Possible hijacker

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Vazkor » 02 Juin 2004, 23:35

Bonjour,

Franchement un nom de fichier ça se change facilement d'une variante à l'autre.
Regarde si tu as les autres fichiers.

Si tu ne trouves rien de semblable, c'est que nous sommes peut-être parti sur une fausse piste.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9798
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Eol » 03 Juin 2004, 17:54

Vazkor a écrit:Bonjour,

Franchement un nom de fichier ça se change facilement d'une variante à l'autre.
Regarde si tu as les autres fichiers.

Si tu ne trouves rien de semblable, c'est que nous sommes peut-être parti sur une fausse piste.

@+


Le seul fichier qui ressemble à ceux mentionnés plus haut c'est

systemroot+\downloaded program files\bridge.dll

et encore le fichier bridge semble être un fichier texte et pas un fichier.dll
Eol
 
Messages: 41
Inscription: 25 Mai 2004, 18:05

Messagede Vazkor » 03 Juin 2004, 22:32

Bonsoir,

Une dll qui ressemble à un fichier texte c'est pas normal. C'est pas fait pour être lu par un humain.

As-tu fait un clic droit sur ce fichier pour voir ses propriétés? Dans l'onglet version, tu devrais voir le nom de l'application, le numéro de version et le plus intéressant quel en est l'éditeur.

Renomme le fichier en bridge_dll et vois ce qui se passe.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9798
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Eol » 04 Juin 2004, 00:07

Vazkor a écrit:Bonsoir,

Une dll qui ressemble à un fichier texte c'est pas normal. C'est pas fait pour être lu par un humain.

As-tu fait un clic droit sur ce fichier pour voir ses propriétés? Dans l'onglet version, tu devrais voir le nom de l'application, le numéro de version et le plus intéressant quel en est l'éditeur.

Renomme le fichier en bridge_dll et vois ce qui se passe.

@+



C:\WINDOWS\Downloaded Program Files\bridge

Type de fichier: Informations de configuration

(s'ouvre avec bloc note)
Eol
 
Messages: 41
Inscription: 25 Mai 2004, 18:05

Messagede Vazkor » 04 Juin 2004, 07:48

Salut,
C:\WINDOWS\Downloaded Program Files\bridge
Type de fichier: Informations de configuration
(s'ouvre avec bloc note)

Pour moi, ton bridge.dll, c'est pas une vraie dll.

Une dll normale a le type: Extension de l'application
Si on l'ouvre avec le bloc-note on obtient un charabia illisible, sauf quelques passages, dont les informations sur la version, le copyright, etc.

Regarde les propriétés d'une vraie dll de Microsoft telle que shell32.dll et tu verras la différence. Essaie de l'ouvrir avec le bloc-note.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9798
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Eol » 04 Juin 2004, 17:49

Vazkor a écrit:Salut,
C:\WINDOWS\Downloaded Program Files\bridge
Type de fichier: Informations de configuration
(s'ouvre avec bloc note)

Pour moi, ton bridge.dll, c'est pas une vraie dll.

Une dll normale a le type: Extension de l'application
Si on l'ouvre avec le bloc-note on obtient un charabia illisible, sauf quelques passages, dont les informations sur la version, le copyright, etc.

Regarde les propriétés d'une vraie dll de Microsoft telle que shell32.dll et tu verras la différence. Essaie de l'ouvrir avec le bloc-note.

@+


Oui donc en somme, je n'ai aucun des fichiers que l'on m'a dit de vérifier sur mon ordinateur! :D

C'est ennuyeux parceque le programme bridge est toujours là! :s
Eol
 
Messages: 41
Inscription: 25 Mai 2004, 18:05

Messagede Eol » 05 Juin 2004, 12:16

Bonjour!

Donc à votre sens, où dois je investiguer maintenant?
Eol
 
Messages: 41
Inscription: 25 Mai 2004, 18:05

Messagede Jim Rakoto » 05 Juin 2004, 14:02

Salut,

Tu peux vérifier dans registre les clés suivantes
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\clsid\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\systray

Démarrer > exécuter > regedit > ctrl+f > tu colles dans ligne recherche le numéro clsid suivant : 9c691a33-7dda-4c2f-be4c-c176083f35cf
Si il y a ce n° dans les clés données ci-dessus, tu effaces dans la colonne de droite.

Par ailleurs si tu n'as pas le fichier a.exe, tu pourrais avoir a.exea.exe

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Eol » 05 Juin 2004, 14:41

Jim Rakoto a écrit:Salut,

Tu peux vérifier dans registre les clés suivantes
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\clsid\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\systray

Démarrer > exécuter > regedit > ctrl+f > tu colles dans ligne recherche le numéro clsid suivant : 9c691a33-7dda-4c2f-be4c-c176083f35cf
Si il y a ce n° dans les clés données ci-dessus, tu effaces dans la colonne de droite.

Par ailleurs si tu n'as pas le fichier a.exe, tu pourrais avoir a.exea.exe

A+


Merci, mais je n'ai rien de tout ça sur mon ordinateur....je n'ai pas de fichier clsid non plus...la recherche n'a rien donné et je n'ai pas plus de a.exea.exe que de a.exe....Complexe tout cela!
Eol
 
Messages: 41
Inscription: 25 Mai 2004, 18:05

Messagede jjcojax » 05 Juin 2004, 22:48

Bonsoir,
Comme j'ai eu plus ou moin cette histoire de bridge.dll,

j'indique les noms des fichiers/dossiers qui se sont ajoutés sur ma machine.(tous cachés)

a.exe dans \windows\system32
infammous.exe sur le bureau
loader.exe (pas sür qu'il concerne le même problème)
Msbb.exe \windows (propriétés -> fabricant est 180solutions, inc et c'est lié au problème)
Il y avais aussi un répertoire \installer qui chez moi contenais un EXE (id53.exe)
celui çi était lancé à chaque démarrage par la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Si tu as fait le ménage des valeurs douteuses (voir Vaskor dans la 2ème page) surtout dans la clés run,
releve le nom de chaque fichiers.exe (toujours dans la clé RUN) et recherche les fichiers cibles pour voir (avec propriétés) qui est le fabricant du programme.
En plus, si tu retrouves le fichier "mwsoemon.exe" sa me ferait plaisir de connaitre le fabricant (ne te trompe pas, entre propriétés et exécuter)

jjcojax
jjcojax
 
Messages: 13
Inscription: 28 Mai 2004, 08:47
Localisation: Belgique

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: MSN [Bot] et 14 invités