Hello tous,
 
Voila, depuis la semaine derniere, lorsque que j'ouvre une fenetre explorer...1 fois sur 20 (environ)...j'ai ZA qui me demande autorisation pour un programme inconnu.
 
Dans ZA impossible d'avoir des informations sur l'enigmatique 8000etc...(notez les differentes interdiction precedentes...) a chaque fois, le programme fait une tentative sous un nom different.
 
Recherche bdr/neant
Recherche c: /neant
Recherche dans les fichiers de c: /neant
 
Bien sur je refuse la connection...mais je me pose de serieuse question sur l'identité du programme. Adaware ne trouve rien/norton antivirus non plus.
Aucun programme suspect dans mon programme file...
 
des idees ?
 
Je poste cette image :
[img]
 
edit du 23
 
-Les chiffre enigmatique semble correspondre a une adresse ip
-Spybot/norton/tds-3/adaware/sophos ne trouve rien.

 
-La dll tl4000.dll est suspecté  
-la dll apparait sous cette forme :
O16 - DPF: {C1C2AC28-5E4B-4228-B7A0-05E986FFCE14} (TIBSLoader Class) - http://www.goinnow.com/tl4000.dll ???  
et ici
[TIBSLoader Class]  
InProcServer32 = C:\WINNT\Downloaded Program Files\tl4000.dll  
CODEBASE = http://www.goinnow.com/tl4000.dll???
 
 
[TIBSLoader Class] mais qu'est c'que c'est ???
 
 
Elle est introuvable sur mon systeme...
 
 
Le phenomene continu a se manifester regulierement    
 
 

Quel OS ?
 
Quand tu fais Ctrl+Alt+Suppr, tu as quoi dans la liste ?

tu peux lire mon sujet ici :
 
http://213.246.36.243/forum/sujet.asp?SUJET_ID=8269
 
et poster le résultat de l'analyse de HijackThis et StartupList pour qu'on regarde.

Salut ninoh
 
ps dans mn profil...
 
2000pro
 
il n'y a rien d'anormal en residant (que ce soit les dll chargées ou les process...)
 
ou alors planqué dans application services et controleur ?
 
++

 
Merci pg, je me penche sur la question a l'instant...
a+ donc

Ce sera pour demain car je vais dormir.    
Mais d'autres pourront sûrement t'aider d'ici-là.

Pour être fixé, cherches sur le net TDS (Trojan Defence Suite) télécharges la version d'évaluation (pleinement fonctionnelle) et fait un scan de ton HD, tu sera fixé ....

 
curieux ton programme 8000 bazar    
essayes spybot et adaware  

Alors alors...
 
pas grand chose...a part un truc...mais j'attend ton avis Pggriffet...
 
:
 
Logfile of HijackThis v1.94.0
Scan saved at 22:58:56, on 21/05/2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Surf Pal\CCHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Panicware Surf &Pal - {0ADCDFE7-8490-406D-91BF-88F71FD7F8AE} - C:\Program Files\Panicware\Surf Pal\pwicc.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] .489525463
O16 - DPF: {C1C2AC28-5E4B-4228-B7A0-05E986FFCE14} (TIBSLoader Class) - http://www.goinnow.com/tl4000.dll ???
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
 
 
 
Voila pour le demarrage...
et ensuite, ce qui tourne :
 
 
StartupList report, 21/05/2003, 22:59:34
StartupList version: 1.52
Started from : C:\Documents and Settings\texto\Bureau\zncours secu\HijackThis.EXE
Detected: Windows 2000 SP3 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
 
Running processes:
 
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\drivers\dcfssvc.exe
C:\PROGRA~1\DirectUpdate\DUService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\Serv-U\ServUDaemon.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Iarsn\TaskInfo2002 4.0\TaskInfo.exe
C:\Documents and Settings\texto\Bureau\zncours secu\HijackThis.exe
 
--------------------------------------------------
 
Listing of startup folders:
 
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
 
--------------------------------------------------
 
Checking Windows NT UserInit:
 
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
 
--------------------------------------------------
 
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 
Tweak UI = RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
ccApp = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
MBM 5 = "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
MessengerPlus2 = "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
Synchronization Manager = mobsync.exe /logon
 
--------------------------------------------------
 
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 
MessengerPlus2 = "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
SuperCopier.exe = C:\Program Files\SuperCopier\SuperCopier.exe
SkwatAutoconnect = C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
msnmsgr = "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
 
--------------------------------------------------
 
Shell & screensaver key from C:\WINNT\SYSTEM.INI:
 
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
 
Shell & screensaver key from Registry:
 
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINNT\System32\winFAH.scr
drivers=*Registry value not found*
 
Policies Shell key:
 
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
 
--------------------------------------------------
 
 
Enumerating Browser Helper Objects:
 
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
CCHelper - C:\Program Files\Panicware\Surf Pal\CCHelper.dll - {0CF0B8EE-6596-11D5-A98E-0003470BB48E}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
 
--------------------------------------------------
 
Enumerating Task Scheduler jobs:
 
Symantec NetDetect.job
 
--------------------------------------------------
 
Enumerating Download Program Files:
 
[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft. [...] .489525463
 
[TIBSLoader Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\tl4000.dll
CODEBASE = http://www.goinnow.com/tl4000.dll???
 
[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://active.macromedia.com/flash2/cabs/swflash.cab
 
--------------------------------------------------
 
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
 
Windows NT checkdisk command:
BootExecute = autocheck autochk *
 
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOCUME~1\texto\LOCALS~1\Temp\sodelus.exe|||A
 
--------------------------------------------------
 
Enumerating ShellServiceObjectDelayLoad items:
 
Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll
 
--------------------------------------------------
 
 
J'ai quelques doute sur le dll 4000... aucune info sur google.... serait ce ca ?
 
Merci a vous
 
++

 
 
Merci sam...mais j'ai deja essayé (cf premier post)
 

 
Je me penche dessus... thx

http://tipster6.ik.bme.hu/tahi/rep [...] ec/44.html

J'ai voulu aller sur le site goinnow mais il affiche ceci  
 
Invalid account_id parameter ''. Please inform the Web Site that sent you here of this error.
 
Pour le reste, il n'y a rien d'anormal apparemment mais c'est strange cette dll. As-tu regardé la date et l'heure de création et les propriétés de la dll ?

http://tipster6.ik.bme.hu/tahi/rep [...] ec/44.html
 

Je pige rien samoa, c'est quoi ce truc ?  

hum...je ne comprend pas ces informations sam
 
Peux tu m'aiguiller ?
 
(je m'apercois qu'en effet ce chiffre correspond au mien!)
 
pg,
 
Malheureusement cette dll est introuvable sur mon ordi !?!
 
(pas a l'adresse indiqué en tout cas...(C:\WINNT\Downloaded Program Files)
mes recherches ne donnent rien !
 

relance hijackthis pour voir s'il donne la même chose et regarde dans la Bdr à la clé indiquée.

 
ben regarde ds ton za : objet 80002f50  
regarde la tof et le fichier correspondant  

tu la appeler comment le cheval ?  

 
la tof de quel fichier ? (tof pour top of file n'est ce pas?)
 
Pourrais tu etre plus precis ?
 

 
adresse bdr :HKEY_CLASSES_ROOT\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}
 
c'est la valeur suivante : TIBSLoader Class
 
++

http://tipster6.ik.bme.hu/tahi/rep [...] ec/44.html

 
http://www.google.fr/search?hl=fr& [...] ogle&meta=
 
 
oui j'ai bien compris sam...
 
Tu veux m'expliquer ou pas ?
 

 
hijajack relancé...aucune modification par rapport au premier log.
 
adresse bdr :HKEY_CLASSES_ROOT\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}  
 
c'est la valeur suivante : TIBSLoader Class  
 
je suis perplexe
 
TIBSLoader aucune reponse google...

ben j'peux pas t'en dire plus, je lance une piste ch'sais même pas si c'est la bonne    
 

 
re  52...
 
Tres puissant ce soft ! son prix est merité !
 
malheureusement j'ai juste deux suspicious (a cause d'une double extention)sur adaware et divx 5.04 (la double extention vient de point ds le nom du fichier (version)) bref c'est pas ca...

commence par passer spybot

 
Bah déjà c'est pas un troyen alors ...

 
spybot ne trouve rien (comme adaware)
 
++

 
resalut,  
 
bon voilà,  
 
tu es d'accord que ton firewall à pour tâche de contrôler les entrées et sorties de tes clients ou serveurs. D'ordinaire za met le nom du client ou serveur. exemple Messenger, live update ..., etc
Mais il peut afficher directement un adresse ip, et si tu convertis 80002f50 ça donne l'adresse ip 128.000.047.080  
Ensuite tu n'as plus qu'à aller sur ripe, et  il te donne le requérant.
 
8000275e --> 128.000.039.094
 
etc  
 

 
 
re samoa,
 
Bon. Apparement tu dois imaginer que je suis tres savant et que je comprend tout instantaneement...
 
Mais ce n'est pas le cas. Tu m'envoies plein d'informations (c'est tres gentil) mais tu n'explique rien. et tu m'expliques ni ta demarche ni rien...
 
alors..."si tu convertis 80002f50 ça donne l'adresse ip 128.000.047.080"
 
Comment ca convertis...en hexadecimal ? en euros ? en quoi ???
 
Comment fais tu pour arriver a cet adresse ip, comment en es tu arrivé la ?
 
Thx

oui

Et puis ces quoi ce clin d'oeil ?
 
Tu connais la solution mais tu veux me faire marner ?
 
   
 
 
Tu dis que c'est une adresse ip...certes...mais qui est la source ???
 
Merci quand meme  

 
milles excuses
 
les adresses ip sont libellées sur 4 octets  
si tu convertis l'hexa 80002f50 en prenant 2 à 2 tu obtiens 128 00 47 80  ou l'adresse 128.000.047.080
 
pour la source tu vas sur ripe
 
http://www.ripe.net/perl/whois
 
http://www.arin.net/tools/whois_help.html

bon,
j'ai fait ce que tu m'a conseillé sam..;
(il semble que tout les code designe un meme recepteur ton observation semble pertinente)
 
mais je ne suis pas plus avancé    
 
dernier bloquage de ma part : 128.000.177.132 (8000b184) (il y a pas plus de cinq minutes   )
 
whois :
 
 
 
Search results for: 128.000.177.132  
 
 
OrgName:    Internet Assigned Numbers Authority
OrgID:      IANA
Address:    4676 Admiralty Way, Suite 330
City:       Marina del Rey
StateProv:  CA
PostalCode: 90292-6695
Country:    US
 
NetRange:   128.0.0.0 - 128.0.255.255
CIDR:       128.0.0.0/16
NetName:    RESERVED-3
NetHandle:  NET-128-0-0-0-1
Parent:     NET-128-0-0-0-0
NetType:    IANA Special Use
Comment:
RegDate:
Updated:    2002-09-12
 
OrgTechHandle: IANA-ARIN
OrgTechName:   Internet Corporation for Assigned Names and Number
OrgTechPhone:  +1-310-823-9358
OrgTechEmail:  res-ip@iana.org
 
# ARIN WHOIS database, last updated 2003-05-21 20:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
 
 
 
Bon... que faire a present ???
 
++

Lui envoyer la cavallerie ou un exocet ou en dernier ressort lui catapulter des hamburgers si l'on connait son adresse loll Chacun ces missiles
 
Mais ne pas confondre avec l'adresse de l'iana Address:   4676 Admiralty Way, Suite 330 City:    Marina del Rey State ...... Qui est l'adresse de l'organisme qui gère les ip aux states. C'est pas des rigolos ceux là, alors t'avise pas à leur envoyer un ping car ils ripostent directement avec des 'tomates hawcks' lol  
 
Malheureusement ds le cas présent on a pas plus de précisions sur la liste d'adresse qui te concerne. Adresses dynamiques ?
Utliser un traceur d'ip ?  
 
ben chai pas très bien, mais ce qui est sûr, c'est que tu as un troyen ou qqchose qui y ressemble, dont le seul souci est de rejoindre sa mère à l'adresse indiquée, et qu'il serait bon de le désinstaller.
Tu peux déjà lui bloquer tout les accès via za. Mais ce n'est pas suffisant et la sécurité à ce niveau-ci n'est pas absolue.
 
Les logiciels de types spybot sont très efficaces, mais avec des troyens et espions déjà répertoriés. Il existe une méthode heuristique en matière de mise à jour de virus non encore connu. Je ne sais pas si cette méthode s'applique également pour les troyens. Donc, si le tien est sur mesure ou trop récent, il  n'est pas certain qu'il puisse être repéré par spybot et cie.
 
Autre solution, identifier où se niche le troyen. Groody vient de me faire découvrir une série d'outils qui ont l'air pas mal :
'filemon'.  
 
http://www.sysinternals.com/ntw2k/source/filemon.shtml
 
y en a d'autre sur le même site
 
http://www.sysinternals.com/win9x/98utilities.shtml
 
enfin vérifies la compatibilté avec ton os !
y en a pour tous.
 
Avec Filemon tu devrais pouvoir situer où se niche le coco. Pas facile à manipuler ! Chai pas si c'est l'outils idéal, mais je ne vois que ça en ce moment. Les pros ont sûrement d'autres idées.
 
L'idéal ce serait de lui tendre un piège du genre un grand trou avec des pics bien accérés et un bascule avec ressort tendu pour lui faire le coup du lapin lol  à méditer loll
 
Enfin, tout ce que je dis est bien entendu à prendre au conditionnel et si je dis des con.... , n'hésitez pas à me contredir lol

salut sam,
 
Concernant filemon, j'ai deja un soft qui fait la meme chose :
 
Task info2002 ou je suis en ce moment de le decortiquer...
 
je cherche je cherche...
 
mais je ne mets tjs pas la main dessus  

quelle version de za tu as ?
ton os ?
adresse ip statique  ou dynamique ?
tu as un réseau local ?
tu es en serveur ?

quelle version de za tu as ?
ZA pro 3.5.166
 
ton os ?
2000 pro
 
adresse ip statique  ou dynamique ?
dynamique (wanadoo  adsl)
 
tu as un réseau local ?
switch
 
tu es en serveur ?
oui + passerelle
 
++

question:  
 
ton pc est-il en ligne constamment ?
les objets en questions, si je comprends bien la liste s'allonge de jour en jour ??
 
as-tu déjà fais une recherche ds ton c: avec les adresse hexa en question ? recherche : 80002f50
idem ds regcleaner ?

 
hello Sam,
 
Oui le pc est tjs en ligne
 
Oui la liste s'allonde de jour en jour
 
Oui j'ai fais les recherche en question et .... rien !
 
 
Et rien dans la bdr    
 
++

ok alors en principe ça va marcher,  
 
peux-tu savoir l'heure à laquelle il fait l'update de l'objet ?
Sinon tu vas devoir te déconnecter une plage horaire complète de 24 heure et pour plus de sécurité je dirais 30 h.
 
 
 
Vas ds za, onglet 'program', clic sur un des objets, tu as une fenêtre en bas de la liste qui donne les caractéristiques du file . Quel path donne-t-il pour l'objet en question ?