Parano ?
Fermé
rv
-
12 déc. 2006 à 21:17
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 21 déc. 2006 à 12:43
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 21 déc. 2006 à 12:43
A voir également:
- Parano ?
- Parano be - Forum Virus
- Xx parano ✓ - Forum MSN / WLM
- Ma copine est parano ✓ - Forum Réseaux sociaux
31 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 déc. 2006 à 12:24
15 déc. 2006 à 12:24
Re,
A force de chercher, j'ai trouvé quelque chose qui m'avait échappé.
Plus exactement, je n'avais pas assez fouillé ce qu'il y avait derrière la F2 et sa référence à Explorer.exe.
C'est très probablement un illégitime.
Tu retournes sur virustotal (poste 13)
Tu cliques sur parcourir et tu recherches
C:\WINDOWS\Windows32\Explorer.exe
tu cliques sur send et tu attends le rapport
C'est l'illégitime ( Le bon est C:\WINDOWS\Explorer.exe ).
Tu postes le rapport.
@+
PS, je me stocke une référence
https://www.broadcom.com/support/security-center
@+
A force de chercher, j'ai trouvé quelque chose qui m'avait échappé.
Plus exactement, je n'avais pas assez fouillé ce qu'il y avait derrière la F2 et sa référence à Explorer.exe.
C'est très probablement un illégitime.
Tu retournes sur virustotal (poste 13)
Tu cliques sur parcourir et tu recherches
C:\WINDOWS\Windows32\Explorer.exe
tu cliques sur send et tu attends le rapport
C'est l'illégitime ( Le bon est C:\WINDOWS\Explorer.exe ).
Tu postes le rapport.
@+
PS, je me stocke une référence
https://www.broadcom.com/support/security-center
@+
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 déc. 2006 à 12:56
15 déc. 2006 à 12:56
Bonjour,
Je crois qu'on le tient !!!
Par des voix très détournées : la signature de ce explorer.com est la même que celel de winlogon.exe, les divers antivirus de Virustotal reconnaissent la même signature virale.
Donc, on supprime explorer.com (en mode sans échec s'il le faut, avec killbox si nécessaire).
Et on réessaye de tuer WINLOGON.exe (idem, mode sans échec et ou killbox s'il le faut).
Désactive la restau système après éradication de explorer.com.
@+
Je crois qu'on le tient !!!
Par des voix très détournées : la signature de ce explorer.com est la même que celel de winlogon.exe, les divers antivirus de Virustotal reconnaissent la même signature virale.
Donc, on supprime explorer.com (en mode sans échec s'il le faut, avec killbox si nécessaire).
Et on réessaye de tuer WINLOGON.exe (idem, mode sans échec et ou killbox s'il le faut).
Désactive la restau système après éradication de explorer.com.
@+
on le tient oui c'est certain. mais j'hésite entre devenir parano ou dinguo. Pourquoi ?
car killbox ne m'a pas permis de remédier (à moins que je ne l'utilise mal) en mode ss échec et restau désact. J'ai réalisé les opérations suivantes : en prenant single file sur explorer.com et ss passer par le reboot, même chose avec le winlogon.exe. reboot en mode normal.
Le truc "drôle" :les deux fichiers sont revenus en date du 26/11/06 18H34 = ils ont donc changé ts les deux en même tps de date de création, alors que hier soir ils étaient devenus 15/12/06 00h00
Au passage j'ai récupéré ces info grâce à killbox.
le fichier explorer.com est
provenanec : chine
nom fichier réel : qlwkgj.exe
nom produit : 88
paramètre pif =
Nom fichier autoexec: systroot%\system32\autoexec.NT
nom fichier config : %systemroot%\system32\configNT
Je ne sais pas si cela à voir, mais le serveur de ma boite est en windows NT 4.00 (oui du vieux, mais c'est comme cela).
En tout cas je ne sais pas ce qu'on essaie d'éliminer, ni même si cela cause du tort, ou ce que cela fait informatiquement parlant. Mais à nos têtes je commence à avoir une idée.
car killbox ne m'a pas permis de remédier (à moins que je ne l'utilise mal) en mode ss échec et restau désact. J'ai réalisé les opérations suivantes : en prenant single file sur explorer.com et ss passer par le reboot, même chose avec le winlogon.exe. reboot en mode normal.
Le truc "drôle" :les deux fichiers sont revenus en date du 26/11/06 18H34 = ils ont donc changé ts les deux en même tps de date de création, alors que hier soir ils étaient devenus 15/12/06 00h00
Au passage j'ai récupéré ces info grâce à killbox.
le fichier explorer.com est
provenanec : chine
nom fichier réel : qlwkgj.exe
nom produit : 88
paramètre pif =
Nom fichier autoexec: systroot%\system32\autoexec.NT
nom fichier config : %systemroot%\system32\configNT
Je ne sais pas si cela à voir, mais le serveur de ma boite est en windows NT 4.00 (oui du vieux, mais c'est comme cela).
En tout cas je ne sais pas ce qu'on essaie d'éliminer, ni même si cela cause du tort, ou ce que cela fait informatiquement parlant. Mais à nos têtes je commence à avoir une idée.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 déc. 2006 à 17:25
15 déc. 2006 à 17:25
Re,
effectivement un peu plus long que je ne pensais.
Un peu ennuyeux (keylogger sur les mots de passe).
Il faudra que tu les changes tous quand on en aura fini avec lui.
Est ce que ces fichiers sont présents sur ton ordi :
2624275
2704248
2916559
2922588
3167966
3201336
3201337
3215124
3227988
3231714
3231985
3231988
3231989
3231990
3246425
aa4.exe
Mais je ne sais pas dans quel répertoire.
Si oui, essaie de les supprimer un à un via l'explorateur.
Une question encore : quels sont les droits sur les 2 fichiers qui nous préoccupent (winlogon et explorer.com) ?
Pour ça, clic droit sur le fichier, puis propriétés puis l'onglet sécurité.
Qui a tout les droits dessus ?
Si tu trouves les fichiers ci-dessus, tu regardes aussi pour un d'eux (et pour le dernier).
Celui là pourrait être le chaînon manquant.
@+
effectivement un peu plus long que je ne pensais.
Un peu ennuyeux (keylogger sur les mots de passe).
Il faudra que tu les changes tous quand on en aura fini avec lui.
Est ce que ces fichiers sont présents sur ton ordi :
2624275
2704248
2916559
2922588
3167966
3201336
3201337
3215124
3227988
3231714
3231985
3231988
3231989
3231990
3246425
aa4.exe
Mais je ne sais pas dans quel répertoire.
Si oui, essaie de les supprimer un à un via l'explorateur.
Une question encore : quels sont les droits sur les 2 fichiers qui nous préoccupent (winlogon et explorer.com) ?
Pour ça, clic droit sur le fichier, puis propriétés puis l'onglet sécurité.
Qui a tout les droits dessus ?
Si tu trouves les fichiers ci-dessus, tu regardes aussi pour un d'eux (et pour le dernier).
Celui là pourrait être le chaînon manquant.
@+
Bonsoir rv,
Deux liens qui pourront peut-être t'aiguiller rv, pour éradiquer cette variante probable de l'infection asiatique avec laquelle ton pc est infecté:
http://www.sophos.com/virusinfo/analyses/trojwowpwsu.html
http://www.sophos.com/virusinfo/analyses/trojwowpwsm.html
Les déclinaisons de ce troyen sont assez multiples, mais la base reste sensiblement toujours plus ou moins la même.
A première vue, il semblerait que Kaspersky ait bloqué son developpement multi-infectieux, ce qui est déjà une bonne chose.
Sur ce... je te laisse continuer entre les mains expertes de "ceux qui savent" pour t'indiquer les outils d'analyse et manipulations requises qui en découlent afin te debarrasser de cette infection au plus vite.
Si les infos des liens venaient à se confirmer bien entendu.
Dans le cas contraire... désolé pour cette intrusion dans ton message.
Bonne soirée.
Deux liens qui pourront peut-être t'aiguiller rv, pour éradiquer cette variante probable de l'infection asiatique avec laquelle ton pc est infecté:
http://www.sophos.com/virusinfo/analyses/trojwowpwsu.html
http://www.sophos.com/virusinfo/analyses/trojwowpwsm.html
Les déclinaisons de ce troyen sont assez multiples, mais la base reste sensiblement toujours plus ou moins la même.
A première vue, il semblerait que Kaspersky ait bloqué son developpement multi-infectieux, ce qui est déjà une bonne chose.
Sur ce... je te laisse continuer entre les mains expertes de "ceux qui savent" pour t'indiquer les outils d'analyse et manipulations requises qui en découlent afin te debarrasser de cette infection au plus vite.
Si les infos des liens venaient à se confirmer bien entendu.
Dans le cas contraire... désolé pour cette intrusion dans ton message.
Bonne soirée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 déc. 2006 à 22:13
15 déc. 2006 à 22:13
Bonsoir,
J'ai été long, mais je crois avoir mieux compris.
Je reboucle sur ton intuition bopninja, classé password capture bopninja, classé password capture. Sauf que des bopninja, il y en a plusieurs. Le tien, c'est AE, celui qui est associé à winlogon.exe. Pour corser, le nom change suivant les antivirus (ce qui se voit dans ce que donne virustotal).
Le problème, c'est de l'éradiquer.
J'ai trouvé une référence, on va l'essayer :
Télécharge ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
une fois téléchargé clique dessus le progamme va se lancer.
une fois lancé clique sur: tous les disques dur
une fois fini mets tous ce qu'il a trouvé en quarantaine 4eme icone a gauche
clique sur la petite cible en haut a gauche
une autre fenetre va s'ouvrir c'est le rapport.
clique sur /fichier/enregistre , le rapport est enregistre puis post le.
@+
PS je me garde une référence
https://www.broadcom.com/support/security-center
J'ai été long, mais je crois avoir mieux compris.
Je reboucle sur ton intuition bopninja, classé password capture bopninja, classé password capture. Sauf que des bopninja, il y en a plusieurs. Le tien, c'est AE, celui qui est associé à winlogon.exe. Pour corser, le nom change suivant les antivirus (ce qui se voit dans ce que donne virustotal).
Le problème, c'est de l'éradiquer.
J'ai trouvé une référence, on va l'essayer :
Télécharge ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
une fois téléchargé clique dessus le progamme va se lancer.
une fois lancé clique sur: tous les disques dur
une fois fini mets tous ce qu'il a trouvé en quarantaine 4eme icone a gauche
clique sur la petite cible en haut a gauche
une autre fenetre va s'ouvrir c'est le rapport.
clique sur /fichier/enregistre , le rapport est enregistre puis post le.
@+
PS je me garde une référence
https://www.broadcom.com/support/security-center
ok je suis absent cette journée. Je fais cela dès 2main.
mais je confirme que c'est du bopninja (antispy yahoo le référence).
apres avoir passé pastpatrol, j'ai égalemnt cette signature. evidemment pestpatrol est en free et ne fait que le scan, pas l'éradication. Une chose est certaine : tvants est à bannir des téléchargement.
Bonne journée et merci encore de l'aide
Rv
mais je confirme que c'est du bopninja (antispy yahoo le référence).
apres avoir passé pastpatrol, j'ai égalemnt cette signature. evidemment pestpatrol est en free et ne fait que le scan, pas l'éradication. Une chose est certaine : tvants est à bannir des téléchargement.
Bonne journée et merci encore de l'aide
Rv
bonsoir,
bien j'ai bossé cet aprem, mais je me demande si je n'aurais pas mieux fait de faire une sieste ...
M. dr web a bien bossé : il a trouvé un certain nbr de fichier infecté avec backdoor (dont le winlogon, un ficheir 1.com et d'autres ...). Mais tout content de voir autant d'efficaciter, j'ai laissé faire M. dr web lorsqu'il me proposait de "soigner" fichiers.
Et pour soigner il a soigné soigné. Maintenant au démarrage de ma machine, il y a le message suivant "ne peut pas charger "1"". ts les fichiers .exe n'opèrent plus, càd que le panneau "ouvrir avec" se met systématiquement en branle pour que j'associe un prog d'ouverture de l'exe.
l'ouverture de fichiers .doc se fait difficilement : il a fallu que je rajoute %1 au commande ouvrir.
pour info :Je me demande si la restauration n'était pas désactivée lorsque m dr web a fini son job et m'a demandé de rebooter. Je ne puis vérifier car un clic droit propriété sur le poste de travail me renvoit ds les cordes puisque ...
... rundll.exe a disparu de ma machine. et bien d'autres choses (les commandes DOS)
Conséquence direte du nettoyage, ou la dernière vacherie de prog virale a l'agonie, je ne sais pas. J'ai été trop vite c'est sûr. shame on me.
Je ne bouge plus en attendant uun nouveau conseil.
Rv
bien j'ai bossé cet aprem, mais je me demande si je n'aurais pas mieux fait de faire une sieste ...
M. dr web a bien bossé : il a trouvé un certain nbr de fichier infecté avec backdoor (dont le winlogon, un ficheir 1.com et d'autres ...). Mais tout content de voir autant d'efficaciter, j'ai laissé faire M. dr web lorsqu'il me proposait de "soigner" fichiers.
Et pour soigner il a soigné soigné. Maintenant au démarrage de ma machine, il y a le message suivant "ne peut pas charger "1"". ts les fichiers .exe n'opèrent plus, càd que le panneau "ouvrir avec" se met systématiquement en branle pour que j'associe un prog d'ouverture de l'exe.
l'ouverture de fichiers .doc se fait difficilement : il a fallu que je rajoute %1 au commande ouvrir.
pour info :Je me demande si la restauration n'était pas désactivée lorsque m dr web a fini son job et m'a demandé de rebooter. Je ne puis vérifier car un clic droit propriété sur le poste de travail me renvoit ds les cordes puisque ...
... rundll.exe a disparu de ma machine. et bien d'autres choses (les commandes DOS)
Conséquence direte du nettoyage, ou la dernière vacherie de prog virale a l'agonie, je ne sais pas. J'ai été trop vite c'est sûr. shame on me.
Je ne bouge plus en attendant uun nouveau conseil.
Rv
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
17 déc. 2006 à 23:36
17 déc. 2006 à 23:36
Bonsoir,
Désolé, j'ai répondu plus tôt dans la soirée, mais ma réponse s'est perdue dans les plantages du site.
Ma question était de savoir ce que tu avais comme CD de Xp, si tu avais un répertoire i386 sous C:\ et si tu avais ton numéro de clé.
La base est la commande expand.
RECUPERATION de la ressource - En Utilisant la commande Expand
Pour décompresser le fichier ressource se trouvant sur le CDRom d'installation, vous pouvez aussi utiliser la commande Expand
a) Inserer le CDRom Windows XP installation dans le lecteur.
b) Cliquer sur Démarrer puis sur Executer (ou appuyer simultanément sur les touches Fenêtre et R
c) Saisir la commande CODEexpand -r D:\i386\ C:\WINDOWS\system32
( Cas où C est la partition système et D le lecteur de CDRom dans lequel se trouve le CD d'installation du système.)
(extrait de : https://forum.zebulon.fr/topic/98838-comment-r%C3%A9cup%C3%A9rer-une-ressource-syst%C3%A8me/#entry772868
Les fichiers à extraire du Cd originel sont de la forme xyz.ex_ là où le fichier est xyz.exe. même chose, .dll est .dl_.
Tu cherches le fichier remplaçant (explorateur sur le CD ou i386 si tu l'as) et tu le recopies à la place. Tu vérifies les droits après recopie.
Tu fais un essai sur un fichier avant de généraliser.
J'espère que tu n'en a pas trop.
@+
Désolé, j'ai répondu plus tôt dans la soirée, mais ma réponse s'est perdue dans les plantages du site.
Ma question était de savoir ce que tu avais comme CD de Xp, si tu avais un répertoire i386 sous C:\ et si tu avais ton numéro de clé.
La base est la commande expand.
RECUPERATION de la ressource - En Utilisant la commande Expand
Pour décompresser le fichier ressource se trouvant sur le CDRom d'installation, vous pouvez aussi utiliser la commande Expand
a) Inserer le CDRom Windows XP installation dans le lecteur.
b) Cliquer sur Démarrer puis sur Executer (ou appuyer simultanément sur les touches Fenêtre et R
c) Saisir la commande CODEexpand -r D:\i386\ C:\WINDOWS\system32
( Cas où C est la partition système et D le lecteur de CDRom dans lequel se trouve le CD d'installation du système.)
(extrait de : https://forum.zebulon.fr/topic/98838-comment-r%C3%A9cup%C3%A9rer-une-ressource-syst%C3%A8me/#entry772868
Les fichiers à extraire du Cd originel sont de la forme xyz.ex_ là où le fichier est xyz.exe. même chose, .dll est .dl_.
Tu cherches le fichier remplaçant (explorateur sur le CD ou i386 si tu l'as) et tu le recopies à la place. Tu vérifies les droits après recopie.
Tu fais un essai sur un fichier avant de généraliser.
J'espère que tu n'en a pas trop.
@+
bonjour,
le portable (Assus) n'est pas livré avec une version xp complète. Mais avec un disque de restauration. Néanmoins j'ai un xp complet et la clée collée derrière mon portable.
j'ai essayé hier de faire le expand. Pb : démarrer/executer/ ligne de commade me renvoit tjrs dans le panneau ouvrir avec : . en gros cela n'execute pas la commande. ya t il un prog associé pour executer une ligne de commande (Ms dos ?)
je ne bouge pas pour l'instant car je ne veux pas partir ds l'aventure de la restuaration à partir du cd fournit avec l'ordi.
A+
le portable (Assus) n'est pas livré avec une version xp complète. Mais avec un disque de restauration. Néanmoins j'ai un xp complet et la clée collée derrière mon portable.
j'ai essayé hier de faire le expand. Pb : démarrer/executer/ ligne de commade me renvoit tjrs dans le panneau ouvrir avec : . en gros cela n'execute pas la commande. ya t il un prog associé pour executer une ligne de commande (Ms dos ?)
je ne bouge pas pour l'instant car je ne veux pas partir ds l'aventure de la restuaration à partir du cd fournit avec l'ordi.
A+
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
18 déc. 2006 à 11:16
18 déc. 2006 à 11:16
Bonjour,
Je ne comprends pas tout ce qui se passe.
Je pensais t'avoir envoyé cette référence :
fichier corrompu ou manquant
Ca ne passe pas par expand mais par une autre commande.
L'idéal serait d'utiliser i386, s'il te laisse faire plutôt que le CD de restauration.
@+
Je ne comprends pas tout ce qui se passe.
Je pensais t'avoir envoyé cette référence :
fichier corrompu ou manquant
Ca ne passe pas par expand mais par une autre commande.
L'idéal serait d'utiliser i386, s'il te laisse faire plutôt que le CD de restauration.
@+
bonjour,
ok j'ai fait ds le radical et le plus simple. J'ai réinstallé la partition C: à partir du disque de restauration système asus. Je craignais que ce disque soit "merdique". et puis non. Tout s'est bien passé, voire salutaire. Compteur à 0. Suffit de réinstaller des logiciels.
Je pense que du coup le virus est passé à la trape.
Pour info : M drweb m'est apparu comme très efficace.
selon toi quels logiciels indispensables à mettre sur ma machine :
firefox
thurdermail
spybot
zonelarm
antivirus gratuit : ? Avast ?
Autre ...
en tout cas merci d'avoir plancher. très sympa. Qui es-tu pour avoir autant de connaissance. un pro, un amateur très éclairé(ant) ?
ok j'ai fait ds le radical et le plus simple. J'ai réinstallé la partition C: à partir du disque de restauration système asus. Je craignais que ce disque soit "merdique". et puis non. Tout s'est bien passé, voire salutaire. Compteur à 0. Suffit de réinstaller des logiciels.
Je pense que du coup le virus est passé à la trape.
Pour info : M drweb m'est apparu comme très efficace.
selon toi quels logiciels indispensables à mettre sur ma machine :
firefox
thurdermail
spybot
zonelarm
antivirus gratuit : ? Avast ?
Autre ...
en tout cas merci d'avoir plancher. très sympa. Qui es-tu pour avoir autant de connaissance. un pro, un amateur très éclairé(ant) ?
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
18 déc. 2006 à 18:19
18 déc. 2006 à 18:19
Bonsoir,
Je ne suis pas totalement convaincu par ta remarque sur le fait que la restauration aurait totalement éradiqué le virus. J'ai déjà lu plusieurs fois "j'ai formatté mais rien à faire, il revient", car il y avait plus eu restauration de Windows que formatage de la partition. Conclusion, il vaut mieux qu'il soit mort avant.
Pour répondre à tes questions :
avast + Kerio (que je préfère à Zone Alarme, mais c'est personnel) pour antivirus et parefeu gratuit. (en payant Kapersky serait mon choix).
AVG antispyware, Spybot search & destroy et Ad aware comme antispy. A mettre à jour et utiliser une fois par semaine (plus souvent si tu es un gros surfeur) et vacciner.
Ccleaner pour nettoyer et cookies, fichiers temporaires, etc et le registre (une fois par semaine) et après chaque désinstallation (surtout sauvage) pour les erreurs de registre.
Firefox (très bien, mais j'utilise pas, à tort) (garder IE pour les mise à jour Windows et les scans en ligne).
Que suis-je ? (en matière informatique s'entend) Un utilisateur à titre professionnel depuis longtemps, plus en programmation (Fortran, PL1, ...) et utilisateur de logiciels ( SAS, bureautique, ..) que "ingénieur système". Un amateur (et récent dans la lutte anti malware) mais avec un environnement performant (voir ici si un jour cela t'intéresse http://entraide.aceboard.fr/index.php?login=175280). C'est là que j'ai appris, continue d'apprendre et trouve de l'aide sur les cas compliqués.
En tout cas, même si la fin a un peu tourné en eau de boudin, ça a été très intéressant de travailler avec toi. En particulier, relis le post 34, c'est toi qui trouve en ne te contentant pas de répondre "non, il n'y est pas' mais en élargissant la recherche à tout fichier bizarre et en le soumettant à virustotal.
@+
Je ne suis pas totalement convaincu par ta remarque sur le fait que la restauration aurait totalement éradiqué le virus. J'ai déjà lu plusieurs fois "j'ai formatté mais rien à faire, il revient", car il y avait plus eu restauration de Windows que formatage de la partition. Conclusion, il vaut mieux qu'il soit mort avant.
Pour répondre à tes questions :
avast + Kerio (que je préfère à Zone Alarme, mais c'est personnel) pour antivirus et parefeu gratuit. (en payant Kapersky serait mon choix).
AVG antispyware, Spybot search & destroy et Ad aware comme antispy. A mettre à jour et utiliser une fois par semaine (plus souvent si tu es un gros surfeur) et vacciner.
Ccleaner pour nettoyer et cookies, fichiers temporaires, etc et le registre (une fois par semaine) et après chaque désinstallation (surtout sauvage) pour les erreurs de registre.
Firefox (très bien, mais j'utilise pas, à tort) (garder IE pour les mise à jour Windows et les scans en ligne).
Que suis-je ? (en matière informatique s'entend) Un utilisateur à titre professionnel depuis longtemps, plus en programmation (Fortran, PL1, ...) et utilisateur de logiciels ( SAS, bureautique, ..) que "ingénieur système". Un amateur (et récent dans la lutte anti malware) mais avec un environnement performant (voir ici si un jour cela t'intéresse http://entraide.aceboard.fr/index.php?login=175280). C'est là que j'ai appris, continue d'apprendre et trouve de l'aide sur les cas compliqués.
En tout cas, même si la fin a un peu tourné en eau de boudin, ça a été très intéressant de travailler avec toi. En particulier, relis le post 34, c'est toi qui trouve en ne te contentant pas de répondre "non, il n'y est pas' mais en élargissant la recherche à tout fichier bizarre et en le soumettant à virustotal.
@+
Bonjour,
la remarque est pertinente concernant l'éradication suite à un formatage. Je vais rester vigilent. Toutefois le réinstall asus n'est pas mal et permet ou une restauration à partir d'une partition invible ou une restauration en formatant la partition contenant windows.
Merci pour le lien concernant le forum entraide. Je ne suis qu'un petit en info, mais je me débrouille. Je gère le petit réseau de ma boîte et m'intéresse. Ton aide fait partie de mon auto formation, et a été très utile. Il me reste à comprendre ce qui est écrit ds un hijack. Je vais m'instruire sur ton forum, dont tu es le modérateur.
Je garde sous le coude l'ensemble des outils que tu m'as fait parvenir. C'est en les combinant que l'on arrive. J'ai aussi appris à quoi servait le rundll.exe ... àmes dépends.
Les autodidactes sont svt meilleurs que certains formés en école...
Merci encore pour l'ensemble des conseils, ainsi que les derniers concernant le code de bonne pratique de logiciel.
Au plaisir de se croiser au détour d'un forum.
Rv
la remarque est pertinente concernant l'éradication suite à un formatage. Je vais rester vigilent. Toutefois le réinstall asus n'est pas mal et permet ou une restauration à partir d'une partition invible ou une restauration en formatant la partition contenant windows.
Merci pour le lien concernant le forum entraide. Je ne suis qu'un petit en info, mais je me débrouille. Je gère le petit réseau de ma boîte et m'intéresse. Ton aide fait partie de mon auto formation, et a été très utile. Il me reste à comprendre ce qui est écrit ds un hijack. Je vais m'instruire sur ton forum, dont tu es le modérateur.
Je garde sous le coude l'ensemble des outils que tu m'as fait parvenir. C'est en les combinant que l'on arrive. J'ai aussi appris à quoi servait le rundll.exe ... àmes dépends.
Les autodidactes sont svt meilleurs que certains formés en école...
Merci encore pour l'ensemble des conseils, ainsi que les derniers concernant le code de bonne pratique de logiciel.
Au plaisir de se croiser au détour d'un forum.
Rv
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
19 déc. 2006 à 16:07
19 déc. 2006 à 16:07
Bonjour,
L'entraide n'est pas mon forum, j'en suis un membre (récent).
Mais c'est un bon forum pour apprendre.
Pour mon info, la configuration de ton portable est la configuration usine (avec l'OS sur C:, une partition cachée de récupération-restauration et une (ou plusieurs) partition utilisateurs) ou bien c'est toi qui l'a configuré ainsi ?
Je te recroiserai aussi avec plaisir sur tout forum.
Bonne année 2007 à toi.
PS Si tu as une minute, tu coches la case problème résolu. Merci.
L'entraide n'est pas mon forum, j'en suis un membre (récent).
Mais c'est un bon forum pour apprendre.
Pour mon info, la configuration de ton portable est la configuration usine (avec l'OS sur C:, une partition cachée de récupération-restauration et une (ou plusieurs) partition utilisateurs) ou bien c'est toi qui l'a configuré ainsi ?
Je te recroiserai aussi avec plaisir sur tout forum.
Bonne année 2007 à toi.
PS Si tu as une minute, tu coches la case problème résolu. Merci.
effectivement le portable est configuré usine ainsi avec une partition cachée et deux partitions utilisateurs pas bien équilibrées du tt. L'os est sur le C:, car je n'ai pas de disque XP.Pas trop bon si le disque explose. Mais bon c'est comme ça.
Je voulais aussi apporter mapetite contribution en tant qu'utilisatuer de firefox. depuis que je l'utilise je ne suis plus trop envahi de cookies. et j'aime les nbrx modules que l'on peut adjoindre pour rendre le navigateur plus efficace : un bloqueur de script (tu choisis le script que tu veux exe), un bloqueur de fenêtre pub vraiment efficace. un module météo (bon ca c'est pour mon job et pas forcément d'intér^t pour tt le monde), et plein d'autres trucs que l'on pique fonction du besoin.
êt des encore un truc : quel est l'intérêt des logiciel type peergardian ? vraiment efficace ? je n'ai pas bien compris de quoi on se protège, et si la protection est efficace.
bonne année à toi aussi, et surtout joyeux Noël
Je voulais aussi apporter mapetite contribution en tant qu'utilisatuer de firefox. depuis que je l'utilise je ne suis plus trop envahi de cookies. et j'aime les nbrx modules que l'on peut adjoindre pour rendre le navigateur plus efficace : un bloqueur de script (tu choisis le script que tu veux exe), un bloqueur de fenêtre pub vraiment efficace. un module météo (bon ca c'est pour mon job et pas forcément d'intér^t pour tt le monde), et plein d'autres trucs que l'on pique fonction du besoin.
êt des encore un truc : quel est l'intérêt des logiciel type peergardian ? vraiment efficace ? je n'ai pas bien compris de quoi on se protège, et si la protection est efficace.
bonne année à toi aussi, et surtout joyeux Noël
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
20 déc. 2006 à 23:31
20 déc. 2006 à 23:31
Bonsoir,
Milles excuses, je n'avais pas vu que tu avais ajouté un codicille.
Tu remontes tout en haut de la liste des posts.
Sur la ligne initiale, à coté du titre et de ton pseudo, il y a "Statut non résolu". Tu le changes en "résolu" en cliquant dessus.
@+
Milles excuses, je n'avais pas vu que tu avais ajouté un codicille.
Tu remontes tout en haut de la liste des posts.
Sur la ligne initiale, à coté du titre et de ton pseudo, il y a "Statut non résolu". Tu le changes en "résolu" en cliquant dessus.
@+
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
21 déc. 2006 à 12:43
21 déc. 2006 à 12:43
Bonjour,
C'est bien possible. Mais on ne va pas te faire t'inscrire pour marquer que ton problème est résolu. mdr.
Laisse tomber, passe de bonnes fêtes et surfe tranquille.
@+
C'est bien possible. Mais on ne va pas te faire t'inscrire pour marquer que ton problème est résolu. mdr.
Laisse tomber, passe de bonnes fêtes et surfe tranquille.
@+
15 déc. 2006 à 12:49
Mais j'ai trouvé ds répertoire windows, en plus du explorer.exe un certain explorer.com (fichier caché), dont voici le résultat du scan. intéressant non ? celui là est tt pourri et correspond à ce que l'anti spy de yahoo me sort bopninja= pasword stealer
Complete scanning result of "explorer.com", received in VirusTotal at 12.15.2006, 12:41:02 (CET).
Antivirus Version Update Result
AntiVir 7.3.0.15 12.15.2006 no virus found
Authentium 4.93.8 12.14.2006 Possibly a new variant of W32/Suspicious:VisualBasicMalware!Maximus
Avast 4.7.892.0 12.14.2006 no virus found
AVG 386 12.15.2006 PSW.Generic2.SZY
BitDefender 7.2 12.15.2006 no virus found
CAT-QuickHeal 8.00 12.14.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.15.2006 no virus found
DrWeb 4.33 12.15.2006 BackDoor.Generic.1471
eSafe 7.0.14.0 12.14.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.86 12.15.2006 no virus found
eTrust-Vet 30.3.3252 12.15.2006 no virus found
Ewido 4.0 12.15.2006 no virus found
Fortinet 2.82.0.0 12.15.2006 Spy/WOWSTEAL
F-Prot 3.16f 12.14.2006 Possibly a new variant of W32/Suspicious:VisualBasicMalware!Maximus
F-Prot4 4.2.1.29 12.14.2006 W32/Suspicious:VisualBasicMalware!Maximus
Ikarus T3.1.0.26 12.15.2006 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 12.15.2006 no virus found
McAfee.14.2006 no virus found
Microsoft 1.1804 12.15.2006 PWS:Win32/Wowsteal.gen!A
NOD32v2.15.2006 a variant of Win32/PSW.Legendmir
Norman 5.80.02 12.14.2006 no virus found
Panda 9.0.0.4 12.15.2006 Suspicious file
Prevx1 V2 12.15.2006 Trojan.SystemPoser
Sophos 4.12.0 12.14.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.132 12.14.2006 no virus found
UNA 1.83 12.14.2006 no virus found
VBA32 3.11.1 12.14.2006 BackDoor.Generic.1471
VirusBuster 4.3.19:9 12.14.2006 novirus:Packed/NSPack