe:*:Enabled:IPUtility"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Thu 2 Feb 2006 2,422,984 A..H. --- "C:\Documents and Settings\Gruobud\Local Settings\Temp\BIT77.tmp"

Fri 14 Dec 2007 2,306,312 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\56102acfc0bb685cc59421494156ad30\BITD.tmp"

 

Finished!

 

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 00:57:43

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"

"C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe"="C:\\Documents and Settings\\claude\\Bureau\\axis\\IPUtility.exe:*:Enabled:IPUtility"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Thu 2 Feb 2006 2,422,984 A..H. --- "C:\Documents and Settings\Gruobud\Local Settings\Temp\BIT77.tmp"

Fri 14 Dec 2007 2,306,312 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\56102acfc0bb685cc59421494156ad30\BITD.tmp"

 

Finished!

 

Merci à vous d'avoir tant de connaissances, et de passer du temps ici à les partager! -:P

 

PS: j'ai dû me planter qlq part, je suis devenu "invité" dans mon message! mille excuses!

 

Voici le rapport HJT, selon la procédure d'angélique: j'ai la même ligne :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file).

Est-ce que je dois la supprimer / fixer ? merci!

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:15:35, on 12/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HJT\HiJacquotThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir avec ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_fre.dll /100

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1197580331839

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 7443 bytes

Modifié par amecobil

bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e) (modifié)

Salut Amecobil et merci pour ces infos.

 

Qqs questions

 

* qu'est-ce qui te fait croire que ce n'est pas un faux positif, puisque SDFix t'indique à chaque fois n'avoir trouvé aucun trojan, et que sur le site de scan online fourni par Angélique, aucun n'a tilté sur ce beep.sys ?

 

* quel est le site web en question qui, selon toi, te crée ce beep.sys ?

 

* pour être sûr que je comprends bien : après passage de SDFix, MAM ne voit plus rien, mais si tu retournes sur le site web en question, MAM re-bronche au scan suivant ???

 

* je constate dans ta log HJT que tu as un paquet d'antivirus et spywares (AVG, Antivir...) aucun de tous ceux-là non plus ne réagissent donc pas !?

 

Je voudrais bien percer ce mystère. J'avoue que pour le moment, chez moi, Kaspersky, Superantispyware et donc SDFix ne voient rien, alors que MAM si (mais vu que ce dernier est tout récent, j'aurais plutôt tendance à croire les autres) !

 

Angélique ou tout autre expert en la matière sera le bienvenu pour donner son opinion !

Peut-être faut-il passer qqch d'autre que SDFix dans le même genre ?

Je crois vraiment que le fichier beep.sys n'est pas vérolé, puisque quand je l'ai envoyé sur le site de scan online, aucun AV n'a réagi.

Par contre le comportement bizarre de MAM à son égard me donne l'impression que qqch ne tourne pas rond, peut-être en se cachant derrière beep.sys mais je ne suis vraiment pas compétent en la matière, et j'ai cru comprendre récemment que les rootkits permettaient ce type de dissimulation...

 

PS : un modo pourrait éventuellement faire un peu de ménage dans les posts d'Amecobil membre/invité (juste une suggestion)

Modifié par bdbs
angelique Devil Member !

angelique

Posté(e)
Posté(e)

amecobil

 

Faut pas poster sur une discussion deja en cours , mais il faut creer ton propre sujet lorsqu'il s'agit de la section analyse et rapport HJT

 

Voici le rapport HJT, selon la procédure d'angélique: j'ai la même ligne :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file).

Est-ce que je dois la supprimer / fixer ? merci!

 

Oui tu peux la corriger , mais il te faut desactiver le teatimer de spybot ou autoriser la modification car il va couiner sinon.

 

Angélique ou tout autre expert en la matière sera le bienvenu pour donner son opinion !

Peut-être faut-il passer qqch d'autre que SDFix dans le même genre ?

Je crois vraiment que le fichier beep.sys n'est pas vérolé, puisque quand je l'ai envoyé sur le site de scan online, aucun AV n'a réagi.

Par contre le comportement bizarre de MAM à son égard me donne l'impression que qqch ne tourne pas rond, peut-être en se cachant derrière beep.sys mais je ne suis vraiment pas compétent en la matière, et j'ai cru comprendre récemment que les rootkits permettaient ce type de dissimulation...

 

PS : un modo pourrait éventuellement faire un peu de ménage dans les posts d'Amecobil membre/invité (juste une suggestion)

 

J'ai pas d'autres idées à ce sujet du beep.sys , si SDFix voit rien , c'est qu'il est pas patché à mon avis .

 

j'ai fais un peu de menage .

bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e)

Hello Angélique

 

Ah, ça m'arrangeait bien qu'Amecobil poste sur le même fil, vu que manifestement nos symptômes sont proches !!!

 

Amecobil : si tu ouvres un nouveau fil, peux-tu m'envoyer un MP ? En effet je n'ai pas les moyens de suivre tous les sujets que je voudrais sur zebulon (là je suis en congés, mais au boulot j'ai du mal !!!)

 

Et... merci pour le ménage :P

 

Affaire à suivre..............................

 

PS : fait ce matin : un vaste scan Kaspersky en mode sans échec, rien trouvé.............

amecobil Junior Member

amecobil

Posté(e)
Posté(e)

Salut!

Désolé, je ne sais pas faire "citation" je ne vois pas la commande ad hoc :P

 

angélique

J'ai bien noté pour le post, mille excuses! :P

Que veut dire "il n'est pas patché" ?

Merci à toi! :P

 

bdbs

* Un truc pas encore bien cerné et peut-être nouveau!

* En MP si tu veux, mais je ne te conseille pas d'y aller!

* C'est ça, exactement, tu as tout à fait bien compris!

* Non, personne ne bronche, ! Mais ça peut venir.

 

Voili voilou!!!

Bonne fin de (long) WE à tous!

:P

bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir Amecobil, Angélique, et tout lecteur curieux de ce sujet qui s'annonce comme la saga de l'été 2008 :P

 

Bon, Amecobil, tu sembles encore plus parano que moi (théorie du super spyware qu'aucun AV ne parvient à cerner !)...

 

Mais je reconnais que les faits semblent te donner raison :

 

Un scan à l'instant de MAM me signale encore ce fake.beep.sys, toujours dans dllcache (et toujours dans un endroit où seul le compte admin devrait pouvoir pénêtrer, alors que j'ai lancé le scan MAM depuis mon compte limité :P )

or si c'était un faux positif, j'imagine qu'ils l'auraient corrigé depuis le temps...

 

Je préfèrerais que tu postes le site web ici, car je suis beaucoup moins bien armé que les zébulonistes pour juger de sa dangerosité...

mais si tu ne le souhaites pas, je veux bien par PM :P et j'irai voir là-bas tout seul comme un grand :P

 

Euh, si quelqu'un a une idée, elle sera la bienvenu ! :P

Modifié par bdbs
amecobil Junior Member

amecobil

Posté(e)
Posté(e) (modifié)

Salut bdbs!

 

N'exagérons rien. :P

 

Simplement je me suis aperçu de la réaction de MAM suite à un scan après un surf déconseillé, j'ai fait une relation de cause à effet, sans doute excessive. :P

 

Pour preuve : Fake.Beep.Sys est revenu dans le scan que je viens de faire (et j'ai passé une partie de l'après-midi sur Zebulon).

De plus, quand je fais dans MAM, un clic droit sur la ligne de l'alerte, et gauche sur "Aller à l'emplacement", l'explorateur Windows indique que Le chemin d'accès C:\WINDOWS\system32\dllcache\beep.sys n'existe pas ou n'est pas un répertoire.

 

J'ai aussi trouvé ça (félicitation, ton sujet y est référencé) sur Google > http://fr.internetsecurityzone.com/Entities/?_BEEP+Driver

 

Je ne sais que penser, ton hypothèse d'un faux positif, lié à la jeunesse de MAM est peut-être la bonne.

 

Tout ce que je puis dire c'est que l'exécution de SDFix supprime l'alerte de MAM, mais qu'elle revient!

 

Attendons l'avis des pointures qui ne manquent pas sur Zeb! et qui voudrons peut-être exercer leur talent la-dessus! :P

 

voili voilou :P

Modifié par amecobil
bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e)

Hello Amecobil & touti

 

De plus, quand je fais dans MAM, un clic droit sur la ligne de l'alerte, et gauche sur "Aller à l'emplacement", l'explorateur Windows indique que Le chemin d'accès C:\WINDOWS\system32\dllcache\beep.sys n'existe pas ou n'est pas un répertoire.

Absolument, et chez moi aussi, mais je crois que c'est "normal" (note bien les guillemets !!!) vu que ce clic droit est lancé depuis un compte limité, alors que notre beep.sys soit-disant infecté se trouve dans dllcache que seul l'admin peut ouvrir !

C'est pour cela que j'ai plusieurs fois marqué mon étonnement à ce que MAM trouve ce fichier depuis un scan lancé par un compte limité (et en plus, comble de l'illogique, MAM ne le trouve pas quand je lance le scan depuis mon compte admin !!!), le souci c'est qu'il ne le débusque que depuis un compte limité, mais n'y a pas accès ensuite :P !!!

 

J'ai aussi trouvé ça (félicitation, ton sujet y est référencé) sur Google > http://fr.internetsecurityzone.com/Entities/?_BEEP+Driver

 

Je ne sais que penser, ton hypothèse d'un faux positif, lié à la jeunesse de MAM est peut-être la bonne.

 

Tout ce que je puis dire c'est que l'exécution de SDFix supprime l'alerte de MAM, mais qu'elle revient!

 

Attendons l'avis des pointures qui ne manquent pas sur Zeb! et qui voudrons peut-être exercer leur talent la-dessus! :P

 

voili voilou :P

 

D'accord avec toi : attendons les avis des pros si ceux-ci veulent bien tenter leur chance sur cette histoire de ouf !

 

Juste une dernière chose : mon premier réflexe avait effectivement été une recherche sur google, qui m'avait permis de tomber sur un forum allemand (j'ai dû en parler brièvement plus haut dans un post précédent) qui, a vue de nez, aboutissait à la conclusion d'une fausse alerte sur ce même fichier beep.sys dans dllcache.

Mais bon, vu que je parle allemand comme une vache espagnole...

 

Et le fait qu'un passage de SDFix "rétablisse" la situation aux yeux de MAM, alors que SDFix dit ne rien trouver, n'est pas pour me tranquilliser.

 

Dernier truc, histoire d'empirer un bon coup dans la parano, un scan de Kaspersky hier (après une grosse update de base) m'a sorti qqch comme Virus.Heur dans mes fichiers restore (donc le nom du truc est horrible).

Je l'ai mis en quarantaine, puis, une fois en quarantaine, je l'ai rescanné avec Kaspersky (SANS AVOIR REMIS A JOUR LES BASES ENTRE-TEMPS : mon PC était carrément débranché d'internet, donc les bases n'ont pas changé d'un poil) et au second scan du même fichier dans la zone de quarantaine, donc le fichier qu'il venait de m'y faire mettre, il me dit que le fichier est sain !!!!!!! Je l'ai donc restauré (depuis mon compte admin, impossible depuis mon compte limité), puis j'ai passé un second scan Kaspersky sur tout mon disque dur (toujours avec les mêmes bases), il m'a alors ressorti exactement le même fichier, Virus.Heur, je l'ai mis en quarantaine, et lorsque je l'ai rescanné dans cette quarantaine KAspersky me dit tranquillou qu'il est... sain :P !!!!!!!!

 

J'en perds un peu mon latin, si ça se trouve c'est complètement décorrelé de notre beep.sys, mais depuis des années que j'utilise KIS il n'avait jamais rien trouvé lors de tels scans...

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Yo!

 

Faut pas vous emballer les gars! Ca ressemble lourdement à du faux-positif, et si Angélique, l'un des meilleurs helpeur francophone, considère que c'est bouclé, je la suivrai les yeux fermés :P !

 

 

Quelques infos que vous avez déjà du lire, mais bon...

 

"File Beep.sys is located in the folder C:\Windows\System32\drivers. The file size on Windows XP is 4224 bytes.

The driver can be started or stopped from Services in the Control Panel or by other programs. File Beep.sys is a Windows core system file. The program is not visible. The service has no detailed description. File Beep.sys is a Microsoft signed file. "

 

SDFix a déjà contrôlé le checksum qui semble bon: tu peux à la limite t'assurer que TON beep.sys pèse bien 4224 bytes comme indiqué par Microsoft. Tu constateras aussi que ce program "is not visible": tu ne peux pas le voir (ni le régler, ni le désactiver visiblement), ce qui pourrait expliquer (je parle au conditionnel!) que MBAM le repère comme étant "louche".

 

Quant au fait que MBAM puisse scanner tes répertoires même en mode limité, ça ne m'étonne pas: je crois savoir qu'Ewido, à titre d'exemple, peut carrément s'exécuter sur un compte limité, sans autorisation préalable. Certains logicield savent outrepasser ces droits, à ma connaissance.

 

 

 

Pour ton virus heuristique dans le Restore: il s'agit d'un reste de virus "embarqué" dans la Restauration Système de ton PC: il ne présente aucun danger (SAUF si tu restaures ton PC bien sûr!), mais les antivirus, s'il trouve bien ces traces, ne peuvent les supprimer: i lfaut le faire à la main:

 

flechedroitets2.pngNettoyer les points de restauration

  • Aller dans le menu "Démarrer"
  • Cliquer droit sur l'icone "Poste de travail"
  • Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  • Cliquer sur "Appliquer."
  • Lorsque le message de confirmation apparaît, cliquer sur "Oui"

  • Cliquer enfin sur "OK".
  • Redémarrer
  • Puis:
  • Aller dans le menu "Démarrer"
  • Cliquer droit sur l'icone "Poste de travail"
  • Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  • Cliquer sur "Appliquer."
  • Lorsque le message de confirmation apparaît, cliquer sur "Oui"

  • Cliquer enfin sur "OK".

amecobil Junior Member

amecobil

Posté(e)
Posté(e) (modifié)

salut bdbs, oGu, angélique et tous!

 

J'ai cherché un peu, je pense maintenant (parano dissipée :P !) que MAM couine sans raison.

 

1) Sur un autre machine qui ne surf pas sur le net, et sur laquelle j'ai installé MAM, je trouve exactement les mêmes réactions. Rien en compte admin, et réaction de MAM en compte limité (toujours la même alerte)

 

2) (après avoir coché "afficher les fichiers et les dossiers cachés" + décoché "masquer les extentions etc", et "masquer les fichiers protégés etc".. ), dans Options des dossiers.

 

Les caractéristiques suivantes sont identiques sur les 2 OS, c'est à dire:

 

Sous compte admin, dans dllcache , beep.sys , taille: 4224 octets. Taille sur le disque: 4096 octets. Dans drivers, beep.sys, taille: 4224 octets. Taille sur le disque: 4096 octets.

 

Sous compte limité, dans dllcache, beep.sys, taille: 0 octet. Taille sur le disque: 0 octet. Dans drivers, beep.sys, taille: 4224 octets. Taille sur le disque: 8196 octets.

 

3) J'en conclu donc, les 2 disques durs n'étant pas en relation l'un avec l'autre, que les caractéristiques ci-dessus ne sont pas :P corrompues.

 

4) Il y a des différences de tailles de beep.sys entre les comptes admin et limité, est-ce ce qui fait réagir MAM ? :P

 

5) J'ai fait dans MAM après le scan, click droit sur Fake.Beep.Sys, click gauche sur "Ajouter aux exclusions". Il ne bronche plus.

 

Merci à vous! :P

Modifié par amecobil

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...