que signifie ce rapport?

[jeyce]

et sinon sfonditalia apparaît toujours dans les problèmes détectés par spybot

à bientôt

[Thanos]

salut

 

Après analyse de ton dernier rapport, je vois ceci =>

msdirect: \??\C:\WINDOWS\system32\msdirect.sys (autostart)

un service qui se lance automatiquement et pour lequel j'ai de gros doutes!

Il est fort possible qu'il soit associé à l'infection visible en début de discussion présent sous cette ligne 023:

O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\jeyce\LOCALS~1\Temp\dnlsvc.exe (file missing)

 

Fais s'il te plait analyser ce fichier C:\WINDOWS\system32\msdirect.sys =>

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier msdirect.sys que tu trouveras en allant dans le dossier C:\WINDOWS\system32

 

Tu cliques une fois sur le fichier msdirect.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

 

Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard!

 

@+ tard

[jeyce]

Salut charles ingals

malheureusement ce fichier est introuvable, impossible de le scanner

merci à bientôt

[Thanos]

salut jeyce

 

ok! est ce que tu peux faire une recherche rapide avec cet outil=>Regsearch:

 

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle les entrées en bleu dans les lignes de la zone de recherche:

(n'entre qu'un seul élément par ligne!)

msdirect

msdirect.sys

dnlsvc

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

-Si la manipulation ne marche pas, entre les éléments un par un.

 

@+ tard

[jeyce]

Salut charles ingals

 

Voici le rapport regsearch

quelle est la suite du programme?

merci à bientot

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.1.0

 

; Results at 22/05/2006 14:55:25 for strings:

; 'msdirect'

; 'msdirect.sys'

; 'dnlsvc'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000]

"Service"="msdirect"

"DeviceDesc"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

"DisplayName"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect\Enum]

"0"="Root\\LEGACY_MSDIRECT\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT\0000]

"Service"="msdirect"

"DeviceDesc"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

"DisplayName"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000]

"Service"="msdirect"

"DeviceDesc"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

"DisplayName"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect\Enum]

"0"="Root\\LEGACY_MSDIRECT\\0000"

 

[HKEY_USERS\S-1-5-21-1078081533-1979792683-1801674531-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"003"="msdirect"

 

; End Of The Log...

[Thanos]

bonjour jeyce

 

Une petite question:est ce que tu as posté la totalité du rapport?

je ne vois rien concernant 'msdirect.sys' et 'dnlsvc'.

Je reviens dans 2 heures pour te poster la suite , à toute

[jeyce]

Salut charles ingals

Il y avait bien la totalité du rapport

j'ai refait un scan distinct pour chaque entrée msdirect.sys ; dnlsvc ; msdirect

voici les 3 rapports

à tout bientôt

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.1.0

 

; Results at 22/05/2006 16:03:38 for strings:

; 'msdirect.sys'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

 

; End Of The Log...

 

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.1.0

 

; Results at 22/05/2006 16:06:28 for strings:

; 'dnlsvc'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

 

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.1.0

 

; Results at 22/05/2006 16:08:04 for strings:

; 'msdirect'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000]

"Service"="msdirect"

"DeviceDesc"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

"DisplayName"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msdirect\Enum]

"0"="Root\\LEGACY_MSDIRECT\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT\0000]

"Service"="msdirect"

"DeviceDesc"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

"DisplayName"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msdirect\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000]

"Service"="msdirect"

"DeviceDesc"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect]

; Contents of value:

; \??\c:\windows\system32\msdirect.sys

"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\

6d,33,32,5c,6d,73,64,69,72,65,63,74,2e,73,79,73,00

"DisplayName"="msdirect"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect\Enum]

"0"="Root\\LEGACY_MSDIRECT\\0000"

 

[HKEY_USERS\S-1-5-21-1078081533-1979792683-1801674531-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"003"="msdirect"

 

; End Of The Log...

[Thanos]

re!

 

ok merci pour la vérification!

Une simple manip à faire s'il te plait:

 

* Passe par Démarre=>Exécuter et tape cmd

* Appuie sur la touche [entrée]

 

* Fais un copier/coller de la commande suivante (ne copie pas le mot "code") puis appuie sur la touche [entrée]:

 cd \ & dir /s /a msdirect.sys >search.txt

* Lorsque la recherche est terminée,à la ligne suivante; tape ceci : search.txt

=>un fichier au format texte va s'ouvrir, copie/colle son contenu dans ton prochain message stp.

Modifié le 22 mai 2006 par charles ingals

[jeyce]

Salut

es tu scertain que c'est utile? voici le rapport et il est complet

 

Le volume dans le lecteur C s'appelle WXPsp1

Le num‚ro de s‚rie du volume est 0416-98CB

[Thanos]

salut jeyce

 

désolé dete demander ca, mais je voulais être sûr que le fichier n'était pas revenu(en ca de redémarrage!).

La suite(et fin!) =>

 

Étape 1:

 

Sauvegarder la base de registre pour pouvoir la restaurer en cas de problème=>

Télécharge Erunt:

http://telechargement.zebulon.fr/202-erunt.html

Comment l'utiliser:

http://www.zebulon.fr/articles/base-de-registre-3.php

 

Étape 2:

 

Télécharger RegDACL de Frank Heyne sur le Bureau

http://www.heysoft.de/nt/reg/doc/RegDACLE.zip

 

Créer un dossier Regdacl sur le Bureau comme ceci=>

Clic droit sur un espace vide du Bureau

Sélectionner Nouveau Dossier sur le menu et le nommer Regdacl

Dézipper les fichiers de RegDACLE.zip dans le nouveau dossier Regdacl sur le Bureau.

 

Copier / coller le texte suivant dans le Bloc-Notes. Faites en sorte que Retour automatique à la ligne n'est pas coché (Menu Format)

 

@echo off

echo %DATE% %TIME% >fixme.txt

For %%i in ("HKLM\SYSTEM\ControlSet003\Services\msdirect","HKLM\SYSTEM\ControlSet004\Services\msdirect","HKLM\SYSTEM\CurrentControlSet\Services\msdirect","HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT","HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT","HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT") Do regdacl %%i /GGE:F(CI) -ANSI>>fixme.txt

ping 1.1.1.1 -n 1 -w 1000>NUL

type fixme.txt | find /v /i "RegDACL 5.1" > newfix.txt

del fixme.txt

type newfix.txt | find /v /i "Copyright" > fixme.txt

del newfix.txt

type fixme.txt | find /v /i "Freeware" > newfix.txt

del fixme.txt

type newfix.txt > fixme.txt

del newfix.txt

echo.>>fixme.txt

echo ==========>>fixme.txt

echo.>>fixme.txt

(echo Effacement de ControlSet003\Services\msdirect

reg delete HKLM\SYSTEM\ControlSet003\Services\msdirect /f

echo.....

echo Effacement de ControlSet004\Services\msdirect

reg delete HKLM\SYSTEM\ControlSet004\Services\msdirect /f

echo.....

echo Effacement de CurrentControlSet\Services\msdirect

reg delete HKLM\SYSTEM\CurrentControlSet\Services\msdirect /f

echo.....

echo Effacement de ControlSet003\Enum\Root\LEGACY_MSDIRECT

reg delete HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECT /f

echo.....

echo Effacement de ControlSet004\Enum\Root\LEGACY_MSDIRECT

reg delete HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECT /f

echo.....

echo Effacement de CurrentControlSet\Enum\Root\LEGACY_MSDIRECT

reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECT /f

echo.....

)>logit.txt 2>&1

type logit.txt >> fixme.txt

start fixme.txt

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis le dossier Regdacl.

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:klegacy.bat

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers(pas comme un document texte).

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes

-Le fichier que tu as créé doit ressembler à ca=>

 

Ouvrir le dossier Regdacl sur le Bureau, double-clic sur klegacy.bat. Une fenêtre DOS sera visible un cour instant, ceci est normal.

Le Bloc-Notes ouvrira fixme.txt, poster le contenu s.v.p

 

@+ tard