Rootkit ? Non-identifié...
Résolu/Fermé
A voir également:
- Rootkit ? Non-identifié...
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Appeler sans etre identifié - Guide
- Ora-00904 identificateur non valide ✓ - Forum Oracle
- Rootkit - Télécharger - Antivirus & Antimalwares
24 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
28 oct. 2010 à 09:38
28 oct. 2010 à 09:38
Bonjour,
il y avait ceci dans le rapport Combofix :
[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ù*¹*%\OpenWithList]
@Class="Shell"
Les caractères .*ù*¹*% sont mal retranscrits.
Peux tu ouvrir le registre et voir ce qu'il en est.
Par ailleurs, relance MBAM par clic droit et exécuter en tant qu'administrateur, mets le à jour par l'onglet ad hoc et fais un scan complet (ça sera long).
Poste le rapport.
il y avait ceci dans le rapport Combofix :
[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ù*¹*%\OpenWithList]
@Class="Shell"
Les caractères .*ù*¹*% sont mal retranscrits.
Peux tu ouvrir le registre et voir ce qu'il en est.
Par ailleurs, relance MBAM par clic droit et exécuter en tant qu'administrateur, mets le à jour par l'onglet ad hoc et fais un scan complet (ça sera long).
Poste le rapport.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
2 nov. 2010 à 13:10
2 nov. 2010 à 13:10
Bonjour,
bravo.
Le logiciel sert à gérer les versions des "fichiers".
La marque indique que le fichier a été (ou va être) modifié.
Je ne sais pas si tu souhaites conserver ce logiciel.
Mais ma question est : que se passe-t-il si tu désinstalles ?
bravo.
Le logiciel sert à gérer les versions des "fichiers".
La marque indique que le fichier a été (ou va être) modifié.
Je ne sais pas si tu souhaites conserver ce logiciel.
Mais ma question est : que se passe-t-il si tu désinstalles ?
Après désinstallation de Tortoise, le sigle réapparait.
Là, je viens de réinstaller Tortoise - le sigle a disparu à nouveau...
Autre chose : en présence de Tortoise, le temps de démarrage - entre la validation du mot de passe de l'ordinateur et l'apparition de l'écran de sélection des utilisateurs - est réduit d'environ cinq - sept secondes, toutes conditions par ailleurs identiques.
Tortoise est installé pour tous utilisateurs.
Comme si sa présence empêchait « l'autre » de provoquer un conflit qui ralentissait le démarrage.
Est-ce qu'il y a un moyen d'enregistrer les conflits au démarrage ?
Là, je viens de réinstaller Tortoise - le sigle a disparu à nouveau...
Autre chose : en présence de Tortoise, le temps de démarrage - entre la validation du mot de passe de l'ordinateur et l'apparition de l'écran de sélection des utilisateurs - est réduit d'environ cinq - sept secondes, toutes conditions par ailleurs identiques.
Tortoise est installé pour tous utilisateurs.
Comme si sa présence empêchait « l'autre » de provoquer un conflit qui ralentissait le démarrage.
Est-ce qu'il y a un moyen d'enregistrer les conflits au démarrage ?
28 oct. 2010 à 11:28
[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?]
[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?\OpenWithList]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?\OpenWithList]
Je m'occupe du scan complet.
28 oct. 2010 à 16:15
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4974
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975
28/10/2010 16:08:51
mbam-log-2010-10-28 (16-08-51).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 377872
Temps écoulé: 1 heure(s), 57 minute(s), 25 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
C'est à croire que la chose a utilisé un procédé inconnu et sans traces pour modifier l'apparence des icônes sur le bureau. Ou au contraire, un procédé connu et pas tracé parce que réputé sans danger ?
2 nov. 2010 à 12:52
Je l'ai eu... cette histoire des icônes avec un petit sigle rouge et un point d'exclamation sur le bureau.
En cherchant parmi les possibilités de modifier les icônes sur le bureau, je suis tombé sur un logiciel qui s'appelle Tortoise SVN http://tortoisesvn.net/node/138
et dont le deuxième sigle sur la liste est la copie exacte de celui qui apparaissait sur mes icônes. Avec cette différence que le sigle de Tortoise était censé apparaitre dans le coin inférieur gauche de l'icône semble-t-il, et sur mon PC il apparaissait dans le coin droit.
De guerre lasse... j'ai téléchargé ce logiciel, je l'ai installé, il m'a demandé de redémarrer le PC - et au redémarrage il n'y avait plus de sigle sur les icônes !
Ce n'était peut-être pas une méthode très scientifique ;-) j'en suis conscient.
Merci pour ta patience et pour tes conseils qui m'ont beaucoup aidé, notamment en permettant d'éliminer nombre de fausses pistes.