Packed.Win32.Black.a
Bapuji
Messages postés
56
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J'ai téléchargé tout à l'heure un dossier zip censé contenir un fichier mp3.
Lorsque j'ai demandé à Mozilla d'ouvrir le dossier de destination, je me suis retrouvé directement dans le dossier Zip avec un programme au nom bizarre à l'intérieur : " NvCD6nPlVldã.exE ". Et rien d'autre. Pas de fichier mp3. Et surtout, Mozilla ne m'a pas envoyé dans mon dossier " Mes téléchargements ", mais bien directement dans le dossier Zip. Cela m'a surpris. Étant plutôt parano par nature, j'ai décidé de supprimer manuellement le programme sans l'ouvrir. Puis j'ai supprimé le dossier zip, vide.
Je me suis tout de suite inquiété d'avoir ouvert le dossier Zip. Je me suis par ailleurs rappelé qu'il n'est pas nécessaire de cliquer sur les fichiers ou les programmes pour activer les virus et troyens nouvelle génération. Certains se mettent en route automatiquement dès qu'ils sont dans la machine (c'est ce qu'on appelle l'autorun je crois).
Alors pour en avoir le coeur net, je suis retourné sur le site, j'ai retéléchargé le dossier Zip sur mon PC. Et sans l'ouvrir cette fois, j'ai demandé à Kaspersky de le scanner. Mon antivirus a détecté deux menaces et les a supprimées. Voici son rapport détaillé :
---------------------------
Type : cheval de troie (2)
Packed.Win32.Black.a Réparés 31/12/2011 17:47:19
Packed.Win32.Black.a Supprimés 31/12/2011 17:74:19
Packed.Win32.Black.a
Objet : c\documents and settings\administrateur\mes documents\téléchargements\david bowie - thursday's child.zip
Etat : Réparés
Packed.Win32.Black.a
Objet : c\documents and settings\administrateur\mes documents\téléchargements\david bowie - thursday's child.zip//NvCD6nPlVldã.exE
Etat : Supprimés
---------------------------
J'ai donc bien eu la confirmation que le dossier contenait des programmes malveillants. Je suis allé voir rapidement sur le web et il semble que le troyen Packed.Win32.Black.a soit un programme très coriace et nuisible.
Quand j'ai ouvert le dossier zip après le passage de Kaspersky, il était vide (contenance : 1 ko, rien à l'intérieur). Mon antivirus avait éliminé le programme, et moi j'ai décidé d'éliminer le dossier.
***
Je continue à paranoïer. Parce qu'autant Kaspersky a viré ce truc à mon second téléchargement, autant je ne l'avais pas sollicité du tout la première fois. J'ai tout supprimé moi-même. Ce programme a été présent sur mon PC quelques minutes. J'ai accédé au dossier zip, enclenchant peut-être quelque chose sans le savoir.
Mon antivirus a détecté deux chevaux de troie, l'un associé au dossier Zip, l'autre au programme, or la première fois j'ai éliminé le programme sans l'ouvrir. Mais le dossier Zip, lui, a été ouvert.
Enfin bref, voici mes questions : est-ce que le fait d'avoir accédé au dossier Zip la première fois, d'être entré à l'intérieur, a pu activer le cheval de troie (le ou les d'ailleurs) ?
Est-ce que le fait d'avoir éliminé le programme manuellement me garanti qu'il n'est plus sur mon PC ? Comment faire un scann complet et efficace de ma machine ? Avoir un fichier infecté me pose un vrai problème. J'espère avoir été clair. Merci d'avance !
Bapuji
J'ai téléchargé tout à l'heure un dossier zip censé contenir un fichier mp3.
Lorsque j'ai demandé à Mozilla d'ouvrir le dossier de destination, je me suis retrouvé directement dans le dossier Zip avec un programme au nom bizarre à l'intérieur : " NvCD6nPlVldã.exE ". Et rien d'autre. Pas de fichier mp3. Et surtout, Mozilla ne m'a pas envoyé dans mon dossier " Mes téléchargements ", mais bien directement dans le dossier Zip. Cela m'a surpris. Étant plutôt parano par nature, j'ai décidé de supprimer manuellement le programme sans l'ouvrir. Puis j'ai supprimé le dossier zip, vide.
Je me suis tout de suite inquiété d'avoir ouvert le dossier Zip. Je me suis par ailleurs rappelé qu'il n'est pas nécessaire de cliquer sur les fichiers ou les programmes pour activer les virus et troyens nouvelle génération. Certains se mettent en route automatiquement dès qu'ils sont dans la machine (c'est ce qu'on appelle l'autorun je crois).
Alors pour en avoir le coeur net, je suis retourné sur le site, j'ai retéléchargé le dossier Zip sur mon PC. Et sans l'ouvrir cette fois, j'ai demandé à Kaspersky de le scanner. Mon antivirus a détecté deux menaces et les a supprimées. Voici son rapport détaillé :
---------------------------
Type : cheval de troie (2)
Packed.Win32.Black.a Réparés 31/12/2011 17:47:19
Packed.Win32.Black.a Supprimés 31/12/2011 17:74:19
Packed.Win32.Black.a
Objet : c\documents and settings\administrateur\mes documents\téléchargements\david bowie - thursday's child.zip
Etat : Réparés
Packed.Win32.Black.a
Objet : c\documents and settings\administrateur\mes documents\téléchargements\david bowie - thursday's child.zip//NvCD6nPlVldã.exE
Etat : Supprimés
---------------------------
J'ai donc bien eu la confirmation que le dossier contenait des programmes malveillants. Je suis allé voir rapidement sur le web et il semble que le troyen Packed.Win32.Black.a soit un programme très coriace et nuisible.
Quand j'ai ouvert le dossier zip après le passage de Kaspersky, il était vide (contenance : 1 ko, rien à l'intérieur). Mon antivirus avait éliminé le programme, et moi j'ai décidé d'éliminer le dossier.
***
Je continue à paranoïer. Parce qu'autant Kaspersky a viré ce truc à mon second téléchargement, autant je ne l'avais pas sollicité du tout la première fois. J'ai tout supprimé moi-même. Ce programme a été présent sur mon PC quelques minutes. J'ai accédé au dossier zip, enclenchant peut-être quelque chose sans le savoir.
Mon antivirus a détecté deux chevaux de troie, l'un associé au dossier Zip, l'autre au programme, or la première fois j'ai éliminé le programme sans l'ouvrir. Mais le dossier Zip, lui, a été ouvert.
Enfin bref, voici mes questions : est-ce que le fait d'avoir accédé au dossier Zip la première fois, d'être entré à l'intérieur, a pu activer le cheval de troie (le ou les d'ailleurs) ?
Est-ce que le fait d'avoir éliminé le programme manuellement me garanti qu'il n'est plus sur mon PC ? Comment faire un scann complet et efficace de ma machine ? Avoir un fichier infecté me pose un vrai problème. J'espère avoir été clair. Merci d'avance !
Bapuji
71 réponses
Re,
un tuto pour le Bios :
https://www.vulgarisation-informatique.com/configurer-bios.php
attention :
- la présentation des Bios diffère
- il vaut mieux changer le moins de choses possibles.
Il n'y a pas de port LTP1 dans le Bios.
C'est le port parallèle.
un tuto pour le Bios :
https://www.vulgarisation-informatique.com/configurer-bios.php
attention :
- la présentation des Bios diffère
- il vaut mieux changer le moins de choses possibles.
Il n'y a pas de port LTP1 dans le Bios.
C'est le port parallèle.
Est-ce que mon port parallèle n'est pas censé apparaître là ?
BIOS - Avancè
Syst. Exploit. Compat. plug&play [Oui]
Adaptateur vidéo primaire [PCI]
Souris PS2 [Autodétection]
Controleur 1394 Intégré [Activé]
Support mode USB [Auto]
Réseau LAN Intégré [Activé]
ROM de LAN intégré [Désactivé]
Adaptateur IED de Bus local [Tous les deux]
Controleur de Sata 1 [Activé]
Controleur de Sata 2 [Activé]
Audio Intégré [Auto]
Mot de passe d'Administrateur [Désactivé]
Mot de passe d'Utilisateur [Désactivé]
C'est ce que je croyais, mais rien. Pourtant les techniciens d'HP eux-mêmes précisent sur leur site qu'en cas de défaillance du port :
Pour modifier le mode de fonctionnement du port parallèle, appuyez sur la touche F1 lors du démarrage de l'ordinateur (dés que vous voyez apparaître le logo HP), vous accéderez alors au menu de configuration du BIOS. Allez dans le menu "avancé" , déplacez vous sur "configuration des périphériques I/O devices " et validez avec "entrée" ; vous pourrez intervenir sur 3 paramètres primordiaux : modifier l'IRQ (5 ou 7), les plages mémoire utilisées et le mode de transmission des données (EPP, ECP, EPP+ECP ou bidirectionnel).
BIOS - Avancè
Syst. Exploit. Compat. plug&play [Oui]
Adaptateur vidéo primaire [PCI]
Souris PS2 [Autodétection]
Controleur 1394 Intégré [Activé]
Support mode USB [Auto]
Réseau LAN Intégré [Activé]
ROM de LAN intégré [Désactivé]
Adaptateur IED de Bus local [Tous les deux]
Controleur de Sata 1 [Activé]
Controleur de Sata 2 [Activé]
Audio Intégré [Auto]
Mot de passe d'Administrateur [Désactivé]
Mot de passe d'Utilisateur [Désactivé]
C'est ce que je croyais, mais rien. Pourtant les techniciens d'HP eux-mêmes précisent sur leur site qu'en cas de défaillance du port :
Pour modifier le mode de fonctionnement du port parallèle, appuyez sur la touche F1 lors du démarrage de l'ordinateur (dés que vous voyez apparaître le logo HP), vous accéderez alors au menu de configuration du BIOS. Allez dans le menu "avancé" , déplacez vous sur "configuration des périphériques I/O devices " et validez avec "entrée" ; vous pourrez intervenir sur 3 paramètres primordiaux : modifier l'IRQ (5 ou 7), les plages mémoire utilisées et le mode de transmission des données (EPP, ECP, EPP+ECP ou bidirectionnel).
Re,
il faut que tu trouves
I/O Device Configuration ou Configuration des périphériques d'E/S
Elle n'est pas plus bas dans la page Advanced ?
il faut que tu trouves
I/O Device Configuration ou Configuration des périphériques d'E/S
Elle n'est pas plus bas dans la page Advanced ?
Non ! Aussi fou que ça puisse paraître. Je suis allé plus de dix fois sur la page Advanced à la recherche de cette ligne, et rien !
Il n'y a que ce que j'ai écrit plus haut ! Ma page Advanced se résume à ça. Est-ce qu'on peut perdre un port parallèle lors d'une réinitialisation de la machine ?! Je suis sidéré.
Il n'y a que ce que j'ai écrit plus haut ! Ma page Advanced se résume à ça. Est-ce qu'on peut perdre un port parallèle lors d'une réinitialisation de la machine ?! Je suis sidéré.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je viens de démonter ma tour et les souvenirs sont revenus (je bosse avec tellement de PC que je finis par oublier ce que j'ai fait sur celui-ci ou celui-là).
J'ai ajouté, en 2007, une carte Port Parallèle qui porte le n° de série S/NO 124106. En dessous, il y a marqué : 2006 - 1 2 3 4 5 6 7 8 9 10 11 12. J'y ai branché mon imprimante. Elle a toujours bien fonctionné dessus.
Maintenant je ne me rappelle plus du tout si j'ai importé un logiciel, téléchargé un programme, inséré un disque au moment de l'installation. ça fait trop longtemps, j'ai vécu trop de choses depuis.
En tous cas, il est certain que mon PC réinitialisé n'identifie pas cette carte. Comment puis-je faire pour qu'il l'intègre dans son fonctionnement ?
Merci d'avance pour ta réponse !
J'ai ajouté, en 2007, une carte Port Parallèle qui porte le n° de série S/NO 124106. En dessous, il y a marqué : 2006 - 1 2 3 4 5 6 7 8 9 10 11 12. J'y ai branché mon imprimante. Elle a toujours bien fonctionné dessus.
Maintenant je ne me rappelle plus du tout si j'ai importé un logiciel, téléchargé un programme, inséré un disque au moment de l'installation. ça fait trop longtemps, j'ai vécu trop de choses depuis.
En tous cas, il est certain que mon PC réinitialisé n'identifie pas cette carte. Comment puis-je faire pour qu'il l'intègre dans son fonctionnement ?
Merci d'avance pour ta réponse !
Carte port parallèle FC RoH2, estampillée CE. N° de série S/NO 124106. En dessous, il y a marqué : 2006 - 1 2 3 4 5 6 7 8 9 10 11 12.
Je suppose que c'est ce qu'on appelle une carte PCI (?). Je commence à me demander si elle n'était pas livrée avec un CD contenant le driver... ça fait tellement longtemps ! Je ne m'en rappelle plus.
Je vais regarder dans mes cartons parce que j'ai déménagé entretemps. Peut-être que Windows XP possède des drivers intégrés (ou même que mes drivers sont restés installés sur le système, puisqu'il s'agit de données). Il faut que je voie ça demain.
Je suppose que c'est ce qu'on appelle une carte PCI (?). Je commence à me demander si elle n'était pas livrée avec un CD contenant le driver... ça fait tellement longtemps ! Je ne m'en rappelle plus.
Je vais regarder dans mes cartons parce que j'ai déménagé entretemps. Peut-être que Windows XP possède des drivers intégrés (ou même que mes drivers sont restés installés sur le système, puisqu'il s'agit de données). Il faut que je voie ça demain.
Bonjour,
est ce que ta carte PCI est reconnue dans le gestionnaire de périphériques ?
Dans Panneau de configuration, Imprimantes, clic droit et Propriétés sur ton imprimante.
Si tu changes le port, ça change les choses ?
Est ce que le port de ta carte y est ?
===
Ce topic peut peut être t'aider (il me semble que cet exactement ton problème) :
https://forum.zebulon.fr/topic/155607-carte-pci-port-parallele
est ce que ta carte PCI est reconnue dans le gestionnaire de périphériques ?
Dans Panneau de configuration, Imprimantes, clic droit et Propriétés sur ton imprimante.
Si tu changes le port, ça change les choses ?
Est ce que le port de ta carte y est ?
===
Ce topic peut peut être t'aider (il me semble que cet exactement ton problème) :
https://forum.zebulon.fr/topic/155607-carte-pci-port-parallele
J'y ai passé des heures mais j'ai quand même remis la main sur ce driver de mes fesses ! ça y est, j'ai remis NVDIA à jour, et tout fonctionne : imprimante, antivirus, Office, etc. Mon ordi a même gagné en vitesse par rapport au début de cette aventure. Je fais quelques scanns pour vérifier que tout est opérationnel et qu'il n'y a plus d'infection.
Re,
Pour vérifier :
scan de l'antivirus sur toutes les partitions
scan rapide de MBAM après mise à jour
scan de ZHPDiag dont tu postes le rapport dans un lien pjjoint.
Pour vérifier :
scan de l'antivirus sur toutes les partitions
scan rapide de MBAM après mise à jour
scan de ZHPDiag dont tu postes le rapport dans un lien pjjoint.
J'ai passé Kaspersky sur toutes les partitions (ça m'a pris 4 heures), puis MBAM (mais toujours en sans échec, il y a conflit avec Kaspersky en mode normal) : aucun souci, tout est propre.
J'ai corrigé quelques " vulnérabilités " pointées avec Kaspersky, supprimé quelques programmes pas à jour et impossibles à actualiser parce que ma machine est trop ancienne, bloqué quelques lancements automatiques.
J'ai lancé HijackThis et analysé le log : tout est normal. Je chargerai ZHPDiag demain pour faire le scan final, je suis trop crevé là. Mais pour le moment ma machine tourne plutôt bien.
PS : Si le log ZHPDiag n'indique rien lui non plus, penses-tu que je puisse être rassuré quant à une éventuelle infection ? Donc d'ores et déjà, merci infiniment pour le coup de main.
J'ai corrigé quelques " vulnérabilités " pointées avec Kaspersky, supprimé quelques programmes pas à jour et impossibles à actualiser parce que ma machine est trop ancienne, bloqué quelques lancements automatiques.
J'ai lancé HijackThis et analysé le log : tout est normal. Je chargerai ZHPDiag demain pour faire le scan final, je suis trop crevé là. Mais pour le moment ma machine tourne plutôt bien.
PS : Si le log ZHPDiag n'indique rien lui non plus, penses-tu que je puisse être rassuré quant à une éventuelle infection ? Donc d'ores et déjà, merci infiniment pour le coup de main.
Bonjour,
HijackThis n'examine plus assez de clés et de répertoire utilisés par les malwares pour être utile (utilisé seul).
===
En plus de ZHPDiag, pour vérifier le MBR, tu feras ça :
Télécharge Roguekiller : https://www.luanagames.com/index.fr.html
Lance le en option 1.
Poste le rapport
HijackThis n'examine plus assez de clés et de répertoire utilisés par les malwares pour être utile (utilisé seul).
===
En plus de ZHPDiag, pour vérifier le MBR, tu feras ça :
Télécharge Roguekiller : https://www.luanagames.com/index.fr.html
Lance le en option 1.
Poste le rapport
