header.jpg

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

header.jpg

Messagede jybou » 13 Mai 2005, 19:58

Re,

Les prog. donnés par symantec sont présentes mais à priori, pas dans les même biblio :
mais, pour moi, ils resssemblent plus à des fichiers système Windows qu'autre chose .....
Dois-je les trucider ????

Programme Isass introuvable ..

f:WINNT\ServicePackfile\I386\ smss.exe , csrss.exe, services.exe, winlogon.exe
f:WINNT\System32\ SMSS.EXE, CSRSS.EXE, SERVICES.EXE, WINLOGON.EXE
f:WINNT\System32\dllcache\ WINLOGON.EXE


Pour ceux que l'on a identifié :
F:\DOCUMENT AND SETTING\jyb\local settings\ Temp\FBZITGEQYMZ.exe

Pour moi, ils sont dans un fichier temporaire, ils devraient disparaître automatiquement.
me trompais-je ???????? .... et pourquoi sont ils revenus ??????

Pour la suppression des clés de registre,
les noms que tu as mis en gras , je SUPPRIME ou j'enlève la(les) valeur(s) ????


Avec moi, tu n'es pas prêt de passer des soirées tranquilles !!!!
Le temps que je les delete, ......

@+ et merci
JYBOU


f:WINNT\ServicePackfile\I386\ csrss.exe
f:WINNT\System32\ CSRSS.EXE
jybou
 

Messagede césar » 13 Mai 2005, 20:06

bonjour,

oulà, si ce sont des fichiers systèmes vaut mieux être prudent avant de les supprimer.
f:WINNT\ServicePackfile\I386 smss.exe , csrss.exe, services.exe, winlogon.exe
f:WINNT\System32 SMSS.EXE, CSRSS.EXE, SERVICES.EXE, WINLOGON.EXE
f:WINNT\System32\dllcache WINLOGON.EXE


au pire, on ne les supprime pas, on les rennomme simplement en csrss._exe, ce qui les désactive.
et encore, je ne suis pas sûr que ce soit prudent.
ce sont des fichiers bien connus, mais il devrait se trouver dans C:\system32 et éventuellement c:\winnt\servicespack
c'est toi qui a déplacé la partition système ?
tu me disais que ce n'était pas toi qui avait réglé tweak.ui, est-ce que quelqu'un d'autre a réglé ton ordinateur avant toi ? ou c'est un ordinateur que tu as acheté d'occasion ?
sinon, pour rootkit reveal, bien que ce ne soit plus très utile maintenant, j'avais oublié de te dire qu'il y a avait deux choses à décocher dans les options "don't scan registry" et "hide adstream" ou un truc de ce genre.
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Jim Rakoto » 13 Mai 2005, 20:15

Re,

Pour Symantec, tu attends
Juste vérifier s'il y a une clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OBJECTS_MANAGER\0000\Control
et voir si les valeurs suivantes sont présentes dans colonne de droite
"NewlyCreated*" = "0"
"ActiveService" = "Windows Objects Manager"

Pour les clés ,
tu supprimes la clé, exemple
HKEY_LOCAL_MACHINE\
+SYSTEM\
+ControlSet001\
+Enum\
+ Root\
LEGACY_***
LEGACY_***
+ LEGACY_FBZITGEQYMZ\ valeurs dans colonne de droite
tu supprimes donc bien dans l'arborescence, dans la colonne de gauche (les valeurs dans colonne de droite seront suppimées)

S'il refuse de supprimer "dossier LEGACY_FBZITGEQYMZ (pour faire une analogie avec explorateur windows)
tu cliques sur le + devant et tu effaces ce qui se trouve dedans

Bon nettoyage.
Commence par la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apiuvflwdc

A+ Image
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

header.jpg

Messagede jybou » 13 Mai 2005, 20:55

alut,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OBJECTS_MANAGER

la fin de ta cle \LEGACY_WINDOWS_OBJECTS_MANAGER n'existe pas !!!!

Alors, que dois-je faire ????
@+
JYBOU
jybou
 

Messagede Jim Rakoto » 13 Mai 2005, 22:32

Salut

rien avec cette clé

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Vazkor » 14 Mai 2005, 02:40

Bonjour,
Jybou a écrit:Programme Isass introuvable ..

Normal, il s'agit de Lsass.exe 39184 octets - Exécutable LSA et DLL serveur (version d'exportation)

Excusez-moi de ne pas intervenir plus souvent, je suis largué avec ce problème que je ne suis que de très loin. :wink:

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

header.jpg

Messagede jybou » 14 Mai 2005, 11:56

Bonjour Vazkor,

Alors, si toi tu es largué ....... imagine, moi !!!!
En tout cas, largué, ou pas largué, tes conseils auront été très judicieux !!!!

Tu as raison, pour lsas
il se trouve dans :
f:WINNT\ServicePackfile\I386\ lsass.exe , lsasrv.dll
f:WINNT\System32\ LSASS.EXE, LSASRV.DLL
f:WINNT\System32\dllcache\ lsass.EXE


Merci à toi et aux autres.
@+
JYBOU
jybou
 

header.jpg (suite)

Messagede jybou » 14 Mai 2005, 17:29

Bonjour à tous,

ce n'est pas aussi simple .....

Jim, je n'arrive pas à supprimer les clés dans le registre, ni les valeurs (aussi bien en mode sans échec que normalement).

J'ai réussi pour apiuvflwdc et j'ai tout supprimé.

Par contre, je bloque sur :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FBZITGEQYMZ

il me met erreur lors de la suppression de LEGACY_FBZI....
idem pour la suppression des valeurs, ni même la modification des valeurs.
Je pense que l'on ne peut pas supprimer les clés du Root comme cela ......

==> Pour l'instnt je n'ai pas fait les autres....
j'attends votre avis car je sais pas comment faire !!!!

Par ailleurs, un truc surprenant :
J'étais sur word, et j'ai fait un copier/coller de la valeur se trouvant sur le site de Symantec (via le lien que tu me donne page11)
lsass.exe

Cela a déclenché immédiatement une connexion vers le site symantec .
WINWORD.EXE securityresponse.symantec.com HTTP TCP 813 bytes 480 bytes 14/05/2005 18:19:42 1214 LocalHost 00:00:09 143


Du coup j'ai bloqué toute connexion de Winword via OUTPOST ,
voici, ce que je vois maintenant, si je recommence :

Internet Explorer HTTP connection IEXPLORE.EXE securityresponse.symantec.com HTTP Outbound TCP


Idem j'ai vu plusieurs taches avec mygateway :

WINWORD.EXE mygateway.ar7 DNS UDP 0 bytes 0 bytes 14/05/2005 18:07:04 1202 LocalHost 00:00:00 0

Allow DNS Resolving IEXPLORE.EXE mygateway.ar7 DNS Outbound UDP
Allow DNS Resolving OUTPOST.EXE mygateway.ar7 DNS Outbound UDP



On est même plus maître chez soi !!!!!!
Que faire ?????? et savez-vous ce qu'est mygateway ??????

Désolé, ce n'est pas aussi simple, malheureusement.
Je suis désolé de vous prendre autant de temps.

Merci en tout cas à vous tous pour tous vos conseils .... et les minutes précieuses que vous me consacrez !!!!

Par ailleurs, Jim, une dernière question :
Comment as-tu su que le programme apiuvflwdc était un prog. de chez symantec ?????


@+
JYBOU
jybou
 

Messagede Jim Rakoto » 14 Mai 2005, 18:38

Salut,

Comment as-tu su que le programme apiuvflwdc était un prog. de chez symantec ?????


Euh, j'ai dit cela ??

Ceci par contre
Pour info, ceci est un résidu de Norton (CLSID)
<TR bgcolor=FFFFFF><TD WIDTH="200">{BDF3E430-B101-42AD-A544-FADC6B084872} </TD><TD ALIGN="RIGHT"> 52% </TD><TD ALIGN="RIGHT"> </TD><TD ALIGN="RIGHT"> </TD><TD ALIGN="RIGHT"> </TD><TD ALIGN="RIGHT"> </TD><TD> </TD><TD> Internet </TD><TD> quand Internet Explorer démarre </TD><TD> <entrée du registre invalide> (Extension navigateur) </TD><TD> -</TD></TR>


Réponse ici : http://castlecops.com/clsid-516.html

Pour tes clés, nettoie tout ce que tu peux . mais aussi les fichiers
Les clés peuvent être interdépendantes. en supprimer une pourrait aider à supprimer une autre.

Si après nettoyage, plus de connexion, tu peux télécharger (préalablement of course ) WinsockFix
http://www.majorgeeks.com/download4372.html

Si problème, dézipper > lancer

Pour mygateway.ar7 ,
c'est en fait ta passerelle routeur
Donc quand tu veux te connecter aux pages web du routeur (paramétrage), tu tapes 192.168.1.1 OU mygateway.ar7.

Ah, as-tu fait dernière mises à jour Spybot du 12/05
Cela pourrait être intéressant car il y a dedans
2005-05-12
Adware
++ windupdates.com.MediaAccess
Hijacker
++ CoolWWWSearch.BadZoneMap ++ CoolWWWSearch.Feat2Installer.ADS
++ StopZilla ++ HotSearchBar + BestToolBars
++ Unosearch ++ RegistryOptimizer.com.RegistryCleaner + CoolWWwSearch.Bootconf
Malware
+ SurfSideKick + AproposMedia + E2Give ++ Medload
++ Startpage-AP + EnConfidence ++ GrokLoader
+ AbetterInternet + Callinghome.biz
++ Backdoor.Win32.SdBot.gen
++ FreeCurb ++ ISearchTech + ISearchTech.ISTbar
PUPS
+ Hotbar
Spyware
+ ShopAtHome + Popuppers Advertising
++ n-Case.Salm.exe
+ exact Advertising.BargainsBuddy (3)
++ BargainsBuddy ++ MarketScore OS
Trojan
+ VacPro + Delfin Project ++ W32.Hwbot


Refaire un bon petit nettoyage, en cochant dans Réglages > modules additionnels > traceurs d'activité
cela va vider fichiers temporaires
Nettoyer aussi avec Outils > nettoyeur sécurité > Clic sur Modèles et choisir les 3 propositions (fichiers temp, cache et cookies)

Voilà, voilà

:D Image
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Récapitulatif

Messagede Crazyman » 15 Mai 2005, 09:09

Bonjour à tous !

Vous me semblez les seuls a avoir trouvé une solution sur le net. Malheuresuement, c'est arruvé à une amie a moi et elle ne sait plus quoi faire. Apparemment une de vos methode fonctionne, mais je n'ai pas envie de relire les 12 (longues) pages, etant donné le risque de faire des mauvaises manip. L'un d'entr-vous peut-il ajouter un post clair avec l'ensemble des démarches à effectuer ?

Merci par avance.
Crazyman
 

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités

cron