Création fichiers suspects
Résolu
Boris
-
p.hyka -
p.hyka -
Bonjour,
Je constate la création de fichiers suspects sans extensions :
c:\windows\1
c:\windows\2
c:\windows\5
c:\windows\S
c:\windows\Y
Ces fichiers sont des fichiers dits "système" et ne peuvent être supprimés car utilisés par la système même en mode sans échec.
Seul moyen de les supprimer : booter avec un autre système d'exploitation(live CD), mais ils reviennent dès que le système installé reboot.
Kaspersky pro à jour ne trouve pas de virus, Adaware aucun spyware...
Si quelqu'un a une piste, je suis preneur,
Merci,
Boris
Je constate la création de fichiers suspects sans extensions :
c:\windows\1
c:\windows\2
c:\windows\5
c:\windows\S
c:\windows\Y
Ces fichiers sont des fichiers dits "système" et ne peuvent être supprimés car utilisés par la système même en mode sans échec.
Seul moyen de les supprimer : booter avec un autre système d'exploitation(live CD), mais ils reviennent dès que le système installé reboot.
Kaspersky pro à jour ne trouve pas de virus, Adaware aucun spyware...
Si quelqu'un a une piste, je suis preneur,
Merci,
Boris
A voir également:
- Création fichiers suspects
- Creation compte gmail - Guide
- Création site web - Guide
- Création compte google - Guide
- Media creation tool - Télécharger - Systèmes d'exploitation
- Renommer des fichiers en masse - Guide
21 réponses
b'jour,
possibilité d'un worm quelconque ?
vu sur Sophos
Bat/Hobat-A est un ver destiné au message électronique.
Lorsqu'il est exécuté pour la première fois, Bat/Hobat-A se copie dans C:\Windows\x81.bat, C:\Windows\1. bat et C:\Windows\1.cmd puis crée les fichiers C:\Message.vbs, C:\Windows\MailSend.vbs, C:\Windows\regedit.bat..... etc
http://www.sophos.fr/virusinfo/analyses/bathobata.html
fait un log hijackthis
http://www.zebulon.fr/articles/HijackThis.php
- Le mettre dans 1 dossier ex: C:\HijackThis (pas m/Documents! etc...)
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici
@+
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
possibilité d'un worm quelconque ?
vu sur Sophos
Bat/Hobat-A est un ver destiné au message électronique.
Lorsqu'il est exécuté pour la première fois, Bat/Hobat-A se copie dans C:\Windows\x81.bat, C:\Windows\1. bat et C:\Windows\1.cmd puis crée les fichiers C:\Message.vbs, C:\Windows\MailSend.vbs, C:\Windows\regedit.bat..... etc
http://www.sophos.fr/virusinfo/analyses/bathobata.html
fait un log hijackthis
http://www.zebulon.fr/articles/HijackThis.php
- Le mettre dans 1 dossier ex: C:\HijackThis (pas m/Documents! etc...)
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici
@+
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
C:\Programmes\Outils\xplorer2\xplorer2.exe <--Xplorer2 Lite ça?
ce n'est pas ce sous-internet qui crée ce type de fichiers bizarres?
c'est quoi cet OS avec ce truc là (authentique?) C:\Programmes\Outils/Hijackthis....
c'est tout comme programmes en C:/ ?? - bizarre...
on dirait que le log est incomplet, il manque tout le début, version Hjk et système d'exploitation
idem en 04, t'as rien comme programme dans cet ordi...
rien dans le log de significatif si ce n'est que l'OS semble très léger
c:\windows\1 <-- clic/droit Propriétés ça t'amène où?
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
ce n'est pas ce sous-internet qui crée ce type de fichiers bizarres?
c'est quoi cet OS avec ce truc là (authentique?) C:\Programmes\Outils/Hijackthis....
c'est tout comme programmes en C:/ ?? - bizarre...
on dirait que le log est incomplet, il manque tout le début, version Hjk et système d'exploitation
idem en 04, t'as rien comme programme dans cet ordi...
rien dans le log de significatif si ce n'est que l'OS semble très léger
c:\windows\1 <-- clic/droit Propriétés ça t'amène où?
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
-> "xplorer2.exe" est juste un explorateur alternatif (http://www.zabkat.com/) utilisé depuis des années sans soucis.
-> "C:\Programmes\Outils" est le dossier où j'installe certains petits logiciels outils pour alléger le "program files".
-> Le log est complet : installation récente, propre, usage précautionneux : pas d'installations à tout va, refut d'un max de résidents (msn...) => OS normalement léger ! Je suis d'autant plus étonné !!!
-> c:\windows\1 - Propriétés :
type de fichier : fichier système
description : 1
taille : 767 Mo (comme les autres suspects) !
fichier caché
résumé : toute info vide
merci pour l'aide, le mystère reste entier et préoccupant...
Boris
-> "C:\Programmes\Outils" est le dossier où j'installe certains petits logiciels outils pour alléger le "program files".
-> Le log est complet : installation récente, propre, usage précautionneux : pas d'installations à tout va, refut d'un max de résidents (msn...) => OS normalement léger ! Je suis d'autant plus étonné !!!
-> c:\windows\1 - Propriétés :
type de fichier : fichier système
description : 1
taille : 767 Mo (comme les autres suspects) !
fichier caché
résumé : toute info vide
merci pour l'aide, le mystère reste entier et préoccupant...
Boris
taille : 767 Mo <-- la vache! LOL
essaye l'affichage complet des dossiers sur ton système
2) afficher les dossiers cachés & protégés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> [!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
essaye d'en supprimer 1 de ces dossiers, le plus ancien et ne vide pas la corbeille, ne fait pas un nettoyage du cache,.... attend de voir si ton système roule bien sans ce fichier
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
2) affiche les dossiers cachés (voir + haut)
3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [xxxxxx] ton dossier
5) redémarre en mode normal -<--oui bien sûr ;) ((((NON! vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout) PAS ENCORE)))
6) réactive ta restauration système
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
essaye l'affichage complet des dossiers sur ton système
2) afficher les dossiers cachés & protégés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> [!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
essaye d'en supprimer 1 de ces dossiers, le plus ancien et ne vide pas la corbeille, ne fait pas un nettoyage du cache,.... attend de voir si ton système roule bien sans ce fichier
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
2) affiche les dossiers cachés (voir + haut)
3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [xxxxxx] ton dossier
5) redémarre en mode normal -<--oui bien sûr ;) ((((NON! vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout) PAS ENCORE)))
6) réactive ta restauration système
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
- essaye l'affichage complet des dossiers sur ton système
- afficher les dossiers cachés & protégés
- désactive ta restauration système
merci (!) c'est toujours le cas dans mon profil (je suis informaticien et précotiauneux comme démontré plus haut).
passe en mode sans échec
déjà essayé, cf. 1er descriptif de mon problème.
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [xxxxxx] ton dossier
??? j'ai pas compris !
merci pour tes efforts... mais le mystère reste entier,
comme tu dis "767 Mo" c'est pas rien surtout x5 ! C'est d'ailleurs la diminution d'espace libre sur mon C:\ qui m'a alerté...
Je suis d'autant + perplexe que, comme tu l'as constaté, mon système est assez propre, rien de suspect n'est visible dans la séquence de démarrage...
ou alors un driver chargé au démarrage ?
Merci,
Boris
- afficher les dossiers cachés & protégés
- désactive ta restauration système
merci (!) c'est toujours le cas dans mon profil (je suis informaticien et précotiauneux comme démontré plus haut).
passe en mode sans échec
déjà essayé, cf. 1er descriptif de mon problème.
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [xxxxxx] ton dossier
??? j'ai pas compris !
merci pour tes efforts... mais le mystère reste entier,
comme tu dis "767 Mo" c'est pas rien surtout x5 ! C'est d'ailleurs la diminution d'espace libre sur mon C:\ qui m'a alerté...
Je suis d'autant + perplexe que, comme tu l'as constaté, mon système est assez propre, rien de suspect n'est visible dans la séquence de démarrage...
ou alors un driver chargé au démarrage ?
Merci,
Boris
ok pour l'affichage des dossiers - plusieurs manips mais toutes ne sont pas aussi globales!
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : windows1 ?? ou 1 ?
de toute manière aucun fichier système ne s'appelle 1 ou c:\windows\2
c:\windows\5
c:\windows\S
c:\windows\Y
- est ce que ces fichiers apparaissent après un redémarrage?d'autres se créent en clair ?
- des sauvegardes automatiques quelconques???
au démarrage tu as 3 programmes de listés dans le log
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe <--inutile!
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe <--inutile!
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize<-- légitime - avec le firewall (absent), les infos FAI et l'antivirus + qq programmes natifs Windows selon et ça suffit
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : windows1 ?? ou 1 ?
de toute manière aucun fichier système ne s'appelle 1 ou c:\windows\2
c:\windows\5
c:\windows\S
c:\windows\Y
- est ce que ces fichiers apparaissent après un redémarrage?d'autres se créent en clair ?
- des sauvegardes automatiques quelconques???
au démarrage tu as 3 programmes de listés dans le log
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe <--inutile!
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe <--inutile!
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize<-- légitime - avec le firewall (absent), les infos FAI et l'antivirus + qq programmes natifs Windows selon et ça suffit
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai retiré les 2 services (NeroCheck et imprimante HP)...
voici le log de démarrage (ntbtlog.txt) :
Quelque-chose de louche (visible malgré la longueur du texte !) ?...
Merci,
Boris
voici le log de démarrage (ntbtlog.txt) :
Service Pack 2 3 13 2005 14:57:32.500 Pilote charg‚ \WINDOWS\system32\ntoskrnl.exe Pilote charg‚ \WINDOWS\system32\hal.dll Pilote charg‚ \WINDOWS\system32\KDCOM.DLL Pilote charg‚ \WINDOWS\system32\BOOTVID.dll Pilote charg‚ imagesrv.sys Pilote charg‚ ACPI.sys Pilote charg‚ \WINDOWS\system32\DRIVERS\WMILIB.SYS Pilote charg‚ pci.sys Pilote charg‚ isapnp.sys Pilote charg‚ viaide.sys Pilote charg‚ \WINDOWS\system32\DRIVERS\PCIIDEX.SYS Pilote charg‚ MountMgr.sys Pilote charg‚ ftdisk.sys Pilote charg‚ dmload.sys Pilote charg‚ dmio.sys Pilote charg‚ PartMgr.sys Pilote charg‚ VolSnap.sys Pilote charg‚ atapi.sys Pilote charg‚ imagedrv.sys Pilote charg‚ \WINDOWS\System32\Drivers\SCSIPORT.SYS Pilote charg‚ disk.sys Pilote charg‚ \WINDOWS\system32\DRIVERS\CLASSPNP.SYS Pilote charg‚ fltMgr.sys Pilote charg‚ sr.sys Pilote charg‚ PxHelp20.sys Pilote charg‚ KSecDD.sys Pilote charg‚ Ntfs.sys Pilote charg‚ NDIS.sys Pilote charg‚ viaagp.sys Pilote charg‚ viaagp1.sys Pilote charg‚ Mup.sys Pilote charg‚ klin.sys Pilote charg‚ \WINDOWS\System32\drivers\TDI.SYS Pilote charg‚ klick.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\tunmp.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\amdk7.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ati2mtag.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\RTL8139.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\i8042prt.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\mouclass.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\kbdclass.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\imapi.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\cdrom.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\redbook.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\usbuhci.sys Pilote charg‚ \SystemRoot\system32\drivers\ALCXWDM.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\fdc.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\serial.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\serenum.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\parport.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\gameenum.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\vncdrv.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\audstub.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\rasl2tp.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ndistapi.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ndiswan.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\raspppoe.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\raspptp.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ptilink.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\raspti.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\rdpdr.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\termdd.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\swenum.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\update.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\mssmbios.sys Pilote charg‚ \SystemRoot\System32\Drivers\NDProxy.SYS Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\NDProxy.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\usbhub.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\flpydisk.sys Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\lbrtfdc.SYS Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\Sfloppy.SYS Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\i2omgmt.SYS Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\Changer.SYS Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\Cdaudio.SYS Pilote charg‚ \SystemRoot\System32\Drivers\Fs_Rec.SYS Pilote charg‚ \SystemRoot\System32\Drivers\Null.SYS Pilote charg‚ \SystemRoot\System32\Drivers\Beep.SYS Pilote charg‚ \SystemRoot\System32\drivers\vga.sys Pilote charg‚ \SystemRoot\System32\Drivers\mnmdd.SYS Pilote charg‚ \SystemRoot\System32\DRIVERS\RDPCDD.sys Pilote charg‚ \SystemRoot\System32\Drivers\Msfs.SYS Pilote charg‚ \SystemRoot\System32\Drivers\Npfs.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\rasacd.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\msgpc.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ipsec.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\tcpip.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\netbt.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ipnat.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\wanarp.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\tcpip6.sys Pilote charg‚ \SystemRoot\System32\drivers\afd.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\Ip6Fw.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\netbios.sys Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\System32\Drivers\PCIDump.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\rdbss.sys Pilote charg‚ \SystemRoot\System32\Drivers\PQNTDrv.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\mrxsmb.sys Pilote charg‚ \SystemRoot\System32\drivers\klmc.sys Pilote charg‚ \SystemRoot\System32\drivers\klif.sys Pilote charg‚ \SystemRoot\System32\Drivers\Fips.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\hidusb.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\usbscan.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\mouhid.sys Pilote charg‚ \SystemRoot\System32\Drivers\Fastfat.SYS Pilote charg‚ \SystemRoot\system32\DRIVERS\usbprint.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\ATINTTXX.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\atinmdxx.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\atinxsxx.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\atinraxx.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\atinrvxx.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\atintuxx.sys Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\system32\DRIVERS\rdbss.sys Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\system32\DRIVERS\mrxsmb.sys Pilote charg‚ \SystemRoot\System32\Drivers\ParVdm.SYS Pilote charg‚ \SystemRoot\System32\Drivers\HTTP.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\mdmxsdk.sys Pilote charg‚ \SystemRoot\system32\DRIVERS\srv.sys Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\system32\DRIVERS\ipnat.sys Le pilote n'a pas ‚t‚ charg‚ \SystemRoot\system32\DRIVERS\Ip6Fw.sys Pilote charg‚ \??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00035.sys Pilote charg‚ \??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys Pilote charg‚ \SystemRoot\system32\drivers\wdmaud.sys Pilote charg‚ \SystemRoot\system32\drivers\sysaudio.sys Pilote charg‚ \SystemRoot\system32\drivers\splitter.sys Pilote charg‚ \SystemRoot\system32\drivers\aec.sys Pilote charg‚ \SystemRoot\system32\drivers\swmidi.sys Pilote charg‚ \SystemRoot\system32\drivers\DMusic.sys Pilote charg‚ \SystemRoot\system32\drivers\kmixer.sys Pilote charg‚ \SystemRoot\system32\drivers\drmkaud.sys Pilote charg‚ \SystemRoot\system32\drivers\kmixer.sys
Quelque-chose de louche (visible malgré la longueur du texte !) ?...
Merci,
Boris
vi! comme tu dis malgré la longueur.... ^_^
surtout à cause de la longueur il faut vérifier chque entrée une à une dans Google... on est pas arrivé - j'ai tapé un peu dans le tas, rien de suspect jusque là
j'ai vérifié les qq exeS listées
Pilote charg‚ \WINDOWS\system32\
tant que cette exe n'apparait pas dans les running processes.... ça baigne
(genre : C:\WINDOWS\system32\ntoskrnl.exe)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
surtout à cause de la longueur il faut vérifier chque entrée une à une dans Google... on est pas arrivé - j'ai tapé un peu dans le tas, rien de suspect jusque là
j'ai vérifié les qq exeS listées
Pilote charg‚ \WINDOWS\system32\
tant que cette exe n'apparait pas dans les running processes.... ça baigne
(genre : C:\WINDOWS\system32\ntoskrnl.exe)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
salut la miss il fait beau chez toi
dur dur se probleme
un petit scan chez bit defender ou panda en ligne pour voir
dur dur se probleme
un petit scan chez bit defender ou panda en ligne pour voir
hello Balltrap
oui il fait super beau enfin! jusqu'à quand?
tu vois pas comment peuvent se créer ces programmes toi? jamais vu un truc pareil - lol
oui il fait super beau enfin! jusqu'à quand?
tu vois pas comment peuvent se créer ces programmes toi? jamais vu un truc pareil - lol
oui c est pas evident
c est pour cela que je sugere des scan en lignes
et peut etre une suppr des temps et prefecht
avec ceci
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
c est pour cela que je sugere des scan en lignes
et peut etre une suppr des temps et prefecht
avec ceci
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
vi! le seul truc dont je ne connaisse pas le fonctionnement c'est
C:\Programmes\Outils\xplorer2\xplorer2.exe
j'ai horreur de ces "sous-internet explorer" (pourquoi transformer un inconvénient en sous-inconvénient bis ? ...ça n'engage que moi bien sûr)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
C:\Programmes\Outils\xplorer2\xplorer2.exe
j'ai horreur de ces "sous-internet explorer" (pourquoi transformer un inconvénient en sous-inconvénient bis ? ...ça n'engage que moi bien sûr)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Bonjour à tous,
merci pour vos infos,
xplorer² n'est pas un sous exploreur (j'abhore IE et suis un inconditionnel de firefox de la 1ère heure.)
C'est juste un explorateur type "total commander" en + léger (double fenêtrage et FTP très pratique). En tout cas je l'utilise depuis qu'il existe (plusieurs années) sans soucis sur divers postes.
D'aillieurs il ne lance rien tout seul et n'apparaît dans les process que parce que je l'ouvre.
Côté scan :
Kaspersky der version et à jour n'a rien trouvé,
Symantec en ligne non plus,
Mc Affee en ligne est en cours,
et les autres vont suivre...
affaire à suivre...
encore merci,
Boris
merci pour vos infos,
xplorer² n'est pas un sous exploreur (j'abhore IE et suis un inconditionnel de firefox de la 1ère heure.)
C'est juste un explorateur type "total commander" en + léger (double fenêtrage et FTP très pratique). En tout cas je l'utilise depuis qu'il existe (plusieurs années) sans soucis sur divers postes.
D'aillieurs il ne lance rien tout seul et n'apparaît dans les process que parce que je l'ouvre.
Côté scan :
Kaspersky der version et à jour n'a rien trouvé,
Symantec en ligne non plus,
Mc Affee en ligne est en cours,
et les autres vont suivre...
affaire à suivre...
encore merci,
Boris
Bonjour,
me revoilà avec mon souci toujours + mystérieux.
L'antivirus en ligne Panda a trouvé ces virus/ver :
- mitglieder.bo
- betterinet
- w32/sober.g
mais, ni kaspersky ni les fix dédiés à chacun de ces virus ne confirment cette analyse.
De plus la descriptions des impacts (fichiers ou clefs de registre créés) de ces virus ne se retrouve pas sur mon poste !!!???
Serait-il possible qu'un dysfonctionnement du système ou une dll defectueuse génère ces 5 pseudo fichiers de 767 Mo lors du démarrage ?
Boris
me revoilà avec mon souci toujours + mystérieux.
L'antivirus en ligne Panda a trouvé ces virus/ver :
- mitglieder.bo
- betterinet
- w32/sober.g
mais, ni kaspersky ni les fix dédiés à chacun de ces virus ne confirment cette analyse.
De plus la descriptions des impacts (fichiers ou clefs de registre créés) de ces virus ne se retrouve pas sur mon poste !!!???
Serait-il possible qu'un dysfonctionnement du système ou une dll defectueuse génère ces 5 pseudo fichiers de 767 Mo lors du démarrage ?
Boris
re-bonjour,
tu as un drole de problème quand même
mitglieder.bo <--il a l'air plus connu sous le nom de W32/Bagle.bo/ MCAFEE ou W32/Bagle.gen@MM
http://secunia.com/virus_information/15826/mitglieder.bo/
sur Secuser une variante de Bagle.(AY ) (1 "sous" Netsky)
crée des fichiers :
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe etc... ça ressemble un peu à ton "truc"
http://www.secuser.com/alertes/2005/bagleay.htm
betterinet (rajouterais des adresses dans le Host)
ça n'a pas l'air bien méchant c'est un adware
http://vil.nai.com/vil/content/v_100829.htm
w32/sober.g <-- c'est aussi un virus de mail apparement - tu n'as pas de courrier infecté qq part dans ton ordi? [emaileur] : réception/stocké/ou dans la corbeille?
tu as un drole de problème quand même
mitglieder.bo <--il a l'air plus connu sous le nom de W32/Bagle.bo/ MCAFEE ou W32/Bagle.gen@MM
http://secunia.com/virus_information/15826/mitglieder.bo/
sur Secuser une variante de Bagle.(AY ) (1 "sous" Netsky)
crée des fichiers :
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe etc... ça ressemble un peu à ton "truc"
http://www.secuser.com/alertes/2005/bagleay.htm
betterinet (rajouterais des adresses dans le Host)
ça n'a pas l'air bien méchant c'est un adware
http://vil.nai.com/vil/content/v_100829.htm
w32/sober.g <-- c'est aussi un virus de mail apparement - tu n'as pas de courrier infecté qq part dans ton ordi? [emaileur] : réception/stocké/ou dans la corbeille?
Bonjour,
J'avais effectivement parcouru les descriptifs des virus beagle, bagle et netsky mais les symptômes ne correspondent pas à mon poste et les fichiers créés n'ont pas d'extension et sont "système"...
J'avais effectivement parcouru les descriptifs des virus beagle, bagle et netsky mais les symptômes ne correspondent pas à mon poste et les fichiers créés n'ont pas d'extension et sont "système"...
Bonjour,
une petite info complémentaire : quand on essaye de supprimer ces fichiers avec Copylock on obtient le message "source file doesn't exist" ???!!!
Si ça peut donner une piste...
une petite info complémentaire : quand on essaye de supprimer ces fichiers avec Copylock on obtient le message "source file doesn't exist" ???!!!
Si ça peut donner une piste...
Bonjour Boris je vois que tu as l'air d'être un crac en info alors voici mon pb qui je suis sûr ne sera qu'une petite blague pour toi......
A chaque démarrage de mon pc un boite de dial s'affiche et me dit que le fichier VIAAGP1 est nécessaire et apparemment un de mes mùatériel fonctionnerait mal ( je pense que c'est ma carte graphique video tuner tv koi ....dont je ne retrouve plus le cd) mais pour toi est- ce réparable est comment merci de ta gentillesse ....
Un inconnu qui a été interpellé par ta devise !
A chaque démarrage de mon pc un boite de dial s'affiche et me dit que le fichier VIAAGP1 est nécessaire et apparemment un de mes mùatériel fonctionnerait mal ( je pense que c'est ma carte graphique video tuner tv koi ....dont je ne retrouve plus le cd) mais pour toi est- ce réparable est comment merci de ta gentillesse ....
Un inconnu qui a été interpellé par ta devise !
réinstalle tes pilotes de carte mère si elle comporte bien un chipset via :
http://www.touslesdrivers.com/index.php?v_page=23&v_code=6848
http://www.touslesdrivers.com/index.php?v_page=23&v_code=6848
pour celui qui a un bgros systeme fais une recherche sur ton SE des plus gros fichiers ... deja sa pourrait t'aider ...
Bonjour,
merci du conseil trivial mais qui me fait avancer :
ces 5 fichiers pèsent exactement le poids d'un fichier C:\pagefile.sys
MAIS (!) je n'ai pas de fichier d'échange de défini sur C:\
je n'en ai défini un que sur D:\ de taille fixe (512 Mo)...
Alors bug windows ou virus tordu ?
Boris
merci du conseil trivial mais qui me fait avancer :
ces 5 fichiers pèsent exactement le poids d'un fichier C:\pagefile.sys
MAIS (!) je n'ai pas de fichier d'échange de défini sur C:\
je n'en ai défini un que sur D:\ de taille fixe (512 Mo)...
Alors bug windows ou virus tordu ?
Boris
Bonjour,
PROBLEME RESOLU !!!
j'ai augmenté le cache sur le D:\, supprimé le fichier C:\pagefile.sys,
supprimé ces satanés 5 fichiers !
explication : sans doute une mauvaise gestion du fichier d'échange par windows, j'ai augmenté il y a qq temps la RAM de 256 à 512 en oubliant de reparamétrer le fichier d'échange laissé en fixe à 512 Mo.
Merci pour tous les messages (surtout le dernier) qui m'ont mis sur la voie...
Boris
PROBLEME RESOLU !!!
j'ai augmenté le cache sur le D:\, supprimé le fichier C:\pagefile.sys,
supprimé ces satanés 5 fichiers !
explication : sans doute une mauvaise gestion du fichier d'échange par windows, j'ai augmenté il y a qq temps la RAM de 256 à 512 en oubliant de reparamétrer le fichier d'échange laissé en fixe à 512 Mo.
Merci pour tous les messages (surtout le dernier) qui m'ont mis sur la voie...
Boris
J'avais trouvé la même info sur Sophos concernant Bat/Hobat-A mais je trouve pas les fichiers incriminés (.vbs, .bat).
Voici le log de HijackThis :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Programmes\Outils\xplorer2\xplorer2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmes\Outils\hijackthis\HijackThis.exe
Résultat:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
=> rien ne me semble suspect...?
Une idée ?
merci,
Boris