Demande D'information

[FLORIAN]

Salut a vous deux ipl_001 , queruak

 

 

Auriez vous des infos concernant ces lignes la parce que l'on m'a envoyer un rapport mais la j'ai du mal a trouver

y'a til un danger de les enlever ??

la personne m'a dit que lorsque qu'elle enlevait tout ca elle n'avait plus d'icone a cote de l'horloge j'ai eu du mal a la croire (mais possible)

 

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9}|%SystemRoot%\system32\SHELL32.dll|| - (no file)

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153}|C:\WINDOWS\System32\stobject.dll| - (no file)

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9}|%SystemRoot%\system32\SHELL32.dll|| - (no file)

 

merci a vous de m'éclairer

 

 

 

 

Cordialement @+ Florian

[bigbernie]

Le premier CLSID et le troisieme. Attention !

 

shell32.exe

Process Name: BadSector virus

 

Description: shell32.exe is a process which is registered as the BadSector virus Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regardin process

 

Le second effectivement un rapport avec les icones dy systray.

 

stobject.dll

Process Name: Microsoft Systray shell service object

 

Description: stobject.dll is a library which conotains resources such as icons.

[megataupe]

Bonjour à tous. Je compléte l'avis de Bigbernie :

 

default shell32.exe "Added by the BINGHE TROJAN!"

X LTSMSG Shell32.exe "Added by the LEMIR.B TROJAN!"

X Shell Shell32.exe "Added by the BADSECTOR TROJAN!"

 

Trois trojans possibles donc avec cette entrée.

[FLORIAN]

Bonjour à tous. Je compléte l'avis de Bigbernie   :

 

default shell32.exe "Added by the BINGHE TROJAN!"

X LTSMSG Shell32.exe "Added by the LEMIR.B TROJAN!"

X Shell Shell32.exe "Added by the BADSECTOR TROJAN!"

 

Trois trojans possibles donc avec cette entrée.

515361[/snapback]

 

 

Merci a tous les deux

 

Comment expliquer que son ANTIVIRUS ( antivir ) n'a rien detecte ?

ni meme tout ce que l'on peu trouver comme ANTISPY ( a part Hijackthis )

parce que tout ca n'apparait pas dans ces procéssus ni dans SPYBOT ni meme dans AD-AWARE

 

Le mystere demeure donc !!!!!!

[megataupe]

Comment expliquer que son ANTIVIRUS ( antivir ) n'a rien detecte ?

 

Hum, un antivirus n'est pas un antitrojan et il n'y a pas de quoi être surpris, vu qu'il sort un nouveau trojan tous les jours. Un petit scan avec Pest Patrol (un vrai antivermine celui-là) aurait sans doute détecter les bestiolles.

[FLORIAN]

Hum, un antivirus n'est pas un antitrojan

 

Je ne dirais pas comme toi

 

sache quand meme que ANTIVIR reconnait DYFUCA qui est bien un trojan

 

et bien d'autres encore

 

EX = Trojan.JS.StartPage.a

Trojan.JS.StartPage.i

Trojan.JS.StartPage.j

Trojan.JS.StartPage.u

Trojan.JS.StartPage.y

tous comme mediaticket installer

et la liste peut etre longue

 

bon apres midi a toi

[queruak]

Bonjour FLORIAN, bigbernie, megataupe, bonjour à tous,

 

Salut FLORIAN,

Merci pour le patch

 

S'il y'a de lignes dont je méfie beaucoup dans un rapport hijackthis,ce sont justement ces lignes 021.

 

O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique

C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows.

 

HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.

source:http://www.zebulon.fr/articles/HijackThis.php

 

Sur le site de référence,on ne trouve pas de documentation au sujet des clés que tu signales.

http://www.fbeej.dk/NewHJTEntries.htm

 

Mais quand on regarde de prés le fichiers shell32.dll (et non shell32.exe ) et stobject.dll ,voila ce qu'on trouve.

 

Shell32.dll

DLL File: shell32 or shell32.dll

DLL Name: Microsoft Windows Shell Library

Description:

shell32.dll is a library which contains Windows Shell API functions, which are used when opening web pages and files.

The normal location of this file is C:\windows\system32\shell32.dll

http://www.liutilities.com/products/wintas...ibrary/shell32/

http://www.iamnotageek.com/a/Shell32.dll.php

 

--------------------------------------------------

Stobject.dll

Process File: stobject.dll

Process Name: Microsoft Systray shell service object

http://www.processlibrary.com/directory/files/stobject/

http://www.auditmypc.com/process/stobject.asp

 

Tu pourras avoir aussi ceci:

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\windows\system32\SHELL32.dll

CDBurn: C:\windows\system32\SHELL32.dll

WebCheck: C:\windows\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

 

Si c'etait moi,je ne fixe pas .

[FLORIAN]

Bonjour FLORIAN, bigbernie, megataupe, bonjour à tous,

 

Salut FLORIAN,

Merci pour le patch 

 

De rien

Bon je te remerci de ta lumiere mais comme j'avais un doute je preferais demandé on ne sait jamais avec ces trucs la. Personellement j'ai aussi les memes lignes apres avoir fait un scan parce que je me suis aussi inquiété par apport a cela

mais rien n'est reconnu par a2 ni meme the cleaner

Bon week end a tous

Cordialement @+ florian

Modifié le 10 juin 2005 par FLORIAN

[bigbernie]

Moi non plus je ne fixerai pas. D'ailleurs dans mon post j'avais marque Attention et pas c'est un trojan. Mefiance mais pas certitude. Cette shell32.dll est utilisee par une vingtaine de processus differents qu'il est inutile que je liste ici tandis que stobject n'est utilisee que par Explorer.

Il n'y a pas de trojans connus qui s'interessent a stobject tandis que pour shell32 oui.

Je trouve que les trojans devraient avoir des noms specifiques bien a eux et pas prendre le nom et se substituer aux fichiers systeme existants. lol !

La vie serait tellememt plus facile !

[queruak]

Rebonjour,

Le premier CLSID et le troisieme.  Attention !

shell32.exe

Process Name:  BadSector virus

Description:  shell32.exe is a process which is registered as the BadSector virus Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regardin process

515295[/snapback]

 

Dan ta réponse tu parlais de shell32.exe qui est effectivement un trojan.

Mais là il s'agit de shell32.dll

 

Nuance entre les deux !!!

Modifié le 10 juin 2005 par queruak