4 replies to this topic

[Tchim]

Salut,

 

Je recherche tout renseignements sur plusieurs services qui ont apparus dans les services Windows, sûrement des petits logiciels que j'ai installés, mais il m'est pour l'instant impossible de savoir lesquels.

 

Voici les services en question (en majuscules comme dans les services) :

- JAOQ

- WJUKGGWADA

- WSZF

 

Tout les trois sont en manuel pour l'instant

 

 

En petit cadeau de bienvenue, voici les sites sur lesquels je me rends pour régler mes services :

 

PCAstuces.com pour avoir un premier avis sur la configuration des services :

http://www.pcastuces...dows7/page4.htm

 

Assiste.com pour avoir une traduction des services Anglais/Français :

http://assiste.forum...hp?f=35&t=27888

 

BlackViper.com pour avoir un deuxième avis sur la configuration des services (j'utilise "Tweaked")

http://www.blackvipe...configurations/

 

BlackViper.com pour avoir des explications plus poussées sur les services (en Anglais)

http://www.blackvipe...ndows-services/

 

Si vous utilisez d'autres sources pour configurer vos services, elles sont les bienvenues

 

@+

[Tchim]

Trouvé, ce sont trois éxécutables créés par RootkitRevealer de Synternal, j'ai l'impression que cette appli portable s'incruste pas mal dans le registre (normal pour un anti-rootkit)

 

En fait je suis allé dans les services et cherché le chemin d'installation dans les propriétés des services, ensuite, une fois rendu aux emplacements des installations, dans les propriétés des .exe, dans l'onglet "détail" j'ai vu le nom exact.

[Tchim]

En fait, c'est parce que j'ai un problème avec RootkitRevealer, il ne peut pas se lancer chez moi et comme il créée des services (une copie de lui-même) avec un nom aléatoire à chaque fois qu'il se lance et qu'il ne peut pas les supprimer non plus, ça me faisait cinq services aux noms étranges en mode manuel non démarré.

 

Je vais essayer de le mettre sur le HDD plutôt que sur la clé, pour voir si les problèmes de lancement et de suppression de service persistent.

 

Par contre il va falloir que je trouve où virer ces services, les .exe dans le fichier \Temp c'est OK.

[Txon]

Salut !

 

La technique qui consiste à changer aléatoirement le nom des modules d'un ARK est connue depuis IceSword.

RootkitRevealer ne fonctionne pas sur des systèmes 64 bits. Je crois qu'il en est resté à Windows XP et Windows Server 2003 32bits et que sa dernière version date de fin 2006.

 

Poiur "virer" ces services, il existe plusieurs possibilités :

.. Procéder à une désinstallation complète du produit, quitte à chercher et supprimer préalablement les incrustations dans le Registre avec un outil puissant (mais en faisant très attention) comme O&O RegEditor tant avec le nom de RootkitRevealer qu'avec celui qu'il a généré.

.. Repérer tout ce qui le concerne et flinguer depuis Linux.

 

@+

[Tchim]

J'ai réussi à virer les services au noms aléatoires créés par RootkitRevealer avec Comodo Autorun Analyzer dans sa version portable.

 

RootkitRevealer n'était pourtant pas installé (version portable sur WSCC) et mon système sur le netbook est Windows 7 Starter 32bits, je dispose aussi d'un PC de bureau sous Windows XP Home 32bits et un autre PC de bureau sous Xubuntu 64bits.

 

Donc je n'utiliserai plus ce logiciel vu que j'ai des problèmes pendant et après son utilisation.