petits problèmes inconnus... Résolu

Question

bonsoir
je post ce message ici après l'avoir posté dans le forum windows et après conseils d'autres utilisateurs.

voila, j'ai plusieurs pbs depuis peu:
1) en fermeture de windows j'ai un message d'erreur, qui disparait très vite. je crois que cela concerne le fichier dwin.dll Cependant cela n'empêche pas l'arrêt de l'ordinateur.

2)a chaque fois que je ferme l'explorer, j'ai un message d'erreur dont voici le détail:

AppName: explorer.exe	 
AppVer: 6.0.2800.1257	 
ModName: unknown
ModVer: 0.0.0.0	 
Offset: 011d6a1d

3) au démarrage je trouve mon pc lent. où plutôt, une fois le bureau ouvert, pendant un temps de 30 secondes à 1 minute, il ne tourne pas, ne réflechi pas. une fois ce délai passé il commence à lancer internet et quelques applications. on m'a dit de faire un scan avec HiJack. je l'ai fait et j'ai viré quelques programmes espions. mais pour les autres je ne sais pas trop à quoi il correspondent. voici un extrait du rapport:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:46:35, on 21/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: XML Helper - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Alex\logiciels\Utilitaires\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrer Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer = 80.10.246.2,80.10.246.129
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Utilisateur anonyme · Answer

bien, 
lis ceci et réponds juste au deux petites questions...
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html
-----------------------
cocher + fixer ces lignes:
comment faire ?
--------------------
 	O2 - BHO: XML Helper - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
 	O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll (file missing)
 	O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
----
ensuite fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
copies le rapport ici:

silentlex · Answer

bonsoir philo

Mon Pc est de groupe a (montage). Mon firewall est de type b.

lignes cochées et fixées


voici le rapport: 


Search Navipromo version 2.0.5 commencé le 21/07/2007 à 21:28:10,64
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Alex\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/21/07 at 21:28:11.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ....
[+] Hidden process: C:\WINDOWS\System32\hldrrr.exe (Action: none)
[+] Scanning for hidden items ...
[+] Scan complete.
[+] Summary: 1 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/21/07 at 21:28:22 (return code = 1).


*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le 21/07/2007 à 21:28:31,31 *** 


voili voilou. hldrrr.exe et pack.epk sont-ils des virus??

a+

Utilisateur anonyme · Answer

oui,
refaits donc la même chose (clic sur le raccourcis Navilog1) mais cette fois-ci en utilisant l'option 2
postes le rapport

silentlex · Answer

bonjour

voici le rapport après l'étape numéro2:

Clean Navipromo version 2.0.5 commencé le 22/07/2007 à 10:08:48,09

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Alex\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Alex\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :


*** Nettoyage termine le 22/07/2007 à 10:11:06,01 ***

Utilisateur anonyme · Answer

Bien.
fais ceci+ copier le rapport.
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html

silentlex · Answer

Voici le nouveau rapport


SmitFraudFix v2.206

Rapport fait à 11:04:30,21, 22/07/2007
Executé à partir de C:\Documents and Settings\Alex\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Alex\logiciels\Utilitaires\Unlocker\UnlockerAssistant.exe
C:\Alex\logiciels\antivirus & config pc\Comodo\Firewall\CPF.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Alex\logiciels\antivirus & config pc\RegFreezeegfreeze.exe
C:\Alex\logiciels\antivirus & config pc\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Emule\emule.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Alex\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

@+

Utilisateur anonyme · Answer

Bien, refais la même chose en mode sans échec et en utilisant l'option 2.
Comment aller en mode sans échec ?
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html

silentlex · Answer

bien,

impossible de lancer le mode sans échec
dès que je le lance, l'ordi redémarre et me repropose diférents modes de lancement.

en mode normal, maintenant, j'ai des fenêtres inernet qui s'ouvrent au démarrage. j'ai moulte messages d'erreurs d'iexplorer et d'explorer. de plus mon firewall a detecté wintems.exe (= c'est un virus non?)

a chaque fois je relance ad-aware, je fais le ménage (une vingtaine d'infections) et je peut me connecter au net.

que faire?

merci

Utilisateur anonyme · Answer

Tu semble être devenu une cible...
En mode normal....essayes de faire l'option 2. alors.(smitfraud)
Tu as quoi comme fire-wall ?
Tu as quoi comme PC ?

silentlex · Answer

ok

PC: fait chez un monteur
firewall: comodo, récemment installé après plantage de kerio

voici le rapport en mode normal:

SmitFraudFix v2.206

Rapport fait à 12:12:28,31, 22/07/2007
Executé à partir de C:\Documents and Settings\Alex\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost



--------------------------------------------------------------------


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



@+

Utilisateur anonyme · Answer

Bien, on avance.
(quel bonheur un PC monté...je dis ça sans rire !)
Tu as le cd XP ?

silentlex · Answer

eh nan je ne l'ai pas

Utilisateur anonyme · Answer

ça...tu devras penser à te procurer une licence...demande à ton monteur, si c'est lui qui l'a installé il doit savoir te procurer ça .
-----------------
bien fais ceci  avec Iexplorer:
http://support.f-secure.fr/fra/home/ols.shtml
postes le rapport.

silentlex · Answer

j'ai essayé le scan f-secure, mais au moment des downloads, à la fin plus exactement, j'ai ce message:

"unable to download necessary online scanner components! please try again".
j'ai essayé plusieurs fois avec les deux types de scan, ca ne marche pas, toujours ce message.

silentlex · Answer

du coup que faire?

silentlex · Answer

j'ai remarqué aussi autre chose: mon antivirus fsecure n'apparait plus, et impossible de lancer un scan.
cela me laisse penser qu'avec les pages internet qui tentent de s'ouvrir en plus, il  pourrait peut être s'agir du cheval de troie Troj/Bagle-AS et de wintems.exe
...

silentlex · Answer

j'ai fait un scan avec elibagla voici le rapport:

  Sun Jul 22 20:37:52 2007
EliBagle v10.46  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ALEX\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ALEX\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Sun Jul 22 20:38:31 2007
EliBagle v10.46  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Alain\Local Settings\Temp\~1.EXE --> Eliminado Bagle
C:\Documents and Settings\Alain\Local Settings\Temp\~2.EXE --> Eliminado Bagle
C:\Documents and Settings\Chloé\Local Settings\Temp\~1.EXE --> Eliminado Bagle
C:\Documents and Settings\Chloé\Local Settings\Temp\~2.EXE --> Eliminado Bagle
C:\WINDOWS\system32\FLEC003.EXE --> Eliminado Bagle.dldr


le virus a t-il totalement été désinfecté? il me reste le fichier suivant dans system32: WINTEMS.EXE.VIR
je le supprime?

toujours impossible de lancer une analyse fsecure, il n'affiche rien.

silentlex · Answer

de plus, ccleaner n'arrive pas a supprimer un dossier qui s'appelle "Dc4" et que je n'arrive pas a localiser pas avec une recherche.

Utilisateur anonyme · Answer

Si j'étais -toi je ferais un désinstall/réinstall de F-secure...
Toujours impossible ?

impossible de lancer le mode sans échec 
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html

le scan F-secure aussi ?
http://support.f-secure.fr/fra/home/ols.shtml

afideg · Answer

Salut Philo

Oui, l'internaute doit virer WINTEMS.EXE.VIR 

Bizarre qu'elibagla l'ait renommé et pas éliminé ( ce qu'il faisait auparavent )
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR 
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR

Donc, supprimer aussi HLDRRR.EXE.VIR

À toi de juger si tu as une autre solution.
Le MSE devrait avoir été restauré.


PS: Normalement SmitfraudFix peut être utilisé sans le MSE ( si nécessaire ).

Un ComboFix ?


Bonne journée
Al.

Utilisateur anonyme · Answer

Bonne idée,
faisons donc un Combofix.
Fais donc ceci+ poster le ou les rapports (ça dépend s'il a mis un truc en quarantaine/ou pas )
http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html

silentlex · Answer

salut.
toujours pas pu redémarrer en mode sans échec, mais par contre j'ai pu faire l'analyse online f-secure

voici un rapport:


Scanning Report
Monday, July 23, 2007 18:11:42 - 19:31:09
Computer name: NOM-IZ5J7T6C88D 
Scanning type: Scan system for viruses, rootkits, spyware 
Target: C:\ 


--------------------------------------------------------------------------------

Result: 14 malware found
Backdoor.Win32.VB.kb (virus) 
C:\WINDOWS\SYSTEM32\L0L0T45E.EXE (Renamed & Submitted) 
Email-Worm.Win32.Bagle.ik (virus) 
C:\DOCUMENTS AND SETTINGS\CHLO&#604;APPLICATION DATA\HIDIRES\ROSA.SYS (Renamed & Submitted) 
C:\DOCUMENTS AND SETTINGS\ALAIN\APPLICATION DATA\HIDIRES\ROSA.SYS (Renamed & Submitted) 
Stealth_process (hidden item) 
C:\WINDOWS\SERVICES.EXE (Submitted) 
C:\WINDOWS\SYSTEM32\SERVICES.EXE (Submitted) 
Tracking Cookie (spyware) 
System (Disinfected) 
System 
System 
System 
Trojan-Downloader.Win32.Agent.bhg (virus) 
C:\WINDOWS\SERVICES.DLL (Renamed & Submitted) 
Trojan-Downloader.Win32.Agent.bks (virus) 
C:\DOCUMENTS AND SETTINGS\CHLO&#604;LOCAL SETTINGS\TEMP\SVCHOST.EXE (Renamed & Submitted) 
Trojan.Win32.Patched.af (virus) 
C:\PROGRAM FILES\LOGITECH\VIDEO\ISSTART.EXE (Disinfected & Submitted) 
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE (Disinfected & Submitted) 
C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE (Disinfected & Submitted) 

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 31342 
System: 4338 
Not scanned: 4 
Actions:
Disinfected: 4 
Renamed: 5 
Deleted: 0 
None: 5 
Submitted: 10 
Files not scanned:
C:\HIBERFIL.SYS 
C:\PAGEFILE.SYS 
C:\WINDOWS\SERVICES.EXE 
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT 

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-07-21 
F-Secure AVP: 7.0.171, 2007-07-23 
F-Secure Orion: 1.2.37, 2007-07-23 
F-Secure Blacklight: 1.0.64 
F-Secure Draco: 1.0.35, 2007-07-09 
F-Secure Pegasus: 1.19.0, 2007-06-18 
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX 
Use Advanced heuristics

afideg · Answer

Re,

Pas besoin de MSE pour ComboFix

Télécharge ComboFix.exe (par sUBs) sur ton Bureau: 
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. 
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. 
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau. 

Tu copies et colles ce rapport sur le forum

Utilisateur anonyme · Answer

re, tu veux dire quoi pour MSE  ?

silentlex · Answer

voici le rapport combofix "Alex" - 2007-07-23 20:20:23 - ComboFix 07-07-23.6 - Service Pack 1 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Alex\APPLIC~1.\hidires C:\WINDOWS\DOWNLO~1\USDR6V_0001_N19M2604NetInstaller.exe C:\WINDOWS\exefld C:\WINDOWS\services.exe C:\WINDOWS\system32.dll C:\WINDOWS\xhelper.dll ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_ROSA ------- osa ((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 ))))))))))))))))))))))))))))))) 2007-07-23 18:09 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-22 20:33 d-------- C:\!KillBox 2007-07-22 13:50 d-------- C:\DOCUME~1\CHLO~1\APPLIC~1\Comodo 2007-07-22 13:49 d-------- C:\DOCUME~1\Jeanne\APPLIC~1\Comodo 2007-07-22 13:34 d-------- C:\DOCUME~1\Alain\APPLIC~1\Comodo 2007-07-22 11:04 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-07-22 11:04 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-07-22 11:04 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-07-22 11:04 1,270 --a------ C:\WINDOWS\system32 mp.reg 2007-07-22 10:47 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Comodo 2007-07-22 10:47 d-------- C:\DOCUME~1\Alex\APPLIC~1\Comodo 2007-07-21 21:26 d-------- C:\Program Files\Navilog1 2007-07-21 16:24 d-------- C:\DOCUME~1\CHLO~1\APPLIC~1\Lavasoft 2007-07-21 10:01 d-------- C:\DOCUME~1\Alex\APPLIC~1\VCOM 2007-07-20 23:52 681,984 --a------ C:\WINDOWS\system32\CDUninst.exe 2007-07-20 11:08 d--h----- C:\DOCUME~1\CHLO~1\APPLIC~1\hidires 2007-07-20 05:55 d-------- C:\Program Files\Common 2007-07-19 18:15 d-------- C:\WINDOWS\system32\PC Booster 5 2007-07-19 17:13 d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\Webroot 2007-07-19 16:51 d-------- C:\WINDOWS\system32\GroupPolicy 2007-07-18 19:05 d-------- C:\WINDOWS\Internet Logs 2007-07-18 17:40 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-07-18 17:20 23,296 --a------ C:\WINDOWS\system32\drivers\NaiFiltr.sys 2007-07-18 17:20 d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\McAfee.com Personal Firewall 2007-07-18 17:19 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee.com 2007-07-18 17:16 d-------- C:\DOCUME~1\Alex\APPLIC~1\McAfee.com Personal Firewall 2007-07-18 17:14 344,064 --a------ C:\WINDOWS\system32\mcinsctl.dll 2007-07-18 17:14 270,336 --a------ C:\WINDOWS\system32\mcgdmgr.dll 2007-07-18 17:14 d-------- C:\6iE2CauQVmgNXBndLGGtK3RpWFtiXlobtp8 2007-07-17 18:23 360,224 --ahs---- C:\WINDOWS\fidbox.dat 2007-07-16 16:08 d--h----- C:\DOCUME~1\Alain\APPLIC~1\hidires 2007-07-14 11:33 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU 2007-07-14 11:33 d-------- C:\DOCUME~1\Alex\APPLIC~1\AVS4YOU 2007-07-14 10:15 3,082 --a------ C:\WINDOWS\system32\affv9553p4now.sys 2007-07-11 19:48 d-------- C:\Program Files\Fichiers communs\River Past 2007-07-11 19:48 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past G5 2007-07-11 19:48 d-------- C:\DOCUME~1\Alex\APPLIC~1\River Past G5 2007-07-02 19:17 27 --a------ C:\WINDOWS\wazpnmp.sys 2007-06-30 10:45 d-------- C:\DOCUME~1\Alex\APPLIC~1\vlc (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-23 16:51:11 -------- d-----w C:\Program Files\Emule 2007-07-21 11:41:40 -------- d-----w C:\DOCUME~1\Alex\APPLIC~1\Lavasoft 2007-07-21 07:59:43 -------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-07-20 16:55:20 -------- d-----w C:\Program Files\Ahead 2007-07-20 04:32:08 -------- d--h--w C:\Program Files\InstallShield Installation Information 2007-07-20 03:55:10 -------- d-----w C:\Program Files\Common Files 2007-07-20 03:55:09 -------- d-----w C:\Program Files\Yahoo! 2007-07-19 13:54:24 -------- d-----w C:\Program Files\Google 2007-07-18 16:41:58 -------- d-----w C:\Program Files\Soulseek 2007-07-17 18:54:12 -------- d-----w C:\Program Files\Windows Live Toolbar 2007-07-17 18:25:30 -------- d-----w C:\Program Files\GameShadow 2007-07-14 13:20:37 -------- d-----w C:\Program Files\Magic Workstation 2007-07-14 09:56:01 -------- d-----w C:\Program Files\Fichiers communs\AVSMedia 2006-08-08 15:30:07 4,435,841 ----a-w C:\Program Files\Deck analyser v1.0.zip 2004-09-12 11:23:46 3,333 -c--a-w C:\Program Files\INSTALL.LOG 2003-10-23 16:52:08 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe 2002-07-26 15:02:06 153,088 -c--a-w C:\Program Files\UNWISE.EXE 2005-09-05 16:18:14 56 -csh--r C:\WINDOWS\system32\2BD763A547.sys 2005-09-05 17:04:14 8 -csh--r C:\WINDOWS\system32\BDE69F75BC.sys 2005-09-19 17:50:26 10,856 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [] "UnlockerAssistant"="C:\Alex\logiciels\Utilitaires\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19] "GhostWall"="C:\Alex\logiciels\antivirus & config pc\GhostWall\ghostwall.exe" [] "COMODO Firewall Pro"="C:\Alex\logiciels\antivirus & config pc\Comodo\Firewall\CPF.exe" [2007-07-22 10:50] "QuickTime Task"="C:\alex\quick time\qttask.exe" [2005-02-18 18:52] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-11-15 16:18] C:\Documents and Settings\Alex\Menu D‚marrer\Programmes\D‚marrage\ D‚marrer Internet Explorer.lnk - C:\Program Files\Internet Explorer\IEXPLORE.EXE [2004-01-28 11:37:36] RegFreeze.lnk - C:\Alex\logiciels\antivirus & config pc\RegFreeze egfreeze.exe [2007-07-19 17:22:10] [color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color] ~~\SafeBoot\Minimal\Base ~~\SafeBoot\Minimal\Boot Bus Extender ~~\SafeBoot\Minimal\Boot file system ~~\SafeBoot\Minimal\dmboot.sys ~~\SafeBoot\Minimal\dmio.sys ~~\SafeBoot\Minimal\dmload.sys ~~\SafeBoot\Minimal\dmserver ~~\SafeBoot\Minimal\File system ~~\SafeBoot\Minimal\Filter ~~\SafeBoot\Minimal\PCI Configuration ~~\SafeBoot\Minimal\Primary disk ~~\SafeBoot\Minimal\RpcSs ~~\SafeBoot\Minimal\SCSI Class ~~\SafeBoot\Minimal\sermouse.sys ~~\SafeBoot\Minimal\System Bus Extender ~~\SafeBoot\Minimal\vga.sys ~~\SafeBoot\Minimal\vgasave.sys ~~\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} ~~\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318} ~~\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318} ~~\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318} ~~\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318} ~~\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F} [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg avapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d avapp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\alex\quick time\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vSubst K:] vSubst K: C:\RA1SET~1\SETUP [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vSubst L:] vSubst L: C:\RA1\SETUP [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Alex\winamp\winampa.exe R0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys R0 Inspect;Comodo Network Engine;C:\WINDOWS\System32\DRIVERS\inspect.sys R0 PzWDM;PzWDM;C:\WINDOWS\System32\Drivers\PzWDM.sys R1 CmdMon;Comodo Application Engine;C:\WINDOWS\System32\DRIVERS\cmdmon.sys R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\System32\Drivers\ElbyCDIO.sys R2 F-Secure Filter;F-Secure File System Filter;\??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys R2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys R2 F-Secure Recognizer;F-Secure File System Recognizer;\??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys R2 FSpm;F-Secure Policy Manager;\??\C:\Program Files\F-Secure\Common\FSPM.SYS R3 ALCXSENS;Service for WDM 3D Audio Driver;C:\WINDOWS\System32\drivers\ALCXSENS.SYS R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\System32\Drivers\ElbyCDFL.sys R3 Pcouffin;Low level access layer for CD devices;C:\WINDOWS\System32\Drivers\Pcouffin.sys R3 pepifilter;Volume Adapter;C:\WINDOWS\System32\DRIVERS\lv302af.sys R3 PID_08A0;Labtec WebCam Pro(PID_08A0);C:\WINDOWS\System32\DRIVERS\LV302AV.SYS S2 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe S3 alcan5wn;SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\System32\DRIVERS\alcan5wn.sys S3 alcaudsl;SpeedTouch ADSL Modem ATM Transport;C:\WINDOWS\System32\DRIVERS\alcaudsl.sys S3 hitmanpro2;Hitman Pro 2 Driver;\??\C:\Alex\logiciels\antivirus & config pc\Hitman Pro\hitmanpro2.sys S3 jnv4_mib;jnv4_mib;\??\C:\DOCUME~1\Alex\LOCALS~1\Temp\jnv4_mib.sys S3 NaiFiltr;NaiFiltr;C:\WINDOWS\System32\DRIVERS\NaiFiltr.sys S3 WINIO;WINIO;\??\D:\winio.sys S4 BackWeb Client - 7681197;F-Secure BackWeb;C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE S4 F-Secure Gatekeeper Handler Starter;F-Secure Gatekeeper Handler Starter;"C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Usnsvc usnsvc Contents of the 'Scheduled Tasks' folder 2007-07-23 17:57:01 C:\WINDOWS asks\Check Updates for Windows Live Toolbar.job 2007-07-17 17:12:06 C:\WINDOWS asks\HP DArC Task #Hewlett-Packard#hp psc 1300 series#1082221788.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-23 20:32:33 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-23 20:34:03 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-07-23 20:33 --- E O F ---

afideg · Answer

Re, Il a bien travaillé mon petit copain ComboFix . A)- Bizarre comme localisation de pare-feu ? 2007-07-18 17:20 d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\McAfee.com Personal Firewall 2007-07-18 17:19 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee.com 2007-07-18 17:16 d-------- C:\DOCUME~1\Alex\APPLIC~1\McAfee.com Personal Firewall B)- Il faudra faire analyser ces fichiers ( en gras ) chez VirusTotal, comme ceci: 1°- Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer fichiers protégés du dossier système Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > 2°- Ensuite vas là :< https://www.virustotal.com/gui/ > •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) ) •- c'est-à-dire : C:\WINDOWS\system32\affv9553p4now.sys •- quand tu as trouvé le premier fichier affv9553p4now.sysaffv9553p4now.sysse retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" ( de la page de Virustotal ) •- et tu attends le résultat (il faut parfois patienter) •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse ) Merci pour ta collaboration Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799 C)- Autres recherches : 1°- Dans "Postede travail" > C:\ > Documents and Settings > .......... trouver ces deux fichiers en gras et les supprimer : C:\DOCUME~1\CHLO~1\APPLIC~1\hidires C:\DOCUME~1\Alain\APPLIC~1\hidires EDIT: Attention ==> sans doute renommés comme ceci : -C:\DOCUMENTS AND SETTINGS\CHLOɜAPPLICATION DATA\HIDIRES\ROSA.SYS ROSA.SYS 2°- Faire ceci : a)- - Télécharge "clean.zip", décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier "clean". < < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > -Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre D < https://forum.pcastuces.com/default.asp > •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport. Un rapport va être généré, colle le contenu entier ici. - Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. b)- Télécharge DrWeb ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe La version est automatiquement à jour. Installe le. Lance le. Une analyse des processus se lance. Ensuite, choisis le lecteur à scanner ( C ) et lance l'analyse. Choisis de supprimer ce qu’il trouve Poste le rapport. c)- télécharge un petit nettoyeur de virus mis en place par Kaspersky sur le lien suivant : http://9down.com/Kaspersky-Free-Cleaner-12-0-0-13-12984/ Par contre une fois téléchargé copie le fichier qui s'appelle normalement "klwk" sur le disque "C:" IMPÉRATIVEMENT, ensuite clique sur le Logo Windows en bas à gauche de ton bureau >> Tous les Programmes >> Accessoires >> place toi au niveau de "Invite de commande" fait un clic droit sur le fichier et va dans Exécuter en tant qu'Administrateur, puis tu fais continuer ... Une fenêtre MS-DOS devrait s'afficher tape alors "cd.." une fois, puis "cd.." encore une fois sans les guillemets bien entendu tu devrais avoir ceci d'affiché ensuite : C:\> Tape alors klwk pour lancer l'analyse détecter et supprimé les virus éventuels ... Poster le rapport Merci Al.

afideg · Answer

Philo,

Philo, je ne connais pas ce scan F-secure

Que faut-il faire avec ces fichiers :

C:\WINDOWS\SYSTEM32\L0L0T45E.EXE (Renamed & Submitted) 
C:\WINDOWS\SERVICES.EXE (Submitted) 
C:\WINDOWS\SYSTEM32\SERVICES.EXE (Submitted) 
C:\WINDOWS\SERVICES.DLL (Renamed & Submitted) 
C:\DOCUMENTS AND SETTINGS\CHLO&#604;LOCAL SETTINGS\TEMP\SVCHOST.EXE(Renamed & Submitted) 
C:\PROGRAM FILES\LOGITECH\VIDEO\ISSTART.EXE (Disinfected & Submitted) 
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE (Disinfected & Submitted) 
C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE(Disinfected & Submitted)

Actions: 
Disinfected: 4 ( dont 1 cookie )
Renamed: 5 
Deleted: 0 
None: 5 

Merci à toi pour cette formation

Al.

Utilisateur anonyme · Answer

ceci:
C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE(Disinfected & Submitted) 
ne rien faire....il a désinfecté la source lui-même, tout en conservant le fonctionnement du dit programme (en principe)
Je possède le même fichier sur ma machine.
C:\Program Files\HP\HP Software Update
Hewlett-Packard Product Assistant
48.0 Ko (49,152 octets)
----------------------------
Type d'analyse: Analyse de la cible
Cible : C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
Résultat du test
Aucun antiprogramme détecté

Statistiques
Analysés:

    * Fichiers: 1
    * Non analysés: 0 

Résultat:

    * Virus: 0
    * Logiciel espion: 0
    * Eléments suspects: 0
    * Programme à risque: 0 

Actions:

    * Nettoyés: 0
    * Renommés: 0
    * Supprimés: 0
    * Quarantaine: 0
    * Echec: 0 

Secteurs d'amorçage:

    * Analysés: 0
    * Infectés: 0
    * Eléments suspects: 0
    * Nettoyés: 0 

Options
Version des définitions:

    * Virus: 2007-07-24_01
    * Logiciel espion: 2007-07-24_01 

Moteurs d'analyse :

    * F-Secure AVP: 6.00.171, 2007-07-24
    * F-Secure Libra: 2.04.01, 2007-07-21
    * F-Secure Orion: 1.02.37, 2007-07-23
    * F-Secure Draco: 1.00.35, 2007-07-09 
----------------------------------------------------------


J'ai vérifié (j'ai F-secure dans mon PC) en faisant clic droit et scanner par F-secure....ce fichier est clean chez-moi.


ceci:
SERVICES.EXE (Submitted) 
le F-secure s'intérroge et soumet une intérrogation (envoi d'un échantillion), car il ne trouve pas la réponse dans sa base de données...en général c'est une fausse alerte.
ici:

C:\DOCUMENTS AND SETTINGS\CHLO&#604;LOCAL SETTINGS\TEMP\SVCHOST.EXE(Renamed & Submitted) 
 il a un gros doute et préfère renommer, mais il transmet l'info pour être traité par F-secure (techniciens)
A mon  avis , il s'autorisse à renommer quand c'est situé dans un tmp/temp (mieux vaut prévenir que guérir)
-------------------------------------------------------------------------------
En cas de doute, je ne vois qu'une seule option sur les (Submitted) et /ou (Renamed & Submitted) , passer par Virus Total.

silentlex · Answer

ok alors en A/le parefeu Mc afee a été désinstallé. il doit s'agir de "restes" en B/ analyse du fichier affv9553p4now.sys : rapport virus total : File affv9553p4now.sys received on 07.25.2007 16:39:49 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Loading server information... Your file is queued in position: 3. Estimated start time is between 52 and 75 seconds. Do not close the window untill scan is complete. The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result. If you are waiting for more than five minutes you have to resend your file. Your file is being scanned by VirusTotal in this moment, results will be shown as they're generated. Print results Your file has expired or do not exists. Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time. Antivirus Version Last Update Result AhnLab-V3 2007.7.25.0 2007.07.25 no virus found AntiVir 7.4.0.44 2007.07.25 no virus found Authentium 4.93.8 2007.07.25 no virus found Avast 4.7.997.0 2007.07.25 no virus found AVG 7.5.0.476 2007.07.25 no virus found BitDefender 7.2 2007.07.25 no virus found CAT-QuickHeal 9.00 2007.07.25 no virus found ClamAV 0.91 2007.07.25 no virus found DrWeb 4.33 2007.07.25 no virus found eSafe 7.0.15.0 2007.07.24 no virus found eTrust-Vet 31.1.5004 2007.07.25 no virus found Ewido 4.0 2007.07.25 no virus found FileAdvisor 1 2007.07.25 no virus found Fortinet 2.91.0.0 2007.07.25 no virus found F-Prot 4.3.2.48 2007.07.25 no virus found F-Secure 6.70.13030.0 2007.07.25 no virus found Ikarus T3.1.1.8 2007.07.25 no virus found Kaspersky 4.0.2.24 2007.07.25 no virus found McAfee 5081 2007.07.24 no virus found Microsoft 1.2704 2007.07.25 no virus found NOD32v2 2418 2007.07.25 no virus found Norman 5.80.02 2007.07.25 no virus found Panda 9.0.0.4 2007.07.24 no virus found Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.25 no virus found Symantec 10 2007.07.25 no virus found TheHacker 6.1.7.152 2007.07.23 no virus found VBA32 3.12.2.1 2007.07.24 no virus found VirusBuster 4.3.26:9 2007.07.24 no virus found Webwasher-Gateway 6.0.1 2007.07.25 no virus found Additional information File size: 3082 bytes MD5: 1e90bed2ea275b238a3840bb32732894 SHA1: dc04f250584c8c64d35550e23d50f6a2c20bc672 en C/ -C:\DOCUMENTS AND SETTINGS\CHLOɜAPPLICATION DATA\HIDIRES\ROSA.SYS ROSA.SYS fichiers introuvable. je n'arrive pas a mettre la main dessus pour la suite peut tu me dire où trouver clean.zip merci a+

Utilisateur anonyme · Answer

"pour la suite peut tu me dire où trouver clean.zip "
http://www.malekal.com/download/clean.zip

silentlex · Answer

merci pour le lien
quand je décompresse je n'ai que le fichier et pas le programme executable clean.zip comme décris précedemment ici: < http://img483.imageshack.us/img483/6285/screenshot210io7.gif >

Utilisateur anonyme · Answer

IL n'y a pas de  exécutable au sens normal du terme....exe
mais un fichier clean.cmd
double clic dessus et choisis l'option 1
colles le rapport.

----------------------------------------------------------------

afideg · Answer

Pour "clean" •- Télécharge « clean.zip » http://www.malekal.com/download/clean.zip •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Si ça peut aider Al.

Utilisateur anonyme · Answer

;-)
et ? nous en sommes où du soucis ?

silentlex · Answer

et?

salut
plus aucun souci car apparament le scan online fsecure a renommé des fichiers importants de windows, ce qui a eu pour résultat lorsque j'ai redémarré en mode sans échec selon la procédure d'afideg de me créé une boucle infini de redémarrage et ce quelque soit le mode de démarrage choisi.
enfin rassurez vous je l'ai amené chez un réparateur qui ma réinstallé windows pour 50euros donc je n'ai plus de virus et le démarrage se fait très rapidement.  et j'ai aussi perdu 90% de mes données perso car il n'a pas pu tout récupérer...
voila, bien deg quoi

Utilisateur anonyme · Answer

ok,
je vois ce que tu veux dire.
En passant par Msconfig et en modifiant le Boot.ini.
---------------
je dirais que ça peut arriver, en cas de certaines infections....
Mais perso, je pense ceci:
"Il existe une autre méthode, avec Msconfig, je ne là préconnise pas du tout, j'en connais qui sont resté "enfermé" en boucle !"
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html
Il y a moyen de sortir , mais tu n'as pas parlé de soucis ?
ton dernier message datait de:
le mercredi 25 juillet 2007 à 17h31:22 
Ceci dit, pourquoi as-tu porté ta machine chez un réparateur pour te réinstaller XP ?
"chez un réparateur qui ma réinstallé windows pour 50euros donc je n'ai plus de virus et le démarrage se fait très rapidement. "
tu as répondu ceci: "Mon Pc est de groupe a (montage)."
Ce qui correspond à ceci:
"a)Tu as un PC Tour sans marque, tu l'as acheté chez un monteur (magasin indépendant), et de plus tu as le cd de XP de disponible."
De plus ci tu as le cd...on aurait pu tenter la réparation de XP.
;-)

silentlex · Answer

ouais je sais j'ai lu ton blog t'inquiète pas.. 
mais en fait de toute façon le gars m'a expliqué que trop de fichiers windows étaient manquant ou renommés par l'antivirus.. et de plus il fallait que je conserve mes données (ou une partie) et ca je ne pouvais le faire que par un pro.. je n'avais plus d'accès à windows...

Utilisateur anonyme · Answer

" je n'avais plus d'accès à windows."
là évidemment tu étais coincé !
:-/
si je peux me permettre un petit conseil...
https://leblogdeclaude.blogspot.com/2007/01/informatique-problme-disque-dur-externe.html
;-)

silentlex · Answer

en fait au moment ou je choisissait le mode de lancement (normal, sans échec, derniere config.), quiqu'il arrive, il redémarrai tout seul, en boucles.
donc plus accès à internet pour d'autres conseils aussi...
les données que j'avais étaient musicales, certaines rares sa m'emmerdent. les autres je me débrouillerais pour les récupérer..

silentlex · Answer

oui un DD externe serait une bonne idée à l'avenir....

Utilisateur anonyme · Answer

+ Norton Ghost....
On t'a réinstallé XP, ok .
Et le cd XP tu l' as ?
Parce que tu dois pouvoir avoir accès au mode console de XP.
Et pour ça, il te faut le cd.

;-)

afideg · Answer

Holà 
Salut Philo

Une erreur dans mes tablettes pour ceci « j'ai redémarré en mode sans échec selon la procédure d'afideg  » 
1- J'utilise rarement ce lien # 27 C 2°
2- il fallait lire chap. C et non chap. D
J'ai corrigé chez moi.
Désolé pour ce désagrément, certes sans doute guidé à cet instant-là par les soucis d'accès au MSE relatés dans le topic.

Mais la démarche chez le commerçant est un désastre.
Il aurait pu faire une copie de ton DD de telle sorte que tu puisses y récupérer tes données.

Je ne crois pas facilement non plus à l'action néfaste/responsable de scan F-secure ; et d'autant qu'il avait renommeé des fichiers polués comme ceux-ci:
C:\WINDOWS\SERVICES.DLL (Renamed & Submitted) 
Trojan-Downloader.Win32.Agent.bks (virus) 
C:\DOCUMENTS AND SETTINGS\CHLO&#604;LOCAL SETTINGS\TEMP\SVCHOST.EXE (Renamed & Submitted) 
Trojan.Win32.Patched.af (virus) 


Un peu précipité le mec==> le commerçant !.
Bon W-E
Al.

silentlex · Answer

mode console : je ne sais pas ce que c'est
je n'ai pas le cd d'XP

le réparateur m'a dis qu'il a récupéré ce qu'il a pu et que c'était long (40GO sur un peu plus de 100). Apparemment il manquait trop de fichiers windows et il fallait le réinstaller.
ce qui est fait est fait, j'ai l'habitude de ce genre de choses :) la plupart des données pourront être retrouvées avec du temps et de la recherche...

a+

Utilisateur anonyme · Answer

Bien,
bonjour à tous, slt Adifeg
"Je ne crois pas facilement non plus à l'action néfaste/responsable de scan F-secure "
Idem....
Possédant F-secure Internet security 2007, je puis parler en connaissance de cause !
Il est évident que si un virus altère un fichier système, si F-secure le détecte, il ne va pas le conserver en l'état pour faire joli !
C'est ici qu'intervient le cd XP, d'ou je repète l'importance capitale d'avoir le cd XP ?
Il eût été relativement facile de restaurer en l'état des fichier système altérés avec la procédure:
 sfc /scannow.
https://leblogdeclaude.blogspot.com/2007/07/faire-un-scan-sfc-scannow.html
De plus si la procédure sfc /scannow n'est pas suffisante pour remettre XP en l'état il reste la procédure de réparation de XP, d'ou l'importance de l'accès au mode console, et ça se fait...avec le cd XP
Il y a moyen de s'en passer, si le monteur installe l'accès au mode sans échec à partir du menu accessible par F8, ou m^me en invite de commande 
Pas chinois----->Démarrer/Exécuter/taper
c:\i386\winnt32.exe /cmdcons
"La Console nécessite environ 7 Mo "
infos supplémentaires ici:
http://assiste.com.free.fr/p/comment/console_recuperation.php

.....dans la pratique beaucoup de "monteurs" ignorent même cette procédure, un comble  !

https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-rparation-xp.html
Il ya un truc qui m'échappe...
"mode console : je ne sais pas ce que c'est
je n'ai pas le cd d'XP "
faudra que l'on m'explique ce que tu as pour une version XP ?
Fais ceci, et dis-moi si tu vois les lettres OEM dans ton N° de série (je ne te demande pas de me donner le n° de série !...LOL) mais juste de vérifier si ces trois lettres font parties de ce n° de série...si c'est pas le cas, je m' interroge ?
regarde ici, comment voir le n° de série:
https://leblogdeclaude.blogspot.com/2007/07/mon-avis-sur-les-pc-de-marques.html

silentlex · Answer

oui j'ai bien ces 3 lettres dans mon numéro de série

Utilisateur anonyme · Answer

m'en doutait...mais bon, c'est préférable qu'une version pirate.
Tu as bien un PC sans marque (PC monté ) ?
Normalement on ne met pas une version OEM dans un PC monté.
Regarde ton dossier c:\i386
Donnes-moi la taille de ce dossier .

silentlex · Answer

oui il me semble que c'est un pc monté... 
en même temps il date de plusieurs années déjà... ca me met un doute...

dossiers i386 (il y en a 11) = a peu près 78MO

voili voilou

Utilisateur anonyme · Answer

LOL....
non, il est uniquement dans c:\i386 et dépasse les 400 mégas...
si tu as ça tu as une chance de faire un cd XP
regardes ici:
windows xp recreer son cd original pc grande marque
sinon....arranges-toi avec le "monteur" pour avoir ce dossier !
(entre-nous)
je te conseille de te procurer un original XP et de virer cette version OEM.....
Tu vas me dire, que ça va te coûter plus que que 50 Euros.

silentlex · Answer

"non, il est uniquement dans c:\i386 et dépasse les 400 mégas... " désolé je l'ai uniquement dans c:\windows\driver cache et il fait 78MO

"Tu vas me dire, que ça va te coûter plus que que 50 Euros." ----> pas compris
a+

afideg · Answer

Coucou,

« Il n'y a pas de pire sourd que celui qui ne veut pas comprendre »
Philo veut dire qu'un CD WinXP Pro authentique va te coûter ± 50€  !

OK ?

Al.

Uouk · Answer

Hello Amigo

Comment vas-tu ? Tu fais pas bronzette en cet bel été ? :P

A mon avis il veut dire qu'il va lui coûter au moins 50euros s'il l'achéte chez un informaticien du coin, tu peux l'trouver a 15/20&#8364; sur le net, authentique !

Bye bye ;-)

afideg · Answer

Hé ! Amigo .
Comment vas-tu ?
Tu as renouvelé ta carte d'identité ?
En Belgique, marre des marres !
Toujours de la pluie --> pas de récolte de patates ==> le prix des frites va augmenter .
Quelle garantie de qualité sur Internet ?==> je ne sais pas me servir de cette forme d'achat; je ne trouve personne pour m'y former en toute confiance .
Bon dimanche Amigo.
Al

Utilisateur anonyme · Answer

ben,
je te conseille de te procurer un original XP et de virer cette version OEM..... 
genre ceci:
http://www.atlanpolis.com/article_1742_Microsoft_Windows-XP-Edition-Professionnelle_clic-clubic.html
mais en cherchant sur le Net , on trouve moins cher....

silentlex · Answer

ok ok merci du conseil.
ben je t'avoue que je suis étudiant donc financièrement sa ne sera pas pour tout de suite!
pense tu que je puisse le trouver a un prix attractif sur un site comme ebay?

sinon j'aurais bien une dernière chose a vous demander: je dois réinstaller les drivers de la carte son: Realtek AC'97. le problème c'est que lors de l'installation, à la fin, l'ordinateur se coupe et redémarre subitement (sans fermer windows). à l'ouverture, ensuite, la carte son n'est pas installée correctement et j'ai le message classique "nouveau matériel détecté" . je recommence et sa redémarre... etc... une idée?

Utilisateur anonyme · Answer

Ben, oui....
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-problme-carte-son.html
mais, je dois rajouter que sur certains PC de marque (vive les marques)
https://leblogdeclaude.blogspot.com/2007/07/mon-avis-sur-les-pc-de-marques.html
 ils ont eu la merveilleuse idée de traficoter les drivers..en ce sens qu'il n'y a que les leurs (drivers Ac'97) qui fonctionnent  !
Dans d'autres termes il faut passer par le site du constructeur pour obtenir le driver adhoc ! (et je parle pas du capitaine....LOL) et vive les cartes son "ONBOARD"
Tant que j'y pense....^^
En autre petit soucis...ne pas se trucider le moral avec une carte son, désactivée dans le BIOS !

silentlex · Answer

humm pour la carte son ta procédure fait appel au mode sans échec qui ne pas laisser un bon souvenir. n'y a t-il pas plus simple?

Utilisateur anonyme · Answer

Un PC ne risque absolument rien en mode sans échec.
Si tu nettoyes pas en mode sans échec, le nettoyage ne sera pas optimum.
Te reste l'option, de désactiver tout, ce qui démarre avec le PC en passant pas Msconfig ( mode diagnostic), mais je ne l'ai pas testée.

A une exception prés, en cas d'utilisation de modification par Msconfig, pour forcer le mode sans échec...je suis tout à fait contre.
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html
la procédure normale est sans danger pour la machine.
Dans certain cas...Daemon tools et les dock comme C:\WINDOWS\BricoPacks\Vista Inspirat
peuvent fichent le "bazar dans le PC et altérer la fonction de reboot en mode sans échec.
Voir ici le point 10.
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html

silentlex · Answer

ok parfait philo ta manip' a marché et ça ne m'a pris que 5minutes..
seulement je ne sais pas si c'est lié mais depuis j'ai une fonctionnalité qui a changé pour écouter de la musique:
j'utilise winamp et pour écouter je sélectionnais une playlist > click droit > play in winamp
maintenant je fais pareil mais click droit > là, à la place j'ai une fonction "install" > la playlist met plus de temps a charger et se joue dans le désordre, toujours avec winamp.. étrange

c'est bête mais je ne sais pas pourquoi ca fait ça...
sinon merci :)

Utilisateur anonyme · Answer

Ben, moi non Plus...je te suggère de désinstaller/réinstaller winamp.
C'est que parfois le nettoyage fais quelques petits chagements...comme virer, la page d'acceuil, et/ou le fond du bureau...mais bon, on n'a rien sans rien...LOL

silentlex · Answer

j'ai réinstallé winamp. j'ai l'option play in winamp mais j'ai toujours cette option "install" en gras et en premier choix. penses tu que cela puisse être en rapport avec une autre application?

azertyuio+685364hbjn6l · Answer

EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM
EP Cyberblade TM EP Cyberblade TM

Utilisateur anonyme · Answer

" penses tu que cela puisse être en rapport avec une autre application?"
je ne vois pas bien de quoi tu parles au juste !
Fais-moi une copie d'écran...stp, merci.
https://leblogdeclaude.blogspot.com/2006/11/informatique-manip-comment-montrer.html

silentlex · Answer

et bien j'ai réinstallé winamp et ca fait des années que je l'utilise et je n'ai jamais vu cette fonctionnalité... comme je te l'ai dis, celà met plus de temps a charger la playlist, elle se joue dans le désordre ou incomplète.. tu m'diras j'ai toujours la fonction classique en dessous: "play in winamp" mais cela m'intrigue... question d'habitudes ;)

voici le lien pour un screen:

https://www.hiboox.com

a+

Utilisateur anonyme · Answer

Je t'avoue que tu me colles....je n'utilise pas winamp comme player.
"comme je te l'ai dis, celà met plus de temps a charger la playlist, "
On dirait que ce n'est un soucis de XP, mais particulier à  winamp
Si j'étais toi, je le désinstallerais, et avant de le réinstaller, faire un nettoyage de la base de registre, et éventuellment après fais une recherche avec regedit, pour voir s'il n'y a pas des traces de "winamp"

https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-netoyage-de-sa.html

silentlex · Answer

d'accord
mais qu'est ce que regedit??

Utilisateur anonyme · Answer

regedit, est l'outil pour voyager dans la base de registre...c'est le noeud du système la BDR, abréviation de base de registre)
Tu utises la fonction recherche, pour chercher les traces des logiciels mal désinstallés...et d'autres choses...avant toute chose...
si tu as plus facile fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-netoyage-de-sa.html

silentlex · Answer

ok ok
j'ai fais la démarche mais celà ne change rien... ca doit être une fonctionnalité winamp mais j'ai beau cherché dans les options je ne trouve pas.. ceci dis je peu écouter de la musique c'est l'essentiel

sinon, encore une chose (il y'en a toujours on dirait!)
quand je ferme une session, j'ai un message d'erreur de drwatson32.exe. je ne sais pas du tout ce que c'est.
et parfois, en fermant une session, au lieu de revenir à la page des chois de comptes d'utilisateurs, l'écran se met en veille tout seul, parfois pendant plusieurs minutes... bizarre non?

Utilisateur anonyme · Answer

je te conseille de vérifier et de trier les processus de démarrage avec Spybot---->
https://leblogdeclaude.blogspot.com/2007/03/informatique-supprimer-des-logiciels-au.html
---------------------------------
Ah ah, le virus s'est trahis !
cherches et désinstalle + supprimes : drwatson32.exe

http://64.233.183.104/search?q=cache:DcthOAe6C44J:www.greatis.com/appdata/d/d/drwatson32.exe_Removal.htm+drwatson32.exe.&hl=fr&ct=clnk&cd=3&gl=fr

http://64.233.183.104/search?q=cache:A86RWG4V5IIJ:www.bleepingcomputer.com/startups/DrWatson32.exe-12989.html+drwatson32.exe.&hl=fr&ct=clnk&cd=5&gl=fr

silentlex · Answer

ok j'ai vérifié les processus avec spybot. je n'ai rien trouvé de particulier, à part peut être la clef en gras (je ne sais pas ce que c'est):


Located: HK_LM:Run, COMODO Firewall Pro
command: "C:\Program Files\Comodo\Firewall\CPF.exe" /background
   file: C:\Program Files\Comodo\Firewall\CPF.exe
   size: 1115728
    MD5: 1f5882037bad07e9926f47a3a32f0931

Located: HK_LM:Run, DXDllRegExe
command: dxdllreg.exe
   file: 

Located: HK_LM:Run, F-Secure Manager
command: "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
   file: C:\Program Files\F-Secure\Common\FSM32.EXE
   size: 118832
    MD5: 0f2f4fdb7e1de09593fd7855d28f3e9b

Located: HK_LM:Run, F-Secure TNB
command: "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
   file: C:\Program Files\F-Secure\TNB\TNBUtil.exe
   size: 684032
    MD5: 53cc050273ca9b6e0011b05644bd8482

Located: HK_LM:Run, HP Component Manager
command: "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
   file: C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
   size: 212992
    MD5: 12509373ade2a148c18e63e0ad19c96b

Located: HK_LM:Run, HP Software Update
command: "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
   file: C:\Program Files\HP\HP Software Update\HPWuSchd.exe
   size: 49152
    MD5: 4575c69bc34b111c99a5dfbe8af10ebb

Located: HK_LM:Run, LogitechVideoRepair
command: C:\Program Files\Logitech\Video\ISStart.exe
   file: C:\Program Files\Logitech\Video\ISStart.exe
   size: 188416
    MD5: 47f52d2de1e84b2e83c5780f1ecc0420

Located: HK_LM:Run, LogitechVideoTray
command: C:\Program Files\Logitech\Video\LogiTray.exe
   file: C:\Program Files\Logitech\Video\LogiTray.exe
   size: 77824
    MD5: 0553bfb32455cfa1f3c11467074164ec

Located: HK_LM:Run, NeroCheck
command: C:\WINDOWS\system32\NeroCheck.exe
   file: C:\WINDOWS\system32\NeroCheck.exe
   size: 155648
    MD5: 3e4c03cefad8de135263236b61a49c90

Located: HK_LM:Run, SoundMan
command: SOUNDMAN.EXE
   file: C:\WINDOWS\SOUNDMAN.EXE
   size: 62464
    MD5: 1d781a7a6dab32f8c18017e082a0b425

Located: Démarrage (tous utilisateurs), Adobe Reader Speed Launch.lnk
command: C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe
   file: C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe
   size: 25214
    MD5: 850e31369379d2f915fe177d5e177f68

Located: Démarrage (tous utilisateurs), F-Secure Automatic Update.lnk
command: C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
   file: C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
   size: 32807
    MD5: 4b746faa34af8bb8edd80bc8bfd5ee2f

Located: Démarrage (tous utilisateurs), HP Digital Imaging Monitor.lnk
command: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
   file: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
   size: 233472
    MD5: 5dc79fa6e8a946b425dcbfc2447807f0

Located: System.ini, crypt32chain
command: crypt32.dll
   file: crypt32.dll

Located: System.ini, cryptnet
command: cryptnet.dll
   file: cryptnet.dll

Located: System.ini, cscdll
command: cscdll.dll
   file: cscdll.dll

Located: System.ini, ScCertProp
command: wlnotify.dll
   file: wlnotify.dll

Located: System.ini, Schedule
command: wlnotify.dll
   file: wlnotify.dll

Located: System.ini, sclgntfy
command: sclgntfy.dll
   file: sclgntfy.dll

Located: System.ini, SensLogn
command: WlNotify.dll
   file: WlNotify.dll

Located: System.ini, termsrv
command: wlnotify.dll
   file: wlnotify.dll

Located: System.ini, wlballoon
command: wlnotify.dll
   file: wlnotify.dll


je ne savais pas que drwatson32 était un virus. pourquoi f-secure ne la pas repéré? que veux tu dire par "désinstall + supprime". j'ai fait un scan avec uniblue registry booster, c'est une version d'essai qui ne m'a enlevé que 15 erreurs sur environ 180. 
sinon je doit juste rechercher et supprimer manuellement drwatson32.exe???

Utilisateur anonyme · Answer

exact cherches-la bête manuellement... +destruction -------------------- en ce qui concerne ceci: Located: HK_LM:Run, DXDllRegExe command: dxdllreg.exe

Ce processus se lance après l’installation d’une nouvelle version de Microsoft DirectX et le redémarrage de votre ordinateur. Il finalise cette installation et devrait ensuite ne plus apparaître dans le gestionnaire de tâches de Windows XP.

Si vous êtes sûr que l’installation de DirectX s’est bien déroulée et qu’après plusieurs jours ce processus continue de se charger alors vous pouvez désactivez son lancement à l'aide de l’outil msconfig.

-----------------------------------------------------------------

silentlex · Answer

ok merci

j'ai fait une recherche automatique, impossible de détecter le fichier.. 
je suis allé voir dans system32
j'ai trouvé ces 2 fichiers: drwatson32.exe et drwstn.32.exe. Ce sont 2 applications, avec des icônes de docteurr (d'où le nom) et voici leur description (click droit/propriétés): 
 - Débogueur Postmortem Dr Watson
 - Utilitaire de détection de défaillances

Sont-ce vraiment des virus?? j'ai lancé f-secure dessus qui n'a rien décelé...
merci

Utilisateur anonyme · Answer

Esayes avec virus total:
https://www.virustotal.com/gui/

silentlex · Answer

j'ai fait le scan: voici le résultat: 



Fichier drwatson.exe reçu le 2007.08.08 09:34:30 (CET)
Situation actuelle:  terminé 
Résultat: 0/31 (0%)
  
Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.8.3.0 2007.08.08 - 
AntiVir 7.4.0.57 2007.08.08 - 
Authentium 4.93.8 2007.08.07 - 
Avast 4.7.1029.0 2007.08.07 - 
AVG 7.5.0.476 2007.08.07 - 
BitDefender 7.2 2007.08.08 - 
CAT-QuickHeal 9.00 2007.08.07 - 
ClamAV 0.91 2007.08.08 - 
DrWeb 4.33 2007.08.08 - 
eSafe 7.0.15.0 2007.07.31 - 
eTrust-Vet 31.1.5042 2007.08.08 - 
Ewido 4.0 2007.08.07 - 
FileAdvisor 1 2007.08.08 - 
Fortinet 2.91.0.0 2007.08.08 - 
F-Prot 4.3.2.48 2007.08.07 - 
F-Secure 6.70.13030.0 2007.08.08 - 
Ikarus T3.1.1.12 2007.08.08 - 
Kaspersky 4.0.2.24 2007.08.08 - 
McAfee 5092 2007.08.07 - 
Microsoft 1.2704 2007.08.08 - 
NOD32v2 2442 2007.08.07 - 
Norman 5.80.02 2007.08.07 - 
Panda 9.0.0.4 2007.08.07 - 
Prevx1 V2 2007.08.08 - 
Rising 19.35.21.00 2007.08.08 - 
Sophos 4.19.0 2007.08.01 - 
Sunbelt 2.2.907.0 2007.08.07 - 
Symantec 10 2007.08.08 - 
TheHacker 6.1.7.163 2007.08.07 - 
VBA32 3.12.2.2 2007.08.07 - 
Webwasher-Gateway 6.0.1 2007.08.08 - 




Fichier drwtsn32.exe reçu le 2007.08.08 09:43:20 (CET)
Situation actuelle: terminé 
Résultat: 1/31 (3.23%)


Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.8.3.0 2007.08.08 - 
AntiVir 7.4.0.57 2007.08.08 - 
Authentium 4.93.8 2007.08.07 - 
Avast 4.7.1029.0 2007.08.07 - 
AVG 7.5.0.476 2007.08.07 - 
BitDefender 7.2 2007.08.08 - 
CAT-QuickHeal 9.00 2007.08.07 - 
ClamAV 0.91 2007.08.08 - 
DrWeb 4.33 2007.08.08 - 
eSafe 7.0.15.0 2007.07.31 - 
eTrust-Vet 31.1.5043 2007.08.08 - 
Ewido 4.0 2007.08.07 - 
FileAdvisor 1 2007.08.08 - 
Fortinet 2.91.0.0 2007.08.08 - 
F-Prot 4.3.2.48 2007.08.07 - 
F-Secure 6.70.13030.0 2007.08.08 - 
Ikarus T3.1.1.12 2007.08.08 - 
Kaspersky 4.0.2.24 2007.08.08 - 
McAfee 5092 2007.08.07 - 
Microsoft 1.2704 2007.08.08 - 
NOD32v2 2442 2007.08.07 - 
Norman 5.80.02 2007.08.07 - 
Panda 9.0.0.4 2007.08.07 - 
Prevx1 V2 2007.08.08 - 
Rising 19.35.21.00 2007.08.08 - 
Sophos 4.19.0 2007.08.01 - 
Sunbelt 2.2.907.0 2007.08.07 - 
Symantec 10 2007.08.08 - 
TheHacker 6.1.7.163 2007.08.07 - 
VBA32 3.12.2.2 2007.08.07 - 
Webwasher-Gateway 6.0.1 2007.08.08 Win32.Malware.gen!24 (suspicious) 

je les supprime manuellement??

Utilisateur anonyme · Answer

si je puis dire tes résutats n'en sont pas...le seul affiché:
Webwasher-Gateway 6.0.1 2007.08.08 Win32.Malware.gen!24 (suspicious) 
regardes ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-scan-en-ligne.html
descend jusqu'à VIRUS TOTAL.
https://1.bp.blogspot.com/_XBAObRlILac/Rpc47zxauwI/AAAAAAAAAgk/1zRZaH1IMJ0/s400/Sans+titre1.JPG

silentlex · Answer

euh.. ce sont déjà les résultats de virus total...
je dois voir quoi exactement?? la partie "additionnal information"??

la voila pour drwtsn32:

Information additionnelle 
File size: 47104 bytes 
MD5: 740e248296e325192f06484281609d1e 
SHA1: 2119198857b2f8028659550e00a41f1219c529e7

Utilisateur anonyme · Answer

Non...en ce moment j'ai testé Virus total...et il ne marque plus "no virus found" ..pourquoi, je n'en sais rien...LOL
comme sur cette image...
http://bp2.blogger.com/...
C'est ça qui me tracassait !
Mais bon...renommes-moi :
drwatson.exe en drwatson.exe.vir

afideg · Answer

Salut voisin,
Regarde et dis-moi ce que tu en penses ( je ne sais pas être sûr de ma traduction - il reste un doute - )
< https://www.spyany.com/ > 
Bonne chance.
Al.

Utilisateur anonyme · Answer

Merci voisin....
bonne remarque !
drwstn.32.exe
je crois qu'il y a un truc qui cloche...
Bon de toute façon il n'est que renommé:
drwatson.exe en drwatson.exe.vir 
-----------
mais ceci:
j'ai trouvé ces 2 fichiers: drwatson32.exe et drwstn.32.exe.  m'intrigue...
faute de frappe ?
ceci est un virus---->drwstn.32.exe
mais ...pas ceci---->drwstn32.exe
j'ai trouvé un article pour le désactiver...
évidemment il faut inverser:
drwatson.exe en drwatson.exe.vir  et faire drwatson.exe.vir  en drwatson.exe 
https://www.zebulon.fr/astuces/divers/176-configurer-dr-watson.html
en résumé pour le désactiver:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug et mettre la valeur de la chaîne Auto à 0.

afideg · Answer

Re,
< https://www.spyany.com/ > pour drwatson32.exe
Bizarre encore.
Je cherche.
Al.

afideg · Answer

Re,

Une autre observation:

- drwstn.32.exe  ==> ???  selon l'écriture de l'internaute.
- drwtsn.32.exe ==> écriture la plus souvent rencontrée. ==> lis ceci :  < https://forum.pcastuces.com/sujet.asp?f=1&s=127501&page=1&#2272820 > post du 25/05/2007 à 12:35.
Cela semble un complément à ton astuce citée ci-avant (AeDebug)

Al.

silentlex · Answer

1) les noms exacts sont:
drwatson32.exe et drwtsn32.exe (le même sans les voyelles)

2) j'ai renommé drwtsn.exe (Win32.Malware.gen!24 (suspicious) --> scan) est ce que c'est bien celui là qu'il faut renommer??

3) j'ai suivi la procédure ici:

https://www.zebulon.fr/astuces/divers/176-configurer-dr-watson.html 

sauf la dernière étape:
"Enfin, pour complètement désactiver le Dr Watson lors d'un plantage, il faut se rendre dans la base de registres :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug et mettre la valeur de la chaîne Auto à 0."

car je n'ai pas compris ce que tu as dis ici : "évidemment il faut inverser: 
drwatson.exe en drwatson.exe.vir et faire drwatson.exe.vir en drwatson.exe"

désolé
a+

Utilisateur anonyme · Answer

quoiqu'il en soit s'il continue à poser un soucis on va le désactiver...je préfère que supprimer la clé !
comme ici:
http://www.laboratoire-microsoft.org/t/1681/

silentlex · Answer

ok je vien de regarder et.. je n'ai pas ce "AaDebug", c'est normal?

Utilisateur anonyme · Answer

Pour faire simple ,
tu fais renommer les fichiers dans leur état d'origine.
donc: drwatson32.exe et drwtsn32.exe 


ensuite tu le désactives avec la base de registre.
Si la clé n'existe pas , il faut la créer.

afideg · Answer

(suite pêle-mêle)

Pour Drwatson.exe :
 < https://www.broadcom.com/support/security-center >
 
Backdoor.Assasin sets up the server for a backdoor access.
Creates the \%Windows%\Ms spool32.dat file.
As a result, if successful, the following files cannot be run while the Trojan is active: .. , Drwatson.exe , ..

Al.

Utilisateur anonyme · Answer

silentlex ?
des nouvelles ?

silentlex · Answer

qu'est ce que sa veut dire exactement par "renommer les fichiers dans leurs états d'origine"???
moi j'ai juste renommé le fichier infecté (drwtsn32.exe) en .vir
je dois enlevé ce .vir?


ensuite pour celà:
"ensuite tu le désactives avec la base de registre. 
Si la clé n'existe pas , il faut la créer."

je pense qu'il faut que tu m'explique un peu plus... je ne maitrise pas du tout...
désolé. merci, et a+

Utilisateur anonyme · Answer

exact:
je dois enlevé ce .vir? 
--------------
j'avais demandé ceci au <78>
"Mais bon...renommes-moi :
drwatson.exe en drwatson.exe.vir "
donc fais drwatson.exe.vir  en drwatson.exe

silentlex · Answer

ok..
mais j'ai un truc bizarre
je suis retourné dans le fichier system 32 pour renommer drwtsn32.exe.vir et en fait il y a un nouveau drwtsn32.exe
en gros il y a 3 fichiers maintenant.... 2exe 1vir

Utilisateur anonyme · Answer

il est possible que le système l'a reconstruit de lui-même.
Vu que les deux sont liés.
----------------
a ce point, fais ceci:
https://www.zebulon.fr/astuces/divers/176-configurer-dr-watson.html

silentlex · Answer

ok.. j'avais déjà fais la première étape..
je viens de faire celle ci:

"Enfin, pour complètement désactiver le Dr Watson lors d'un plantage, il faut se rendre dans la base de registres :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug et mettre la valeur de la chaîne Auto à 0."   (j'ai trouvé AaDebug!!)


tu penses que c'est bon, il n'y aura plus de plantage?

Utilisateur anonyme · Answer

"j'ai trouvé AaDebug"
bonne nouvelle...
"tu penses que c'est bon, il n'y aura plus de plantage?"

si on se fie cet article...en principe----->plus en tous cas à cause de drwatson.exe  ! (désactivé)
pour le reste...j'en sais rien...:-/

silentlex · Answer

ok seul le temps nous le diras....
en tout cas je peu partir en vacances l'esprit tranquille :)
bien, merci philo pour ton aide!!
bye

Utilisateur anonyme · Answer

ok,
bonne vacances à toi...si tu as un soucis , tu sais où venir  ;-)
https://leblogdeclaude.blogspot.com/2007/05/derniers-conseils.html

silentlex · Answer

merci philo pour ces derniers conseils... on verra au retour comment se porte la machine, mais c'est vrai que j'ai découvert ce forum et j'avoue que les conseils donnés et  la disponibilité des intervenants sont un gage d'efficacité et de sécurité..
bonne journée
bye

Utilisateur anonyme · Answer

Ok,
je marque le post comme résolu.
A+
cordialement.

Petits problèmes inconnus...

96 réponses

Votre réponse

Discussions similaires

Newsletters