|resolu|avira hidden

par **angelique** » 30 juil. 2010 19:52

du jour au landemain , et en plus edition de registry avec Icesword , il est bizaare antivir

, non ?

je mets que ça , y'a que ça qui m'intrigue

, j'aime pas l'aléatoire

Starting search for hidden objects.
Catched Exception in <SCAN_Process>
ACCESS_VIOLATION
EAX = 00CB7F70 EBX = 02ECEF78
ECX = 02ECEBD4 EDX = 00000000
ESI = 00CB7F70 EDI = 00000178
EIP = 0041140A EBP = 02ECEE60
ESP = 02ECEBD0 Flg = 00010206
CS = 00000023 SS = 0000001B
HKEY_USERS\S-1-5-21-1123561945-492894223-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\hrzr_ehacngu
[NOTE] The registry entry is invisible.
HKEY_USERS\S-1-5-21-1123561945-492894223-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\hrzr_ehacngu:p:\jvaqbjf\flfgrz32\abgrcnq.rkr

putain , si qlq1 a une reponse là dessus

??

j'pete le contenu quand meme

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-1123561945-492894223-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count]
"HRZR_PGYFRFFVBA"=hex:00,00,00,00,00,00,00,00
"HRZR_PGYPHNPbhag:pgbe"=hex:00,00,00,00,02,00,00,00,00,00,00,00,00,00,00,00
"HRZR_HVFPHG"=hex:00,00,00,00,0b,00,00,00,b0,e3,da,ad,0e,30,cb,01
"HRZR_EHACNGU"=hex:00,00,00,00,23,00,00,00,10,6d,80,e6,0f,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\Gpcivrj.rkr"=hex:00,\
00,00,00,06,00,00,00,f0,62,45,a0,06,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\cebprkc.rkr"=hex:00,\
00,00,00,06,00,00,00,70,db,e2,a0,06,30,cb,01
"HRZR_EHACNGU:P:\\JVAQBJF\\flfgrz32\\riragije.rkr"=hex:00,00,00,00,06,00,00,00,\
b0,93,a2,b1,06,30,cb,01
"HRZR_EHACNGU:guhaqreoveq.yax"=hex:00,00,00,00,06,00,00,00,b0,77,84,18,07,30,\
cb,01
"HRZR_EHACNGU:P:\\Cebtenz Svyrf\\guhaqreoveq-2.0.0.20cer.ra-HF.jva32\\guhaqreoveq\\guhaqreoveq.rkr"=hex:00,\
00,00,00,07,00,00,00,10,34,3b,60,0a,30,cb,01
"HRZR_EHACNGU:SversbkCbegnoyr.yax"=hex:00,00,00,00,06,00,00,00,b0,3f,34,19,07,\
30,cb,01
"HRZR_EHACNGU:P:\\Cebtenz Svyrf\\SS\\SversbkCbegnoyr\\SversbkCbegnoyr.rkr"=hex:00,\
00,00,00,09,00,00,00,b0,e1,72,ef,0e,30,cb,01
"HRZR_EHACNGU:iyp.yax"=hex:00,00,00,00,06,00,00,00,70,f8,07,59,07,30,cb,01
"HRZR_EHACNGU:P:\\Cebtenz Svyrf\\iyp-1.1.2-jva32\\iyp-1.1.2\\iyp.rkr"=hex:00,\
00,00,00,06,00,00,00,f0,47,1a,59,07,30,cb,01
"HRZR_EHACNGU:P:\\JVAQBJF\\flfgrz32\\ABGRCNQ.RKR"=hex:00,00,00,00,11,00,00,00,\
30,66,0f,d5,0f,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Zrf qbphzragf\\ybtf_eng\\7M\\7-MvcCbegnoyr\\7-MvcCbegnoyr.rkr"=hex:00,\
00,00,00,06,00,00,00,70,06,fe,f9,07,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Zrf qbphzragf\\AvfFpevcg_2.3\\AvfFpevcg 2.3\\zvep.rkr"=hex:00,\
00,00,00,06,00,00,00,90,66,df,ce,08,30,cb,01
"HRZR_EHACVQY"=hex:00,00,00,00,09,00,00,00,b0,e1,72,ef,0e,30,cb,01
"HRZR_EHACVQY:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\SversbkCbegnoyr.yax"=hex:00,\
00,00,00,08,00,00,00,b0,e1,72,ef,0e,30,cb,01
"HRZR_EHACVQY:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\guhaqreoveq.yax"=hex:00,\
00,00,00,06,00,00,00,10,34,3b,60,0a,30,cb,01
"HRZR_EHACNGU:P:\\JVAQBJF\\flfgrz32\\zfcnvag.rkr"=hex:00,00,00,00,06,00,00,00,\
a0,28,bc,d6,0b,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\VprFjbeq122ra\\VprFjbeq.rkr"=hex:00,\
00,00,00,06,00,00,00,90,86,15,af,0e,30,cb,01
"HRZR_EHACNGU:P:\\JVAQBJF\\ertrqvg.rkr"=hex:00,00,00,00,06,00,00,00,10,6d,80,\
e6,0f,30,cb,01

http://imagesup.org/images7/1280512475-sans-titre.jpg

que dalle sur l'hex avec http://www.pieter-arntz.info/infodomein ... unhex.html ou reghexenc

Th° · par **Th°** » 30 juil. 2010 20:57

Bonsoir,

http://www.lavasoftsupport.com/index.ph ... st&p=32268
on dirait des scripts en ROT13, procédé qui décale les lettres de l'alphabet de 13 rangs vers l'avant (je l'apprends à l'instant, je ne connaissais pas).
Exemples : A devient N, B devient O, etc.

Et quand on s'amuse à convertir tes chemins bizarres sur la partition P:/

avec cet outil en ligne : http://www.tele-pro.co.uk/scripts/misc/rot13.htm, voilà ce que ça donne :
UEME_RUNPATH:C:\\Documents and Settings\\phreak\\Bureau\\Tcpview.exe
UEME_RUNPATH:C:\\Documents and Settings\\phreak\\Bureau\\procexp.exe
UEME_RUNPATH:C:\windows\system32\notepad.exe

Script infectieux ou pas, je l'ignore par contre... On ne t'aurait pas fait une blague dernièrement ?

Th° · par **Th°** » 30 juil. 2010 21:32

Je n'avais pas remarqué, mais j'ai presque la même chose !

C'est quoi ce truc ??

--
[Edit] A priori, c'est normal : http://forum.pcastuces.com/xp_espion_rebus-f1s24608.htm

--
[Edit2] J'ai trouvé ce topic dans lequel Sacles conseillait de passer un coup de MRU-Blaster pour faire disparaître ces entrées. Ce bon vieux MRU-Blaster que je traîne depuis des lustres ! opération OK pour moi ;)

Topxm · par **Topxm** » 30 juil. 2010 23:05

Yop,

UserAssist, clé encryptée par M$. Si t'as du compilo y'a moyen de les lires, mais bon tu vas pas gagner grand chose ...

http://www.google.fr/search?hl=fr&sourc ... =&gs_rfai=

par **angelique** » 31 juil. 2010 09:43

aaah ! bah ok merci de t'etre penché sur ce truc , tcpview..procxp , j'utilise bien ouai , et certes ouai mrublaster j'ai mais je le passe pas souvent

et ouai , avant mrublaster :

Code : Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-1123561945-492894223-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count]
"HRZR_PGYFRFFVBA"=hex:00,00,00,00,00,00,00,00
"HRZR_PGYPHNPbhag:pgbe"=hex:00,00,00,00,02,00,00,00,00,00,00,00,00,00,00,00
"HRZR_HVFPHG"=hex:00,00,00,00,09,00,00,00,c0,18,2a,0e,83,30,cb,01
"HRZR_EHACNGU"=hex:00,00,00,00,0d,00,00,00,20,d5,d0,bd,83,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\Gpcivrj.rkr"=hex:00,\
  00,00,00,06,00,00,00,f0,09,8f,ec,82,30,cb,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\cuernx\\Ohernh\\cebprkc.rkr"=hex:00,\
  00,00,00,06,00,00,00,b0,cd,78,ed,82,30,cb,01
"HRZR_EHACNGU:P:\\JVAQBJF\\flfgrz32\\riragije.rkr"=hex:00,00,00,00,06,00,00,00,\
  30,20,b1,f1,82,30,cb,01
"HRZR_EHACNGU:guhaqreoveq.yax"=hex:00,00,00,00,06,00,00,00,00,bf,58,0d,83,30,\
  cb,01
"HRZR_EHACNGU:P:\\Cebtenz Svyrf\\guhaqreoveq-2.0.0.20cer.ra-HF.jva32\\guhaqreoveq\\guhaqreoveq.rkr"=hex:00,\
  00,00,00,06,00,00,00,50,d9,06,0e,83,30,cb,01
"HRZR_EHACNGU:SversbkCbegnoyr.yax"=hex:00,00,00,00,06,00,00,00,c0,18,2a,0e,83,\
  30,cb,01
"HRZR_EHACNGU:P:\\Cebtenz Svyrf\\SS\\SversbkCbegnoyr\\SversbkCbegnoyr.rkr"=hex:00,\
  00,00,00,06,00,00,00,20,66,59,0e,83,30,cb,01
"HRZR_EHACNGU:P:\\JVAQBJF\\ertrqvg.rkr"=hex:00,00,00,00,06,00,00,00,20,d5,d0,\
  bd,83,30,cb,01

apres mrublaster count n'existe plus

[-HKEY_USERS\S-1-5-21-1123561945-492894223-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count]

THX

Malekal.com forum

|resolu|avira hidden

|resolu|avira hidden

Re: avira hidden

Re: avira hidden

Re: avira hidden

Re: avira hidden