Précédent
- 1
- 2
- 3
- 4
- 5
- 6
- 7
voilà:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]:c="C:\WINDOWS\xvs_ilop.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]:a="C:\WINDOWS\xvs_ilop.dll"
[HKEY_USERS\S-1-5-21-1844237615-926492609-839522115-1009\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]:c="C:\WINDOWS\xvs_ilop.dll"
[HKEY_USERS\S-1-5-21-1844237615-926492609-839522115-1009\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]:a="C:\WINDOWS\xvs_ilop.dll"
C:\WINDOWS\xvs_ilop.dll
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]:c="C:\WINDOWS\xvs_ilop.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]:a="C:\WINDOWS\xvs_ilop.dll"
[HKEY_USERS\S-1-5-21-1844237615-926492609-839522115-1009\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]:c="C:\WINDOWS\xvs_ilop.dll"
[HKEY_USERS\S-1-5-21-1844237615-926492609-839522115-1009\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]:a="C:\WINDOWS\xvs_ilop.dll"
C:\WINDOWS\xvs_ilop.dll
Re,
les clés ne mènent à rien, cela montre seulement que tu as ouvert le fichier.
Est ce que ceci sera plus informatif :
Relance Process Explorer et clique sur Find.
Tape xvs_ilop dans la zone de recherche.
Clique sur Search.
Obtiens tu autre chose que le fichier ?
Essaye successivement avec ces autres chaînes de caractères :
QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ
1SZSXPF3Enhe93rLzoEunw
mPom6KPGioY
amAL2q8MWKU
e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ
Ca donne des pistes ?
les clés ne mènent à rien, cela montre seulement que tu as ouvert le fichier.
Est ce que ceci sera plus informatif :
Relance Process Explorer et clique sur Find.
Tape xvs_ilop dans la zone de recherche.
Clique sur Search.
Obtiens tu autre chose que le fichier ?
Essaye successivement avec ces autres chaînes de caractères :
QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ
1SZSXPF3Enhe93rLzoEunw
mPom6KPGioY
amAL2q8MWKU
e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ
Ca donne des pistes ?
Bon, je trouve aucune piste de malware sur le poste. Pourtant, mon firewall verrouille tout ce qui entre, mais il doit y avoir une faille quelque part.
Je crois que je vais laisser tomber et garder xvs_ilop.dll verroullé sous \windows, en espérant que le phénomène ne se propage pas plus loin, parce que Kapersky (2011) ne voit absolument rien, et Sunbelt Firewall non plus. Et pourtant le phénomène est là.
Donc un petit résumé si d'autres rencontre également ce xvs_ilop.dll:
symptômes sous XP SP1:
- Dépassement de buffer dans svchost.exe indiqué dans le journal HIPS de Sunbelt Firewall
- Blocage du PC nécessitant un hard reboot
- injection de code dans xvs_ilop.dll sous \windows
Symptômes après passage à XP SP3:
- les mêmes
+ erreur windows host
Symptômes après installation des MAJ windows-update du SP3:
- ne reste plus que l'injection de code dans xvs_ilop.
Remède: il suffit de conserver un fichier xvs_ilop.dll avec contenu texte, en refusant tous les droits pour tous les utilisateurs (sauf pour le compte actif). Le contrôle du fichier se faisant certainement de l'extérieur mais restant invisible de Sunbelt 4.6 et de Kapersky 2011 (toutes détections réglées au max).
Et vraiment un grand merci à Lyonnais92 et à ce forum pour toute cette aide.
Je crois que je vais laisser tomber et garder xvs_ilop.dll verroullé sous \windows, en espérant que le phénomène ne se propage pas plus loin, parce que Kapersky (2011) ne voit absolument rien, et Sunbelt Firewall non plus. Et pourtant le phénomène est là.
Donc un petit résumé si d'autres rencontre également ce xvs_ilop.dll:
symptômes sous XP SP1:
- Dépassement de buffer dans svchost.exe indiqué dans le journal HIPS de Sunbelt Firewall
- Blocage du PC nécessitant un hard reboot
- injection de code dans xvs_ilop.dll sous \windows
Symptômes après passage à XP SP3:
- les mêmes
+ erreur windows host
Symptômes après installation des MAJ windows-update du SP3:
- ne reste plus que l'injection de code dans xvs_ilop.
Remède: il suffit de conserver un fichier xvs_ilop.dll avec contenu texte, en refusant tous les droits pour tous les utilisateurs (sauf pour le compte actif). Le contrôle du fichier se faisant certainement de l'extérieur mais restant invisible de Sunbelt 4.6 et de Kapersky 2011 (toutes détections réglées au max).
Et vraiment un grand merci à Lyonnais92 et à ce forum pour toute cette aide.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
je respecte totalement ton choix.
J'avais une dernière idée qui est de savoir ce qu'il y a dans C:\Program Files\Autoruns
Si tu veux, tu peux faire ceci :
Clique sur démarrer, tous les programmes, accessoires, puis bloc-note
Dès qu'il s'ouvre, copie/colle le texte ci-dessous dans le bloc note:
dir " C:\Program Files\Autoruns\*" /a > files.txt
notepad files.txt
Clique sur fichier, enregistrer sous, choisis de mettre dans type: "tous les fichiers"
Nom de fichier: abcde.bat et enregistre le ou tu le retrouvera facilement
Double clique dessus, un rapport va s'ouvrir, enregistre le et copie le dans ta réponse.
===
Sinon, il faut enlever les outils.
Pour cela :
Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
je respecte totalement ton choix.
J'avais une dernière idée qui est de savoir ce qu'il y a dans C:\Program Files\Autoruns
Si tu veux, tu peux faire ceci :
Clique sur démarrer, tous les programmes, accessoires, puis bloc-note
Dès qu'il s'ouvre, copie/colle le texte ci-dessous dans le bloc note:
dir " C:\Program Files\Autoruns\*" /a > files.txt
notepad files.txt
Clique sur fichier, enregistrer sous, choisis de mettre dans type: "tous les fichiers"
Nom de fichier: abcde.bat et enregistre le ou tu le retrouvera facilement
Double clique dessus, un rapport va s'ouvrir, enregistre le et copie le dans ta réponse.
===
Sinon, il faut enlever les outils.
Pour cela :
Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
bonjour à vous je reinterviens pour ceci :
C:\Program Files\Sizer\sizer.exe
il serait interessant de le passer sur virus total vu qu il est en startup
infos :
It can be found in the location of C:\Program Files\sizer. sizer.exe is a potential security risk which can be modified maliciously by spyware.
C:\Program Files\Sizer\sizer.exe
il serait interessant de le passer sur virus total vu qu il est en startup
infos :
It can be found in the location of C:\Program Files\sizer. sizer.exe is a potential security risk which can be modified maliciously by spyware.
Bonjour,
Gen, je n'y crois pas une minute.
La remarque que tu cites est un "avertissement standard" que je ne prends pratiquement jamais en compte.
Si le fichier d'origine a été modifié, il serait étonnant que ni Kaspersky ni MBAM ne le détecte.
Le logiciel est "exotique" mais sain :
http://www.brianapps.net/sizer/
La seule chose qui me semble intéressante à faire (je ne suis pas sûr que Secunia PSI le connaisse) est de vérifier que c'est bien la dernière version qui est installée.
Gen, je n'y crois pas une minute.
La remarque que tu cites est un "avertissement standard" que je ne prends pratiquement jamais en compte.
Si le fichier d'origine a été modifié, il serait étonnant que ni Kaspersky ni MBAM ne le détecte.
Le logiciel est "exotique" mais sain :
http://www.brianapps.net/sizer/
La seule chose qui me semble intéressante à faire (je ne suis pas sûr que Secunia PSI le connaisse) est de vérifier que c'est bien la dernière version qui est installée.
1) Voilà mon répertoire autoruns (aux problèmes de caractères près):
Le volume dans le lecteur C s'appelle System
Le num'ro de s'rie du volume est 4CE1-E9C1
R'pertoire de C:\Program Files\Autoruns
25/07/2007 11:28 <REP> .
25/07/2007 11:28 <REP> ..
07/03/2006 11:21 47ÿ330 autoruns.chm
10/07/2006 13:22 398ÿ912 autoruns.exe
10/07/2006 13:21 294ÿ912 autorunsc.exe
28/07/2006 07:32 7ÿ005 Eula.txt
4 fichier(s) 748ÿ159 octets
2 R'p(s) 13ÿ143ÿ904ÿ256 octets libres
2) Pour Sizer, c'est j'ai bien la dernière version 3.3. Virustotal ne donne aucun résultat pour sizer.exe
Le volume dans le lecteur C s'appelle System
Le num'ro de s'rie du volume est 4CE1-E9C1
R'pertoire de C:\Program Files\Autoruns
25/07/2007 11:28 <REP> .
25/07/2007 11:28 <REP> ..
07/03/2006 11:21 47ÿ330 autoruns.chm
10/07/2006 13:22 398ÿ912 autoruns.exe
10/07/2006 13:21 294ÿ912 autorunsc.exe
28/07/2006 07:32 7ÿ005 Eula.txt
4 fichier(s) 748ÿ159 octets
2 R'p(s) 13ÿ143ÿ904ÿ256 octets libres
2) Pour Sizer, c'est j'ai bien la dernière version 3.3. Virustotal ne donne aucun résultat pour sizer.exe
Re,
le répertoire autoruns est sain.
Le mieux est, comme tu le suggère, de bloquer les autorisations sur xvs_ilop.dll et de nettoyer les outils.
Je vais cependant voir si un membre de mon réseau a une meilleure idée mais je n'y crois pas beaucoup.
le répertoire autoruns est sain.
Le mieux est, comme tu le suggère, de bloquer les autorisations sur xvs_ilop.dll et de nettoyer les outils.
Je vais cependant voir si un membre de mon réseau a une meilleure idée mais je n'y crois pas beaucoup.
Bonjour,
je n'ai peut être pas été assez attentif à la possibilité d'un rootkit.
Tu peux faire ceci :
Télécharge GMER Rootkit Scanner ici :
http://www.gmer.net/
- Clique sur le bouton "Download EXE"
- Sauvegarde-le sur ton Bureau.
- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
- Ferme les fenêtres de navigateur ouvertes.
- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
- Va dans l'onglet Rootkit/Malware
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :
[list]
[*]Sections
[*]**Assure-toi que "Show All" est décoché**
/list
- Clique maintenant sur le bouton "Scan[ et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"Rapgmer.txt" et sauvegarde-le sur le Bureau ;
- Copie/colle le contenu de ce rapport dans ta réponse.
je n'ai peut être pas été assez attentif à la possibilité d'un rootkit.
Tu peux faire ceci :
Télécharge GMER Rootkit Scanner ici :
http://www.gmer.net/
- Clique sur le bouton "Download EXE"
- Sauvegarde-le sur ton Bureau.
- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
- Ferme les fenêtres de navigateur ouvertes.
- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
- Va dans l'onglet Rootkit/Malware
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :
[list]
[*]Sections
[*]**Assure-toi que "Show All" est décoché**
/list
- Clique maintenant sur le bouton "Scan[ et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"Rapgmer.txt" et sauvegarde-le sur le Bureau ;
- Copie/colle le contenu de ce rapport dans ta réponse.
Re,
je ne vois rien dans ce rapport.
Sais tu si la modification du fichier a lieu même si l'ordi est déconnecté d'Internet (et l'autre PC déconnecté aussi) à l'heure de la modification ?
je ne vois rien dans ce rapport.
Sais tu si la modification du fichier a lieu même si l'ordi est déconnecté d'Internet (et l'autre PC déconnecté aussi) à l'heure de la modification ?
Je n'ai jamais constaté de modifications hors connexion pour xvs_ilop.
Je teste aussi quels sont les utilisateurs qui doivent avoir les autorisations pour qu'il y ait modification du fichier. Pour l'instant, je sais juste que
- Le compte Utilisateurs avec pouvoir n'intervient pas
- Le compte Utilisateurs doit avoir les autorisations
- Mais si seul le compte Utilisateurs possède les autorisations (en plus du compte actif), xvs ne bouge pas. Il faudrait donc la combinaison Utilisateurs + Administrateur + Système pour que xvs soit modifié.
Ah, sinon j'ai supprimé les partages administratifs pour voir, mais pas d'effet.
Je teste aussi quels sont les utilisateurs qui doivent avoir les autorisations pour qu'il y ait modification du fichier. Pour l'instant, je sais juste que
- Le compte Utilisateurs avec pouvoir n'intervient pas
- Le compte Utilisateurs doit avoir les autorisations
- Mais si seul le compte Utilisateurs possède les autorisations (en plus du compte actif), xvs ne bouge pas. Il faudrait donc la combinaison Utilisateurs + Administrateur + Système pour que xvs soit modifié.
Ah, sinon j'ai supprimé les partages administratifs pour voir, mais pas d'effet.
Re,
j'ai abandonné trop tôt une piste, masquer les ports.
Ca passe par configurer la Freebox en routeur pour une raison qu'un post expliquait très bien.
En résumé, si ta freebox n'est pas en mode routeur et que tu as une ip fixe, chaque fois qu'un malware s'intéresse à ton ip, il va arriver sur le PC et pouvoir exploiter les failles (il y en a toujours).
Si ta freebox est en mode routeur, c'est elle qui a l'adresse ip et ton ordi est "invisible".
Un tuto pour configurer la freebox :
https://forums.commentcamarche.net/forum/affich-37636617-configurer-le-mode-routeur-de-la-freebox-v5
j'ai abandonné trop tôt une piste, masquer les ports.
Ca passe par configurer la Freebox en routeur pour une raison qu'un post expliquait très bien.
En résumé, si ta freebox n'est pas en mode routeur et que tu as une ip fixe, chaque fois qu'un malware s'intéresse à ton ip, il va arriver sur le PC et pouvoir exploiter les failles (il y en a toujours).
Si ta freebox est en mode routeur, c'est elle qui a l'adresse ip et ton ordi est "invisible".
Un tuto pour configurer la freebox :
https://forums.commentcamarche.net/forum/affich-37636617-configurer-le-mode-routeur-de-la-freebox-v5
Bonjour,
Me voilà en mode routeur. Tous mes ports sont maintenant masqués sauf le 113 (pourquoi ?). Je vais tester à nouveau XVS_ilop dans la journée...
Me voilà en mode routeur. Tous mes ports sont maintenant masqués sauf le 113 (pourquoi ?). Je vais tester à nouveau XVS_ilop dans la journée...
Bonjour,
je n'ai pas trouvé la réponse à ta question.
Mais il y a beaucoup de référence sur le port 113 et la FreeBox.
https://www.google.fr/search?q=port+113&hl=fr&client=firefox-a&rls=org.mozilla:fr:official&prmd=ivnsfd&ei=5I09TZvsBcGu8QPu8fnwCA&start=0&sa=N&gws_rd=ssl
je n'ai pas trouvé la réponse à ta question.
Mais il y a beaucoup de référence sur le port 113 et la FreeBox.
https://www.google.fr/search?q=port+113&hl=fr&client=firefox-a&rls=org.mozilla:fr:official&prmd=ivnsfd&ei=5I09TZvsBcGu8QPu8fnwCA&start=0&sa=N&gws_rd=ssl
Bonjour,
Resultat...
...aucun effet. Le mode routeur et le masquage des ports n'empêche pas l'injection dans xvs_ilop !!!!
- Donc soit l'injecteur contourne tous les pare-feux, y compris ceux de la freebox. Ça me semble impossible, mais bon...
- Soit ça passe par le port 113, le seul non masqué (enfin, le seul sur le test zebulon)
- Soit c'est un malware, mais qui déjoue tous les antimalwares, Kapersky 2011 et MBAM en tête.
Bref, quand même casse tête ce truc...
Resultat...
...aucun effet. Le mode routeur et le masquage des ports n'empêche pas l'injection dans xvs_ilop !!!!
- Donc soit l'injecteur contourne tous les pare-feux, y compris ceux de la freebox. Ça me semble impossible, mais bon...
- Soit ça passe par le port 113, le seul non masqué (enfin, le seul sur le test zebulon)
- Soit c'est un malware, mais qui déjoue tous les antimalwares, Kapersky 2011 et MBAM en tête.
Bref, quand même casse tête ce truc...
Bonjour,
oui, un sacré casse-tête.
Je crois que les scans MBAM que je t'ai fait faire sont des scans rapides.
Fais un scan complet (après avoir fait la mise à jour par l'onglet ad hoc).
Si ça ne donne rien, on fera passer DrWeb (ça ne coûte que du temps).
oui, un sacré casse-tête.
Je crois que les scans MBAM que je t'ai fait faire sont des scans rapides.
Fais un scan complet (après avoir fait la mise à jour par l'onglet ad hoc).
Si ça ne donne rien, on fera passer DrWeb (ça ne coûte que du temps).
Je ne fais toujours que des scans complets sous MBAM, mais il trouve jamais rien.
Enfin aujourd'hui il a quand même trouvé un petit quelque chose dans le registre:
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Enfin aujourd'hui il a quand même trouvé un petit quelque chose dans le registre:
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Bonjour Lyonnais,
Pour info, ici https://www.bleepingcomputer.com/forums/t/294330/i-removed-hijackstart-menu-with-mbam/
Al.
Pour info, ici https://www.bleepingcomputer.com/forums/t/294330/i-removed-hijackstart-menu-with-mbam/
Al.
Précédent
- 1
- 2
- 3
- 4
- 5
- 6
- 7
