Pb avec ce qui semble etre un cheval de troie ou vers ?
Pb avec ce qui semble etre un cheval de troie ou vers ? - Sécurité - Windows & Software
Marsh Posté le 21-05-2003 à 22:27:06
Quel OS ?
Quand tu fais Ctrl+Alt+Suppr, tu as quoi dans la liste ?
Marsh Posté le 21-05-2003 à 22:47:52
tu peux lire mon sujet ici :
http://213.246.36.243/forum/sujet.asp?SUJET_ID=8269
et poster le résultat de l'analyse de HijackThis et StartupList pour qu'on regarde.
Marsh Posté le 21-05-2003 à 22:49:38
Salut ninoh
ps dans mn profil...
2000pro
il n'y a rien d'anormal en residant (que ce soit les dll chargées ou les process...)
ou alors planqué dans application services et controleur ?
++
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 22:50:35
| pgriffet a écrit : tu peux lire mon sujet ici : |
Merci pg, je me penche sur la question a l'instant...
a+ donc
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 22:51:49
Ce sera pour demain car je vais dormir. 
Mais d'autres pourront sûrement t'aider d'ici-là.
Marsh Posté le 21-05-2003 à 22:53:19
Pour être fixé, cherches sur le net TDS (Trojan Defence Suite) télécharges la version d'évaluation (pleinement fonctionnelle) et fait un scan de ton HD, tu sera fixé ....
---------------
Securis c'est plus de 200 logiciels de sécurité gratuits !
Marsh Posté le 21-05-2003 à 22:59:39
| B-52 a écrit : Pour être fixé, cherches sur le net TDS (Trojan Defence Suite) télécharges la version d'évaluation (pleinement fonctionnelle) et fait un scan de ton HD, tu sera fixé .... |
curieux ton programme 8000 bazar 
essayes spybot et adaware 
Marsh Posté le 21-05-2003 à 23:06:28
Alors alors...
pas grand chose...a part un truc...mais j'attend ton avis Pggriffet...
:
Logfile of HijackThis v1.94.0
Scan saved at 22:58:56, on 21/05/2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Surf Pal\CCHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Panicware Surf &Pal - {0ADCDFE7-8490-406D-91BF-88F71FD7F8AE} - C:\Program Files\Panicware\Surf Pal\pwicc.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] .489525463
O16 - DPF: {C1C2AC28-5E4B-4228-B7A0-05E986FFCE14} (TIBSLoader Class) - http://www.goinnow.com/tl4000.dll ???
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
Voila pour le demarrage...
et ensuite, ce qui tourne :
StartupList report, 21/05/2003, 22:59:34
StartupList version: 1.52
Started from : C:\Documents and Settings\texto\Bureau\zncours secu\HijackThis.EXE
Detected: Windows 2000 SP3 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\drivers\dcfssvc.exe
C:\PROGRA~1\DirectUpdate\DUService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\Serv-U\ServUDaemon.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Iarsn\TaskInfo2002 4.0\TaskInfo.exe
C:\Documents and Settings\texto\Bureau\zncours secu\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Tweak UI = RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
ccApp = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
MBM 5 = "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
MessengerPlus2 = "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033
Synchronization Manager = mobsync.exe /logon
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MessengerPlus2 = "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
SuperCopier.exe = C:\Program Files\SuperCopier\SuperCopier.exe
SkwatAutoconnect = C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
msnmsgr = "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
--------------------------------------------------
Shell & screensaver key from C:\WINNT\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINNT\System32\winFAH.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
CCHelper - C:\Program Files\Panicware\Surf Pal\CCHelper.dll - {0CF0B8EE-6596-11D5-A98E-0003470BB48E}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
--------------------------------------------------
Enumerating Task Scheduler jobs:
Symantec NetDetect.job
--------------------------------------------------
Enumerating Download Program Files:
[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft. [...] .489525463
[TIBSLoader Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\tl4000.dll
CODEBASE = http://www.goinnow.com/tl4000.dll???
[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://active.macromedia.com/flash2/cabs/swflash.cab
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOCUME~1\texto\LOCALS~1\Temp\sodelus.exe|||A
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll
--------------------------------------------------
J'ai quelques doute sur le dll 4000... aucune info sur google.... serait ce ca ?
Merci a vous
++
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 23:08:22
| i_samoa2 a écrit : |
Merci sam...mais j'ai deja essayé (cf premier post)
| B-52 a écrit : Pour être fixé, cherches sur le net TDS (Trojan Defence Suite) télécharges la version d'évaluation (pleinement fonctionnelle) et fait un scan de ton HD, tu sera fixé .... |
Je me penche dessus... thx
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 23:15:27
J'ai voulu aller sur le site goinnow mais il affiche ceci
Invalid account_id parameter ''. Please inform the Web Site that sent you here of this error.
Pour le reste, il n'y a rien d'anormal apparemment mais c'est strange cette dll. As-tu regardé la date et l'heure de création et les propriétés de la dll ?
Message édité par pgriffet le 21-05-2003 à 23:17:47
Marsh Posté le 21-05-2003 à 23:23:23
http://tipster6.ik.bme.hu/tahi/rep [...] ec/44.html
Message édité par i_samoa2 le 21-05-2003 à 23:26:57
Marsh Posté le 21-05-2003 à 23:31:20
hum...je ne comprend pas ces informations sam 
Peux tu m'aiguiller ?
(je m'apercois qu'en effet ce chiffre correspond au mien!)
pg,
Malheureusement cette dll est introuvable sur mon ordi !?!
(pas a l'adresse indiqué en tout cas...(C:\WINNT\Downloaded Program Files)
mes recherches ne donnent rien !
Message édité par texto le 21-05-2003 à 23:32:31
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 23:32:49
relance hijackthis pour voir s'il donne la même chose et regarde dans la Bdr à la clé indiquée.
Marsh Posté le 21-05-2003 à 23:33:57
ben regarde ds ton za : objet 80002f50
regarde la tof et le fichier correspondant
Marsh Posté le 21-05-2003 à 23:41:18
| i_samoa2 a écrit : |
la tof de quel fichier ? (tof pour top of file n'est ce pas?)
Pourrais tu etre plus precis ?
| pgriffet a écrit : relance hijackthis pour voir s'il donne la même chose et regarde dans la Bdr à la clé indiquée. |
adresse bdr :HKEY_CLASSES_ROOT\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}
c'est la valeur suivante : TIBSLoader Class
++
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 23:44:55
http://www.google.fr/search?hl=fr& [...] ogle&meta=
oui j'ai bien compris sam...
Tu veux m'expliquer ou pas ?
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 23:47:38
| pgriffet a écrit : relance hijackthis pour voir s'il donne la même chose et regarde dans la Bdr à la clé indiquée. |
hijajack relancé...aucune modification par rapport au premier log.
adresse bdr :HKEY_CLASSES_ROOT\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}
c'est la valeur suivante : TIBSLoader Class
je suis perplexe
TIBSLoader aucune reponse google...
Message édité par texto le 21-05-2003 à 23:48:14
---------------
Mon Feedback
Marsh Posté le 21-05-2003 à 23:49:30
ben j'peux pas t'en dire plus, je lance une piste ch'sais même pas si c'est la bonne
Marsh Posté le 21-05-2003 à 23:52:27
| B-52 a écrit : Pour être fixé, cherches sur le net TDS (Trojan Defence Suite) télécharges la version d'évaluation (pleinement fonctionnelle) et fait un scan de ton HD, tu sera fixé .... |
re 52...
Tres puissant ce soft ! son prix est merité !
malheureusement j'ai juste deux suspicious (a cause d'une double extention)sur adaware et divx 5.04 (la double extention vient de point ds le nom du fichier (version)) bref c'est pas ca...
Message édité par texto le 22-05-2003 à 00:08:44
---------------
Mon Feedback
Marsh Posté le 22-05-2003 à 07:57:22
| Texto a écrit : |
Bah déjà c'est pas un troyen alors ...
---------------
Securis c'est plus de 200 logiciels de sécurité gratuits !
Marsh Posté le 22-05-2003 à 11:23:07
Reply
Marsh Posté le 22-05-2003 à 11:24:38
| Texto a écrit : |
resalut,
bon voilà,
tu es d'accord que ton firewall à pour tâche de contrôler les entrées et sorties de tes clients ou serveurs. D'ordinaire za met le nom du client ou serveur. exemple Messenger, live update ..., etc
Mais il peut afficher directement un adresse ip, et si tu convertis 80002f50 ça donne l'adresse ip 128.000.047.080
Ensuite tu n'as plus qu'à aller sur ripe, et il te donne le requérant.
8000275e --> 128.000.039.094
etc
Message édité par i_samoa2 le 22-05-2003 à 13:05:53
Marsh Posté le 22-05-2003 à 13:05:34
| i_samoa2 a écrit : |
re samoa,
Bon. Apparement tu dois imaginer que je suis tres savant et que je comprend tout instantaneement...
Mais ce n'est pas le cas. Tu m'envoies plein d'informations (c'est tres gentil) mais tu n'explique rien. et tu m'expliques ni ta demarche ni rien...
alors..."si tu convertis 80002f50 ça donne l'adresse ip 128.000.047.080"
Comment ca convertis...en hexadecimal ? en euros ? en quoi ???
Comment fais tu pour arriver a cet adresse ip, comment en es tu arrivé la ?
Thx
Message édité par texto le 22-05-2003 à 13:09:47
Marsh Posté le 22-05-2003 à 13:12:11
Et puis ces quoi ce clin d'oeil ?
Tu connais la solution mais tu veux me faire marner ?
Tu dis que c'est une adresse ip...certes...mais qui est la source ???
Merci quand meme 
Message édité par texto le 22-05-2003 à 13:13:07
Marsh Posté le 22-05-2003 à 13:15:22
milles excuses
les adresses ip sont libellées sur 4 octets
si tu convertis l'hexa 80002f50 en prenant 2 à 2 tu obtiens 128 00 47 80 ou l'adresse 128.000.047.080
pour la source tu vas sur ripe
http://www.ripe.net/perl/whois
http://www.arin.net/tools/whois_help.html
Message édité par i_samoa2 le 22-05-2003 à 13:46:08
Marsh Posté le 23-05-2003 à 00:07:07
bon,
j'ai fait ce que tu m'a conseillé sam..;
(il semble que tout les code designe un meme recepteur ton observation semble pertinente)
mais je ne suis pas plus avancé
dernier bloquage de ma part : 128.000.177.132 (8000b184) (il y a pas plus de cinq minutes )
whois :
Search results for: 128.000.177.132
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
NetRange: 128.0.0.0 - 128.0.255.255
CIDR: 128.0.0.0/16
NetName: RESERVED-3
NetHandle: NET-128-0-0-0-1
Parent: NET-128-0-0-0-0
NetType: IANA Special Use
Comment:
RegDate:
Updated: 2002-09-12
OrgTechHandle: IANA-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-823-9358
OrgTechEmail: res-ip@iana.org
# ARIN WHOIS database, last updated 2003-05-21 20:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Bon... que faire a present ???
++
Message édité par texto le 23-05-2003 à 00:09:40
Marsh Posté le 23-05-2003 à 02:30:10
Lui envoyer la cavallerie ou un exocet ou en dernier ressort lui catapulter des hamburgers si l'on connait son adresse loll Chacun ces missiles 
Mais ne pas confondre avec l'adresse de l'iana Address: 4676 Admiralty Way, Suite 330 City: Marina del Rey State ...... Qui est l'adresse de l'organisme qui gère les ip aux states. C'est pas des rigolos ceux là, alors t'avise pas à leur envoyer un ping car ils ripostent directement avec des 'tomates hawcks' lol
Malheureusement ds le cas présent on a pas plus de précisions sur la liste d'adresse qui te concerne. Adresses dynamiques ?
Utliser un traceur d'ip ?
ben chai pas très bien, mais ce qui est sûr, c'est que tu as un troyen ou qqchose qui y ressemble, dont le seul souci est de rejoindre sa mère à l'adresse indiquée, et qu'il serait bon de le désinstaller.
Tu peux déjà lui bloquer tout les accès via za. Mais ce n'est pas suffisant et la sécurité à ce niveau-ci n'est pas absolue.
Les logiciels de types spybot sont très efficaces, mais avec des troyens et espions déjà répertoriés. Il existe une méthode heuristique en matière de mise à jour de virus non encore connu. Je ne sais pas si cette méthode s'applique également pour les troyens. Donc, si le tien est sur mesure ou trop récent, il n'est pas certain qu'il puisse être repéré par spybot et cie.
Autre solution, identifier où se niche le troyen. Groody vient de me faire découvrir une série d'outils qui ont l'air pas mal :
'filemon'.
http://www.sysinternals.com/ntw2k/source/filemon.shtml
y en a d'autre sur le même site
http://www.sysinternals.com/win9x/98utilities.shtml
enfin vérifies la compatibilté avec ton os !
y en a pour tous.
Avec Filemon tu devrais pouvoir situer où se niche le coco. Pas facile à manipuler ! Chai pas si c'est l'outils idéal, mais je ne vois que ça en ce moment. Les pros ont sûrement d'autres idées.
L'idéal ce serait de lui tendre un piège du genre un grand trou avec des pics bien accérés et un bascule avec ressort tendu pour lui faire le coup du lapin lol à méditer loll
Enfin, tout ce que je dis est bien entendu à prendre au conditionnel et si je dis des con.... 
, n'hésitez pas à me contredir lol
Message édité par i_samoa2 le 23-05-2003 à 11:09:32
Marsh Posté le 23-05-2003 à 11:07:57
salut sam,
Concernant filemon, j'ai deja un soft qui fait la meme chose :
Task info2002 ou je suis en ce moment de le decortiquer...
je cherche je cherche...
mais je ne mets tjs pas la main dessus 
Marsh Posté le 23-05-2003 à 19:02:54
quelle version de za tu as ?
ton os ?
adresse ip statique ou dynamique ?
tu as un réseau local ?
tu es en serveur ?
Message édité par i_samoa2 le 23-05-2003 à 19:04:09
Marsh Posté le 24-05-2003 à 03:12:24
quelle version de za tu as ?
ZA pro 3.5.166
ton os ?
2000 pro
adresse ip statique ou dynamique ?
dynamique (wanadoo adsl)
tu as un réseau local ?
switch
tu es en serveur ?
oui + passerelle
++
Marsh Posté le 24-05-2003 à 10:21:45
question:
ton pc est-il en ligne constamment ?
les objets en questions, si je comprends bien la liste s'allonge de jour en jour ??
as-tu déjà fais une recherche ds ton c: avec les adresse hexa en question ? recherche : 80002f50
idem ds regcleaner ?
Message édité par i_samoa2 le 24-05-2003 à 10:55:34
Marsh Posté le 26-05-2003 à 12:30:43
| i_samoa2 a écrit : question: |
hello Sam,
Oui le pc est tjs en ligne
Oui la liste s'allonde de jour en jour
Oui j'ai fais les recherche en question et .... rien !
Et rien dans la bdr
++
Marsh Posté le 26-05-2003 à 12:44:25
ok alors en principe ça va marcher,
peux-tu savoir l'heure à laquelle il fait l'update de l'objet ?
Sinon tu vas devoir te déconnecter une plage horaire complète de 24 heure et pour plus de sécurité je dirais 30 h.
Vas ds za, onglet 'program', clic sur un des objets, tu as une fenêtre en bas de la liste qui donne les caractéristiques du file . Quel path donne-t-il pour l'objet en question ?
Message édité par i_samoa2 le 26-05-2003 à 13:18:52
Sujets relatifs:
- batch pour inscrire la liste des fichiers/dossiers vers un .txt ...
- Y'a t il un soft pour convertir du ntsc vers pal ?
- ma barre de tache ne veut plus remonter vers le haut ??????!!!!!!!!!!!
- logiciel PC vers PC avec liaison cable
- passage win2k pro vers win98
- Achat d un nom de domaine + redirection vers free
- connexion PPP en RNIS de cisco vers un RAS 2000srver
- Transfert integral du contenu d'un HDD vers un nouveau
- Rediriger le son vers le HP interne du pc ???
- win98 vers nt4 : plus de fenêtre de connection au démarrage.
Marsh Posté le 21-05-2003 à 17:08:51
Hello tous,
Voila, depuis la semaine derniere, lorsque que j'ouvre une fenetre explorer...1 fois sur 20 (environ)...j'ai ZA qui me demande autorisation pour un programme inconnu.
Dans ZA impossible d'avoir des informations sur l'enigmatique 8000etc...(notez les differentes interdiction precedentes...) a chaque fois, le programme fait une tentative sous un nom different.
Recherche bdr/neant
Recherche c: /neant
Recherche dans les fichiers de c: /neant
Bien sur je refuse la connection...mais je me pose de serieuse question sur l'identité du programme. Adaware ne trouve rien/norton antivirus non plus.
Aucun programme suspect dans mon programme file...
des idees ?
Je poste cette image :
[img]
edit du 23
-Les chiffre enigmatique semble correspondre a une adresse ip
-Spybot/norton/tds-3/adaware/sophos ne trouve rien.
-La dll tl4000.dll est suspecté
-la dll apparait sous cette forme :
O16 - DPF: {C1C2AC28-5E4B-4228-B7A0-05E986FFCE14} (TIBSLoader Class) - http://www.goinnow.com/tl4000.dll ???
et ici
[TIBSLoader Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\tl4000.dll
CODEBASE = http://www.goinnow.com/tl4000.dll???
[TIBSLoader Class] mais qu'est c'que c'est ???
Elle est introuvable sur mon systeme...
Le phenomene continu a se manifester regulierement
Message édité par texto le 23-05-2003 à 12:18:33
---------------
Mon Feedback