Au secours ! Les virus font la teuf chez moi
gail_12
-
moK´s@ -
moK´s@ -
AU SECOOOUUURS ! ... Les virus font une teuf chez moi ...
Bonjour,
Merci par avance à ceux qui voudront bien m'aider.
J'ai un PC un peu âgé (hors garantie) et physiquement assez malade (plus de lecteur CD) sous Windows XP.
Je ne suis connectée à internet que depuis une semaine et, depuis 2 jours (le 7/08), j'ai une floppée de virus qui s'amusent à qui mieux mieux et me font péter les plombs.
Quand j'efface/je tue des process/fichiers/dll/etc. qui sont clairement << pas clairs >>, leurs copains reviennent 10 fois plus vite ...
Avant de me << lancer >> sur Internet, j'avais fais une double sauvegarde de mes données sur un disque externe qui commence lui aussi à être infecté :
- 1) par Norton Ghost, mais je ne peux pas faire une restauration puisqu'il faut booter sur CD
- 2) un copy-paste un peu crade des 2 disques C: et D:, ça me permet de vérifier les << pas clairs >> de plus haut
et j'avais installé Norton Anti-Virus, mais je ne l'avais ni activé (j'avais 15 jours pour le faire), ni mis à jour.
Je soupçonne qu'un virus s'est attaqué à lui (ou alors je suis parano), car, au bout du 6ème jour, il a expiré et je n'arrive plus à l'activer (à moins q ce soit parce que maintenant je suis en Mode Sans Echec avec réseau). Donc, comme il faisait apparemment un peu office de FireWall, je n'ai plus de FireWall.
Depuis, j'ai installé AVast (le 7/08), mais, comme le système était déjà infecté, il ne pourra me créer de VRDB comme référence et, quand je lui demande de réparer un fichier, JAMAIS il n'y arrive. En plus, il semble qu'il y ait un problème avec la config de la Zone de Quarantaine (ou alors, c'est parce que je suis en Mode Sans Echec).
J'ai essayé de corriger des trucs avec HijackThis.exe, mais, maintenant il ne marche plus, je vais le retélécharger en le renommant.
Quelques-uns des symptômes, mais je vais en oublier :
o Au début, au démarrage, le Bureau ne s'affichait pas et explorer.exe prenait toute la CPU, je le killais et le démarrage pouvait continuer ; soit maintenant le problème est réglé, soit, comme je suis en mode sans échec, ça n'apparaît plus.
o J'ai eu aussi un reboot forcé par quelque chose comme << NT_AUTHORITY\SYSTEM >>. Maintenant, j'utilise << shutdown -a >>.
o Après, à chaque fois que je redémarrais, au bout de 3-4 minutes (ça laisse pas beaucoup de temps pour faire grand chose), j'avais un écran bleu ; depuis je ne redémarre plus que en Mode Sans Echec (avec réseau).
o Plus de son et des bips bizarres de temps en temps : je soupçonne delsim.
o Des dll avec des noms bizarres : lettres redoublées, des process avec des noms bizarres (ils contiennent un caractère qui ne fait pas partie de l'alphabet du genre un << y >> avec une double barre horizontale. Quand je les kill ou les supprime, d'autres apparaissent ; parfois, ils disparaissent trop vite d'eux-mêmes.
o Il me bouffe une grosse partie de ce qui me restait de libre sur C:.
o Autres ...
J'ai fait des recherches sur le web sur la description des virus, mais rien ne me correspond complètement et je ne trouve pas de Fix adapté (ou alors je n'ai pas vu que c'était ce que je cherchais).
Virus recensés :
- par AVast :
o principalement Win32:Sality-AB : apparemment, il modifie tous les exe et leur rajoute du code qui fait une taille fixe (quelque chose comme 50 Ko, je crois) et je ne peux pas mettre tous mes *. exe en quarantaine (et je ne crois pas qu'elle marche) ; je pourrais recopier les *.exe qui se trouvent sur mes sauvegardes, mais je pense que j'irais moins vite que le virus et que, dans certains cas, je n'aurais pas les droits et que le virus pourra ainsi continuer à se propager ; en plus, le 1er jour, j'avais 900 fichiers infectés (à 99 % sur C:), le 2ème, 1700 fichiers infectés (99 % sur C: et D:), mais il commençait déjà à infecter mon disque dur externe (F:).
o Win32:Poebot-I [Trj]
o Win32:Agent-JOH [Trj]
o Win32:Agent-FSP [Trj]
o Win32:Conhook-AV [Trj]
o Win32:Rbot-DRE [Wrm] : lui, je l'ai trouvé nulle part répertorié.
o Un fichier C:\a.exe qui est un copie de delsim.exe que j'efface et qui réapparaît.
Me conseillez-vous de télécharger et d'installer Zone Alarm ? Je sens que la réponse va être oui.
Que dois-je faire ?
Si quelqu'un pouvait me proposer des scripts shell (c'est plus rapide quand j'essaye d'effacer les trucs à la main), j'ai une vieille version de cygwin.
J'ai dû oublier des problèmes/questions, je complèterais.
Merci encore par avance.
Bonjour,
Merci par avance à ceux qui voudront bien m'aider.
J'ai un PC un peu âgé (hors garantie) et physiquement assez malade (plus de lecteur CD) sous Windows XP.
Je ne suis connectée à internet que depuis une semaine et, depuis 2 jours (le 7/08), j'ai une floppée de virus qui s'amusent à qui mieux mieux et me font péter les plombs.
Quand j'efface/je tue des process/fichiers/dll/etc. qui sont clairement << pas clairs >>, leurs copains reviennent 10 fois plus vite ...
Avant de me << lancer >> sur Internet, j'avais fais une double sauvegarde de mes données sur un disque externe qui commence lui aussi à être infecté :
- 1) par Norton Ghost, mais je ne peux pas faire une restauration puisqu'il faut booter sur CD
- 2) un copy-paste un peu crade des 2 disques C: et D:, ça me permet de vérifier les << pas clairs >> de plus haut
et j'avais installé Norton Anti-Virus, mais je ne l'avais ni activé (j'avais 15 jours pour le faire), ni mis à jour.
Je soupçonne qu'un virus s'est attaqué à lui (ou alors je suis parano), car, au bout du 6ème jour, il a expiré et je n'arrive plus à l'activer (à moins q ce soit parce que maintenant je suis en Mode Sans Echec avec réseau). Donc, comme il faisait apparemment un peu office de FireWall, je n'ai plus de FireWall.
Depuis, j'ai installé AVast (le 7/08), mais, comme le système était déjà infecté, il ne pourra me créer de VRDB comme référence et, quand je lui demande de réparer un fichier, JAMAIS il n'y arrive. En plus, il semble qu'il y ait un problème avec la config de la Zone de Quarantaine (ou alors, c'est parce que je suis en Mode Sans Echec).
J'ai essayé de corriger des trucs avec HijackThis.exe, mais, maintenant il ne marche plus, je vais le retélécharger en le renommant.
Quelques-uns des symptômes, mais je vais en oublier :
o Au début, au démarrage, le Bureau ne s'affichait pas et explorer.exe prenait toute la CPU, je le killais et le démarrage pouvait continuer ; soit maintenant le problème est réglé, soit, comme je suis en mode sans échec, ça n'apparaît plus.
o J'ai eu aussi un reboot forcé par quelque chose comme << NT_AUTHORITY\SYSTEM >>. Maintenant, j'utilise << shutdown -a >>.
o Après, à chaque fois que je redémarrais, au bout de 3-4 minutes (ça laisse pas beaucoup de temps pour faire grand chose), j'avais un écran bleu ; depuis je ne redémarre plus que en Mode Sans Echec (avec réseau).
o Plus de son et des bips bizarres de temps en temps : je soupçonne delsim.
o Des dll avec des noms bizarres : lettres redoublées, des process avec des noms bizarres (ils contiennent un caractère qui ne fait pas partie de l'alphabet du genre un << y >> avec une double barre horizontale. Quand je les kill ou les supprime, d'autres apparaissent ; parfois, ils disparaissent trop vite d'eux-mêmes.
o Il me bouffe une grosse partie de ce qui me restait de libre sur C:.
o Autres ...
J'ai fait des recherches sur le web sur la description des virus, mais rien ne me correspond complètement et je ne trouve pas de Fix adapté (ou alors je n'ai pas vu que c'était ce que je cherchais).
Virus recensés :
- par AVast :
o principalement Win32:Sality-AB : apparemment, il modifie tous les exe et leur rajoute du code qui fait une taille fixe (quelque chose comme 50 Ko, je crois) et je ne peux pas mettre tous mes *. exe en quarantaine (et je ne crois pas qu'elle marche) ; je pourrais recopier les *.exe qui se trouvent sur mes sauvegardes, mais je pense que j'irais moins vite que le virus et que, dans certains cas, je n'aurais pas les droits et que le virus pourra ainsi continuer à se propager ; en plus, le 1er jour, j'avais 900 fichiers infectés (à 99 % sur C:), le 2ème, 1700 fichiers infectés (99 % sur C: et D:), mais il commençait déjà à infecter mon disque dur externe (F:).
o Win32:Poebot-I [Trj]
o Win32:Agent-JOH [Trj]
o Win32:Agent-FSP [Trj]
o Win32:Conhook-AV [Trj]
o Win32:Rbot-DRE [Wrm] : lui, je l'ai trouvé nulle part répertorié.
o Un fichier C:\a.exe qui est un copie de delsim.exe que j'efface et qui réapparaît.
Me conseillez-vous de télécharger et d'installer Zone Alarm ? Je sens que la réponse va être oui.
Que dois-je faire ?
Si quelqu'un pouvait me proposer des scripts shell (c'est plus rapide quand j'essaye d'effacer les trucs à la main), j'ai une vieille version de cygwin.
J'ai dû oublier des problèmes/questions, je complèterais.
Merci encore par avance.
A voir également:
- Au secours ! Les virus font la teuf chez moi
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
105 réponses
Salut,
Lol, Afideg, t'inquiètes pas pour ma survie, d'autant plus que c'est moi qui ait demandé ces rapports :-)
Merci pour la synthèse en tout cas !
Bah non je ne suis pas encore mort, mais bordélique seulement lol d'ou le temps necessaire pour regrouper les infos dont j'ai besoin, mais aussi en parallèle le temps de continuer les tests en VM avec plusieurs variantes de sality, histoire de ne pas me contenter de théories et vérifier mes manips avant de les proposer à Gail.
Du coup lol, j'aurai ensuite presque plus assez de temps pour venir vous répondre !, donc désolé par avance pour les (très, très...) grand coups de canifs aux réponses à tes questions Gail, ce n'est pas faute de vouloir mais de pouvoir surtout.
Bon ceci dit Gail, on va refaire une dernière tentative avec Icesword si tu veux bien, en augmentant d'un cran la ruse :-):
(j'y tiens car sans ce prog
Télécharges IceSword.com et FileReg.icp
et enregistres-les tout les deux dans le même dossier.
(Normallement sality ne s'attaque pas au *.com et l'exe ainsi renommé continue de fonctionner malgrès le changement d'extension).
Télécharges autoruns.com
Ensuite, hors connexion internet:
1/
Nettoyage des fichiers temporaires avec Killbox
Lance KillBox.exe.
Dans le menu clic sur [Tools] puis sur "delete temp files"
Puis clic sur [option] et clic sur "Process all profiles"
Et enfin, clic sur le bouton [Delete selected Temps Files]
2/
Lances autorun.com
Dans le menu option, clic sur "Hide microsoft entries" puis clic sur F5 pour rafraichir la liste
Clic sur l'onglet "Logon" et décoches les cases devant:
Clic sur l'onglet services et décoches les cases devant:
3/
Passages des 3 tools anti-bobax.(j'avais fini par les oublier ces trois là !)
(si un reboot est demandé pour finaliser, autorises-le car ça sert à pouvoir "finir" de supprimer certains fichiers infectieux.)
4/
Reboote le pc en mode normal, (et en mode furtif pour toi :-p, retiens ton clic gauche de souris même si ça te démange de faire quelques tests ou essais.) et assures toi d'avoir fermé ta connexion au net, pour retenter d'initialiser Icesword.
a) Si enfin il veut bien marcher...Passes à l'étape 5
b) S'il ne marche pas...Baffes-le de ma part lol
5/
Reboote en mode sans echec et sans le net.
6/
De retour en mode sans echec:
Ne lance que vlc pour ton ventilo et rien d'autre.
a) Si icesword fonctionne:
Lances-le puis clic sur "Process"
Pour chaque processus listés:
Clic droit dessus puis clic sur "Module information"
Tu verras apparaitre une liste de dll.
Si dans cette liste tu vois:
wmimgr32.dll et/ou win53861.dll (win[0-9].dll)
Fais un clic-droit dessus et clic sur le bouton "Unload"
Soit dit en passant, fais très attention avec cette option à ne pas "Unloader" à l'aveuglette sous peine d'écran bleu immédiat...
Cette action les déchargera de la mémoire du processus et va faciliter le travail de l'anti-Sality.
Par exemple, saches que si un seul processus actif a wmimgr32.dll en mémoire :
rmsality et sauf erreur de ma part, ne scanne pas la mémoire des progs actifs et donc n'empêchera pas ensuite si par un excès de confiance tu vois que tel ou tel processus a été cleané et le lance, de réinfecter l'exe en question et donc de reprovoquer une infection en cascade.
Le problème étant que les *.exe déjà scannés une fois, ne pourront être désinfectés qu'au scan suivant...et le serpent se mord la queue...
D'ou mes "Grrr !!!" quand je te lis avoir lancé tel ou tel progs pour voir s'il fonctionnait... Bah je comprend... :-)
Une fois fait, referme icesword
b) Si icesword n'a pas fonctionné passe directement à l'étape 7
7/
Dans l'absolu, l'idéal serait que tu puisses si tu as accès au bureau:
Ne pas passer par un programme tiers pour en lancer un autre. (exemple: le taskmanager; laisses les tools que tu utilises pour l'instant sur le bureau pour plus de facilité d'accès).
Passer ensuite rmsality autant de fois que nécessaire (ne sauvegarde pas les rapports, pour ne pas ouvrir notepad ou wordpad), jusqu'à ce qu'il ne trouve plus rien.
Celon que tu aies pu faire l'étape 6 ou pas, ça prendra de 2 à X scans...
Une fois les scan terminés, ne lancer aucuns processus ou programme, mais juste redemarrer le pc (toujours en mode sans echec et sans l'accès au net).
Après reboot, tu recherches et supprime les wmimgr32.dll et win[0-9].dll et refais un scan de contrôle avec rmsality puis tu reboot aussitôt.
Si au reboot suivant, le dernier scan de contrôle de rmsality est clean, il y aura de forte chances que tu aies pu éradiquer Sality.
Sauf, s'il reste et dans l'optique d'un redemarrage en mode normal, des fichiers non cleanés qui se lancent au démarrage, d'ou la prise de risque avec l'étape autorun.com et les désactivations pour éviter au maximum tout réinfection.
8/
Re-nettoyage des fichiers temporaires avec killbox.
___________________
Question : La nuit porte conseil ... ! ? [En vrai, j'étais pas encore couchée ...]
Est-ce que ça vaudrait pas le coup, maintenant qu'il semblerait que je n'ai plus d'écran bleu et avec ta proposition, moe, de désactiver tous les services (mais du coup, les virus auront peut-être plus de CPU et j'aurai de nouveau l'écran bleu), est-ce que ça vaudrait pas le coup, je disais, d'installer Kerio, histoire que j'ai un firewall pour limiter les problèmes
Bien sur qu'il faudra que tu installes un firewall, mais perso je ne te le conseille pas tant que le pc sera infecté par Sality ou bobax, notament à cause de la corruption des fichiers Kério que ça pourrait engendrer et les messages d'erreurs ou disfonctionnements qui ne feraient que le rendre inutilisable au final.
Tout va dépendre en fait du nombre de fois ou il va falloir botter le cul à Sality et bobax (et surtout d'y arriver une bonne fois pour toute lol) avant de pouvoir pousser un grand ouf et envisager sereinement l'installation de programmes.
Maintenant si tu y tiens vraiment par rapport aux menaces de free, oublies ce que je viens de dire, t'inquiètes je comprendrais très bien que tu le fasses.
Question : Plutôt que tu te prennes la tête à faire tout plein de copier-coller pour faire des scripts personnalisés, est-ce qu'il y aurait pas un moyen de récupérer tous les fichiers qui sont, par exemple, plus récents que le 12/08/07 et de les mettre dans une liste, puis de regarder cette liste, virer ce qui correspond aux anti-virus/tools/etc (ça doit faire moins de 10 %, surtout si on parle de C:\WINDOWS\system32) et, après de la passer, par exemple, à The Avenger ???
C'est une très bonne idée, et au moins ça pourrait déjà cibler une bonne majorité de choses à supprimer.
Ca ne me dérange pas sinon de bosser d'après les rapports de scans que tu m'as envoyé et tes remarques perso.
Pour l'instant je souhaiterais juste t'éviter au maximum l'utilisation de *.exe et via mes scripts dégager le terrain pour plus tard tout en jonglant avec l'erradication d'autres infections que celles qu'on essaye de traiter en urgence.
Ce sera très utile en tout cas, mais un peu plus tard. :-)
Pour Cygwin, est-ce que tu as essayé de remplacer absolument tous les exe du dossier Cygwin et de ses sous-dossiers, par ceux de ta sauvegarde ?
Lors de tests j'ai eu le même problème avec un ou deux programmes que j'avais été obligé de réinstaller n'ayant pas de backups à disposition, apparement et dans mon cas le nettoyage de certains *.exe n'avait pas complètement fonctionné pour je ne sais quelle raison, et donc l'exe même après nettoyage est resté corrompu.
Au fait, qu'est-ce qui te poses problème avec la commande find ?
Bon appétit à vous deux, je file manger un bout de je-sais-pas-quoi-encore.
Je repasserais dans la soirée voir ce qu'à donné le rapport Avenger.
A plus tard !
PS:
Question : La nuit porte conseil ... ! ?
Tss ... D'habitude la nuit porte sommeil juste avant de porter conseil, non ?... :-)
Lol, Afideg, t'inquiètes pas pour ma survie, d'autant plus que c'est moi qui ait demandé ces rapports :-)
Merci pour la synthèse en tout cas !
Bah non je ne suis pas encore mort, mais bordélique seulement lol d'ou le temps necessaire pour regrouper les infos dont j'ai besoin, mais aussi en parallèle le temps de continuer les tests en VM avec plusieurs variantes de sality, histoire de ne pas me contenter de théories et vérifier mes manips avant de les proposer à Gail.
Du coup lol, j'aurai ensuite presque plus assez de temps pour venir vous répondre !, donc désolé par avance pour les (très, très...) grand coups de canifs aux réponses à tes questions Gail, ce n'est pas faute de vouloir mais de pouvoir surtout.
Bon ceci dit Gail, on va refaire une dernière tentative avec Icesword si tu veux bien, en augmentant d'un cran la ruse :-):
(j'y tiens car sans ce prog
Télécharges IceSword.com et FileReg.icp
et enregistres-les tout les deux dans le même dossier.
(Normallement sality ne s'attaque pas au *.com et l'exe ainsi renommé continue de fonctionner malgrès le changement d'extension).
Télécharges autoruns.com
Ensuite, hors connexion internet:
1/
Nettoyage des fichiers temporaires avec Killbox
Lance KillBox.exe.
Dans le menu clic sur [Tools] puis sur "delete temp files"
Puis clic sur [option] et clic sur "Process all profiles"
Et enfin, clic sur le bouton [Delete selected Temps Files]
2/
Lances autorun.com
Dans le menu option, clic sur "Hide microsoft entries" puis clic sur F5 pour rafraichir la liste
Clic sur l'onglet "Logon" et décoches les cases devant:
[NvCplDaemon] [nwiz] [00THotkey] [000StTHK] [Tpwrtray]E [TosHKCW.exe] [TFNF5] [Apoint] [TouchED] [QuickTime Task] [DAEMON Tools-1033] [WLANSTA.EXE] [TkBellExe] [Norton Ghost 9.0] [ccApp] [SSC_UserPrompt] [avast!] [avgnt] [!AVG Anti-Spyware] [xMbZYI\wavVaYJ`IaatLx] [Service Host] C:\DOCUME~1\XANTOP~1\LOCALS~1\Temp\winooesà.exe [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\rxjwicjvzeiyi.exe [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background wkcalrem.LNK Microsoft Office.lnk
Clic sur l'onglet services et décoches les cases devant:
AntiVir PersonalEdition Classic Scheduler (ou AntiVirScheduler) AntiVir PersonalEdition Classic Guard (ou AntiVirServiceClassic) avast! iAVS4 Control Service avast! Antivirus avast! Mail Scanner avast! Web Scanner Symantec Event Manager Symantec Settings Manager Norton AntiVirus Auto-Protect Service Norton AntiVirus Firewall Monitor Service Norton Protection Center Service Symantec AVScan Symantec Network Drivers Service SPBBCSvc Symantec Core
3/
Passages des 3 tools anti-bobax.(j'avais fini par les oublier ces trois là !)
(si un reboot est demandé pour finaliser, autorises-le car ça sert à pouvoir "finir" de supprimer certains fichiers infectieux.)
4/
Reboote le pc en mode normal, (et en mode furtif pour toi :-p, retiens ton clic gauche de souris même si ça te démange de faire quelques tests ou essais.) et assures toi d'avoir fermé ta connexion au net, pour retenter d'initialiser Icesword.
a) Si enfin il veut bien marcher...Passes à l'étape 5
b) S'il ne marche pas...Baffes-le de ma part lol
5/
Reboote en mode sans echec et sans le net.
6/
De retour en mode sans echec:
Ne lance que vlc pour ton ventilo et rien d'autre.
a) Si icesword fonctionne:
Lances-le puis clic sur "Process"
Pour chaque processus listés:
Clic droit dessus puis clic sur "Module information"
Tu verras apparaitre une liste de dll.
Si dans cette liste tu vois:
wmimgr32.dll et/ou win53861.dll (win[0-9].dll)
Fais un clic-droit dessus et clic sur le bouton "Unload"
Soit dit en passant, fais très attention avec cette option à ne pas "Unloader" à l'aveuglette sous peine d'écran bleu immédiat...
Cette action les déchargera de la mémoire du processus et va faciliter le travail de l'anti-Sality.
Par exemple, saches que si un seul processus actif a wmimgr32.dll en mémoire :
rmsality et sauf erreur de ma part, ne scanne pas la mémoire des progs actifs et donc n'empêchera pas ensuite si par un excès de confiance tu vois que tel ou tel processus a été cleané et le lance, de réinfecter l'exe en question et donc de reprovoquer une infection en cascade.
Le problème étant que les *.exe déjà scannés une fois, ne pourront être désinfectés qu'au scan suivant...et le serpent se mord la queue...
D'ou mes "Grrr !!!" quand je te lis avoir lancé tel ou tel progs pour voir s'il fonctionnait... Bah je comprend... :-)
Une fois fait, referme icesword
b) Si icesword n'a pas fonctionné passe directement à l'étape 7
7/
Dans l'absolu, l'idéal serait que tu puisses si tu as accès au bureau:
Ne pas passer par un programme tiers pour en lancer un autre. (exemple: le taskmanager; laisses les tools que tu utilises pour l'instant sur le bureau pour plus de facilité d'accès).
Passer ensuite rmsality autant de fois que nécessaire (ne sauvegarde pas les rapports, pour ne pas ouvrir notepad ou wordpad), jusqu'à ce qu'il ne trouve plus rien.
Celon que tu aies pu faire l'étape 6 ou pas, ça prendra de 2 à X scans...
Une fois les scan terminés, ne lancer aucuns processus ou programme, mais juste redemarrer le pc (toujours en mode sans echec et sans l'accès au net).
Après reboot, tu recherches et supprime les wmimgr32.dll et win[0-9].dll et refais un scan de contrôle avec rmsality puis tu reboot aussitôt.
Si au reboot suivant, le dernier scan de contrôle de rmsality est clean, il y aura de forte chances que tu aies pu éradiquer Sality.
Sauf, s'il reste et dans l'optique d'un redemarrage en mode normal, des fichiers non cleanés qui se lancent au démarrage, d'ou la prise de risque avec l'étape autorun.com et les désactivations pour éviter au maximum tout réinfection.
8/
Re-nettoyage des fichiers temporaires avec killbox.
___________________
Question : La nuit porte conseil ... ! ? [En vrai, j'étais pas encore couchée ...]
Est-ce que ça vaudrait pas le coup, maintenant qu'il semblerait que je n'ai plus d'écran bleu et avec ta proposition, moe, de désactiver tous les services (mais du coup, les virus auront peut-être plus de CPU et j'aurai de nouveau l'écran bleu), est-ce que ça vaudrait pas le coup, je disais, d'installer Kerio, histoire que j'ai un firewall pour limiter les problèmes
Bien sur qu'il faudra que tu installes un firewall, mais perso je ne te le conseille pas tant que le pc sera infecté par Sality ou bobax, notament à cause de la corruption des fichiers Kério que ça pourrait engendrer et les messages d'erreurs ou disfonctionnements qui ne feraient que le rendre inutilisable au final.
Tout va dépendre en fait du nombre de fois ou il va falloir botter le cul à Sality et bobax (et surtout d'y arriver une bonne fois pour toute lol) avant de pouvoir pousser un grand ouf et envisager sereinement l'installation de programmes.
Maintenant si tu y tiens vraiment par rapport aux menaces de free, oublies ce que je viens de dire, t'inquiètes je comprendrais très bien que tu le fasses.
Question : Plutôt que tu te prennes la tête à faire tout plein de copier-coller pour faire des scripts personnalisés, est-ce qu'il y aurait pas un moyen de récupérer tous les fichiers qui sont, par exemple, plus récents que le 12/08/07 et de les mettre dans une liste, puis de regarder cette liste, virer ce qui correspond aux anti-virus/tools/etc (ça doit faire moins de 10 %, surtout si on parle de C:\WINDOWS\system32) et, après de la passer, par exemple, à The Avenger ???
C'est une très bonne idée, et au moins ça pourrait déjà cibler une bonne majorité de choses à supprimer.
Ca ne me dérange pas sinon de bosser d'après les rapports de scans que tu m'as envoyé et tes remarques perso.
Pour l'instant je souhaiterais juste t'éviter au maximum l'utilisation de *.exe et via mes scripts dégager le terrain pour plus tard tout en jonglant avec l'erradication d'autres infections que celles qu'on essaye de traiter en urgence.
Ce sera très utile en tout cas, mais un peu plus tard. :-)
Pour Cygwin, est-ce que tu as essayé de remplacer absolument tous les exe du dossier Cygwin et de ses sous-dossiers, par ceux de ta sauvegarde ?
Lors de tests j'ai eu le même problème avec un ou deux programmes que j'avais été obligé de réinstaller n'ayant pas de backups à disposition, apparement et dans mon cas le nettoyage de certains *.exe n'avait pas complètement fonctionné pour je ne sais quelle raison, et donc l'exe même après nettoyage est resté corrompu.
Au fait, qu'est-ce qui te poses problème avec la commande find ?
Bon appétit à vous deux, je file manger un bout de je-sais-pas-quoi-encore.
Je repasserais dans la soirée voir ce qu'à donné le rapport Avenger.
A plus tard !
PS:
Question : La nuit porte conseil ... ! ?
Tss ... D'habitude la nuit porte sommeil juste avant de porter conseil, non ?... :-)
Nouvelles questions sur la manip du < 140 > :
Questions sur les débuts de la manip (tant pis je recommencerai après) :
* Kill Box : J'avais pas l'option << Process All Profiles >>, c'est pas grave ,je l'ai fait à la main.
* autoruns.com :
Décocher [Apoint] : ça correspond au TouchPad et j'ai pas de souris, j'aurais pas de problèmes ???
Idem pour [TouchED] : Je crois que là c'est encore pire, si je l'enlève ...
Je les enlève vraiment ???
Du coup, dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, il ne me restera que :
Service Host c:\documents and settings\xantopoulos\local settings\temp\winghocu¥.exe
=> Ben, je crois que je vais l'enlever !!!
Pour la fin de la 1ère liste :
b) : Bon, c'est le cousin de celui dont je viens de parler
c), d) et e) : pas trouvés (si : il fallait pas cocher Hide Microsoft entries)
Si je regarde l'onglet << Everything >>, y'a plein de trucs avec un Image Path qui indique File Not Found, mais, comme y'en a qui semblent pas être des virus, je touche pas.
2ème liste :
Dans les services, pour avast!, j'ai trouvé que l'anti-virus (ashserv.exe) et aswUpdSv (que je vire aussi) et pas les 2 autres (avast! Mail Scanner et avast! Web Scanner), mais ça doit être parce que je les ai pas configurés ???
Ca sera facile à tout remettre après : parce qu'ils n'apparaîtront plus dans la fenêtre, si ?
Bon je vire Norton Ghost et GEARSecurity aussi et le Local Service qui correspond à C:\WINDOWS\wuauapl.exe.
Bon, il en reste 2 dans les services :
accwiz process information for Microsoft Accessibility Wizard Module c:\windows\accwiz.exe
NVSvc NVIDIA Driver Helper Service, Version 28.46 NVIDIA Corporation c:\windows\system32\nvsvc32.exe
=> Comme je sais pas, je laisse.
Euh, comment je fais pour qu'il prenne la manip en compte : Save/Exit ???.
Bon, je poste, mais je crois que je vais attendre (surtout par rapport aux drivers Toshiba pour le TouchPad : je peux me débrouiller sans souris, mais ça dépend des applis ...), puis je referai KillBox et je passerai à Bobax (tu veux pas les logs ???).
Gail.
Questions sur les débuts de la manip (tant pis je recommencerai après) :
* Kill Box : J'avais pas l'option << Process All Profiles >>, c'est pas grave ,je l'ai fait à la main.
* autoruns.com :
Décocher [Apoint] : ça correspond au TouchPad et j'ai pas de souris, j'aurais pas de problèmes ???
Idem pour [TouchED] : Je crois que là c'est encore pire, si je l'enlève ...
Je les enlève vraiment ???
Du coup, dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, il ne me restera que :
Service Host c:\documents and settings\xantopoulos\local settings\temp\winghocu¥.exe
=> Ben, je crois que je vais l'enlever !!!
Pour la fin de la 1ère liste :
a) [xMbZYI\wavVaYJ`IaatLx] b) [Service Host] C:\DOCUME~1\XANTOP~1\LOCALS~1\Temp\winooesà.exe a bis) [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\rxjwicjvzeiyi.exe c) [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background d) wkcalrem.LNK e) Microsoft Office.lnka) et a bis) : n'apparaît qu'une fois et avec un File Not Found pour Image Path
b) : Bon, c'est le cousin de celui dont je viens de parler
c), d) et e) : pas trouvés (si : il fallait pas cocher Hide Microsoft entries)
Si je regarde l'onglet << Everything >>, y'a plein de trucs avec un Image Path qui indique File Not Found, mais, comme y'en a qui semblent pas être des virus, je touche pas.
2ème liste :
Dans les services, pour avast!, j'ai trouvé que l'anti-virus (ashserv.exe) et aswUpdSv (que je vire aussi) et pas les 2 autres (avast! Mail Scanner et avast! Web Scanner), mais ça doit être parce que je les ai pas configurés ???
Ca sera facile à tout remettre après : parce qu'ils n'apparaîtront plus dans la fenêtre, si ?
Bon je vire Norton Ghost et GEARSecurity aussi et le Local Service qui correspond à C:\WINDOWS\wuauapl.exe.
Bon, il en reste 2 dans les services :
accwiz process information for Microsoft Accessibility Wizard Module c:\windows\accwiz.exe
NVSvc NVIDIA Driver Helper Service, Version 28.46 NVIDIA Corporation c:\windows\system32\nvsvc32.exe
=> Comme je sais pas, je laisse.
Euh, comment je fais pour qu'il prenne la manip en compte : Save/Exit ???.
Bon, je poste, mais je crois que je vais attendre (surtout par rapport aux drivers Toshiba pour le TouchPad : je peux me débrouiller sans souris, mais ça dépend des applis ...), puis je referai KillBox et je passerai à Bobax (tu veux pas les logs ???).
Gail.
Bonsoir/Bonjour Gail :-)
Bon je vais faire rapide, surtout si tu attends ma réponse pour te lancer.
Si tu penses que les process liés au touchpad vont poser problèmes alors laisses-les tant pis, bien que je ne les ai pas vu tourner en mode sans echec dans les divers rapports HIJACKTHIS. ;-)
=> Ben, je crois que je vais l'enlever !!!
Service Host c:\documents and settings\xantopoulos\local settings\temp\winghocu¥.exe est vérolé à 100%, donc bonne initiative :-)
d) wkcalrem.LNK
e) Microsoft Office.lnk
Effectivement, peut être que pour ceux-là il ne fallait pas masquer les entrées microsoft, fait le test en les re-rendant visibles, si jamais ces entrées n'apparaissaient toujours pas va dans demarrer > ts les programmes > démarrage et déplaces (ou supprime si ces programmes ne te sont pas utiles au démarrage) les deux raccourcis.
Pour ce qui est des services, je me suis basé sur ton dernier rapport hijackthis donc je te fais assez confiance pour adapter la liste en fonction de ceux que tu trouveras ou pas, autorun étant très fiable tu peux te baser sur ses détections.
Par contre désactive aussi:
accwiz process information for Microsoft Accessibility Wizard Module c:\windows\accwiz.exe
Je n'y avais pas fait gaffe jusqu'à maintenant mais le vrai accwiz.exe est normalement situé dans C:\windows\system32... et de plus si tu as masqué les entrées microsoft, c'est pas normal de le retrouver là, ça sent le fake et le ver à plein nez...
Je vais me renseigner un peu plus sur ce processus en attendant.
Avec autorun il n'y a rien à valider, pas de "save" ou "exit", dès que tu décoches une case la modif est immédiate.
Ensuite lorsque tu voudras réintégrer une entrée, il te suffiras de simplement recocher la case correspondante, rien ne disparaitra... C'est encore plus simple qu'hijackthis et le système de backups :-)
Si tu as du temps devant toi, tu peux tester l'activation/désactivation sur une ou deux lignes (de préférences avec Service Host...Lol tu vas me faire douter !) si tu veux.
Je repasserais surementt que demain soir très tard, d'ici là, bon courage à toi Gail et bonne "nuit"... demain matin !
ps:
Pour bobax je ne connais pas du tout les outils et donc s'ils génèrent un log, si oui, je veux bien que tu me les fasses passer, merci.
Bon je vais faire rapide, surtout si tu attends ma réponse pour te lancer.
Si tu penses que les process liés au touchpad vont poser problèmes alors laisses-les tant pis, bien que je ne les ai pas vu tourner en mode sans echec dans les divers rapports HIJACKTHIS. ;-)
=> Ben, je crois que je vais l'enlever !!!
Service Host c:\documents and settings\xantopoulos\local settings\temp\winghocu¥.exe est vérolé à 100%, donc bonne initiative :-)
d) wkcalrem.LNK
e) Microsoft Office.lnk
Effectivement, peut être que pour ceux-là il ne fallait pas masquer les entrées microsoft, fait le test en les re-rendant visibles, si jamais ces entrées n'apparaissaient toujours pas va dans demarrer > ts les programmes > démarrage et déplaces (ou supprime si ces programmes ne te sont pas utiles au démarrage) les deux raccourcis.
Pour ce qui est des services, je me suis basé sur ton dernier rapport hijackthis donc je te fais assez confiance pour adapter la liste en fonction de ceux que tu trouveras ou pas, autorun étant très fiable tu peux te baser sur ses détections.
Par contre désactive aussi:
accwiz process information for Microsoft Accessibility Wizard Module c:\windows\accwiz.exe
Je n'y avais pas fait gaffe jusqu'à maintenant mais le vrai accwiz.exe est normalement situé dans C:\windows\system32... et de plus si tu as masqué les entrées microsoft, c'est pas normal de le retrouver là, ça sent le fake et le ver à plein nez...
Je vais me renseigner un peu plus sur ce processus en attendant.
Avec autorun il n'y a rien à valider, pas de "save" ou "exit", dès que tu décoches une case la modif est immédiate.
Ensuite lorsque tu voudras réintégrer une entrée, il te suffiras de simplement recocher la case correspondante, rien ne disparaitra... C'est encore plus simple qu'hijackthis et le système de backups :-)
Si tu as du temps devant toi, tu peux tester l'activation/désactivation sur une ou deux lignes (de préférences avec Service Host...Lol tu vas me faire douter !) si tu veux.
Je repasserais surementt que demain soir très tard, d'ici là, bon courage à toi Gail et bonne "nuit"... demain matin !
ps:
Pour bobax je ne connais pas du tout les outils et donc s'ils génèrent un log, si oui, je veux bien que tu me les fasses passer, merci.
Bonsoir moe,
Oui, j'attendais, mais, c'est pas grave, j'ai fait d'autres choses en attendant (cf. plus loin).
Je vais faire comme t'as dit :
* Pour les process liés au Touchpad, j'avais pas fait gaffe qu'ils étaient pas lancés en Mode Sans Echec, donc ça veut dire que je pourrais m'en passer pendant les passages en mode normal de la manip, donc je vire, surtout que je les ai vus vérolés, je crois (et au moins un des 2 a une date récente).
* Pour les services, je laisse juste le truc NVidia (il date de 2002) ; non, je le vire : c'est un << ... Helper Service >>.
moe : Avec autorun il n'y a rien à valider, pas de "save" ou "exit", dès que tu décoches une case la modif est immédiate.
Ensuite lorsque tu voudras réintégrer une entrée, il te suffiras de simplement recocher la case correspondante, rien ne disparaitra... C'est encore plus simple qu'hijackthis et le système de backups :-)
Si tu as du temps devant toi, tu peux tester l'activation/désactivation sur une ou deux lignes (de préférences avec Service Host...Lol tu vas me faire douter !) si tu veux.
=> Ah ben oui, en effet, j'avais pas essayé Exit !!! ; j'avais pas pensé que ce serait immédiat ... (je viens de tester avec les 2 trucs Microsoft qui réapparaissent dans << Démarrage >>).
=> Bon, ben Logon et Services sont vides (tout le monde est décoché).
moe : Je repasserais surementt que demain soir très tard, d'ici là, bon courage à toi Gail et bonne "nuit"... demain matin !
=> Merci. Bon, je sais pas combien de temps ça va me prendre (il faut compter 1h30 pour rmsality et je ne sais pas combien il y en aura ... !!!)
+ Ta manip, c'est d'une traite sans passage par internet, donc ben, je reviendrais faire un compte-rendu à la fin ...
moe : Pour bobax je ne connais pas du tout les outils et donc s'ils génèrent un log, si oui, je veux bien que tu me les fasses passer, merci.
=> OK + C'est au début, donc j'aurais encore le droit d'ouvrir des Notepads.
Alors, en attendant ta réponse, comme cette histoire de Cygwin m'énerve et me laisse perplexe, je me suis dit que j'allais peut-être le télécharger et faire une 2ème install ailleurs ; je récupère le User's Guide et là, je découvre (hum !!!) au 2ème § qu'on pouvait lancer les binaires depuis le Command DOS : j'étais même au courant et j'avais jamais testé. Ben, maintenant, j'ai testé : j'ai fait quelques "commande_unix -v" et ça marchait, ça marchait tellement bien que depuis les .exe ont changé de date et ont dû se faire infecter par Sality !!! Mais rmsality devrait les nettoyer. Par contre, je peux toujours pas exécuter de scripts : tous les *sh* (bash, tcsh et sh) renvoient le même pop-up sur la mémoire.
Bonne nuit, bon Samedi et bon week-end et à je sais pas quand,
Gail.
Oui, j'attendais, mais, c'est pas grave, j'ai fait d'autres choses en attendant (cf. plus loin).
Je vais faire comme t'as dit :
* Pour les process liés au Touchpad, j'avais pas fait gaffe qu'ils étaient pas lancés en Mode Sans Echec, donc ça veut dire que je pourrais m'en passer pendant les passages en mode normal de la manip, donc je vire, surtout que je les ai vus vérolés, je crois (et au moins un des 2 a une date récente).
* Pour les services, je laisse juste le truc NVidia (il date de 2002) ; non, je le vire : c'est un << ... Helper Service >>.
moe : Avec autorun il n'y a rien à valider, pas de "save" ou "exit", dès que tu décoches une case la modif est immédiate.
Ensuite lorsque tu voudras réintégrer une entrée, il te suffiras de simplement recocher la case correspondante, rien ne disparaitra... C'est encore plus simple qu'hijackthis et le système de backups :-)
Si tu as du temps devant toi, tu peux tester l'activation/désactivation sur une ou deux lignes (de préférences avec Service Host...Lol tu vas me faire douter !) si tu veux.
=> Ah ben oui, en effet, j'avais pas essayé Exit !!! ; j'avais pas pensé que ce serait immédiat ... (je viens de tester avec les 2 trucs Microsoft qui réapparaissent dans << Démarrage >>).
=> Bon, ben Logon et Services sont vides (tout le monde est décoché).
moe : Je repasserais surementt que demain soir très tard, d'ici là, bon courage à toi Gail et bonne "nuit"... demain matin !
=> Merci. Bon, je sais pas combien de temps ça va me prendre (il faut compter 1h30 pour rmsality et je ne sais pas combien il y en aura ... !!!)
+ Ta manip, c'est d'une traite sans passage par internet, donc ben, je reviendrais faire un compte-rendu à la fin ...
moe : Pour bobax je ne connais pas du tout les outils et donc s'ils génèrent un log, si oui, je veux bien que tu me les fasses passer, merci.
=> OK + C'est au début, donc j'aurais encore le droit d'ouvrir des Notepads.
Alors, en attendant ta réponse, comme cette histoire de Cygwin m'énerve et me laisse perplexe, je me suis dit que j'allais peut-être le télécharger et faire une 2ème install ailleurs ; je récupère le User's Guide et là, je découvre (hum !!!) au 2ème § qu'on pouvait lancer les binaires depuis le Command DOS : j'étais même au courant et j'avais jamais testé. Ben, maintenant, j'ai testé : j'ai fait quelques "commande_unix -v" et ça marchait, ça marchait tellement bien que depuis les .exe ont changé de date et ont dû se faire infecter par Sality !!! Mais rmsality devrait les nettoyer. Par contre, je peux toujours pas exécuter de scripts : tous les *sh* (bash, tcsh et sh) renvoient le même pop-up sur la mémoire.
Bonne nuit, bon Samedi et bon week-end et à je sais pas quand,
Gail.
Bonjour Gail
Passe un bon week-end toi aussi et j'espère que quand tu repasseras, se sera avec des nouvelles encourageantes :-)
Prends tout le temps qu'il te faut.
A++
Passe un bon week-end toi aussi et j'espère que quand tu repasseras, se sera avec des nouvelles encourageantes :-)
Prends tout le temps qu'il te faut.
A++
Bonjour moe,
moe : avec des nouvelles encourageantes :-)
=> Tu m'as pas donné le mode d'emploi pour des << nouvelles encourageantes >> : je sais pas ce que ça veut dire.
Avertissement : En lisant la suite, tu vas hurler (mais rassures-toi, t'as déjà été vengé !), mais, si tu veux attendre Lundi pour lire, je comprendrais ... !!!
moe : Prends tout le temps qu'il te faut.
=> Vu que la manip a commencé à foirer presque dès le départ et que je me disais qu'il faudrait la recommencer, j'ai plutôt pris le minimum de temps + j'ai désobéi ...
Alors, j'en étais où ? C'est un peu le bordel dans mes notes, j'avais pas prévu un papier assez grand et j'étais punie : j'avais pas le droit au Notepad ... !
A) Ca y est : Bobax.
Comme tu n'as pas testé les anti-Bobax, je te mets un petit topo (adapté à mon cas), t'en fais ce que tu veux.
Rem. : J'utilise les << >>, soit pour les trucs dont je suis pas sûre, soit pour les expressions exactes (je crois que tu feras facilement la différence).
a) Antitest-en.exe de BitDefender
* Il commence par un scan de la mémoire (<< Memory Modules Scan >>), des fichiers des services, des applications lancées au démarrage.
Appuyer sur << Scan >>.
* A duré un tout petit moins d'1h.
* A la fin, il affiche dans sa fenêtre un << rapport >> qui a cet aspect-là :
Scan report
Folders: 9979
Files: 195030
Infected: 0
Warnings: 0
Suspicious: 0
Cleaned: 0
Deleted: 0
Cleaned at restart: 0
Deledetd at restart: 0
Unable to be cleaned: 0
=> Possibilité :
- de sauvegarder un rapport : aucune idée
- de faire un copier-coller de l'affichage : a priori, non.
b) Fixbobax.exe - Symantec W32.Bobax@mm Removal Tool 1.0.6
* A lancer de préférence en Mode Sans Echec.
Appuyer sur << Start >>.
* A duré un tout petit plus d'1h30.
* Finit par un pop-up qui résume les résultats du scan (cf. fin du rapport). [A partir de W32.Bobax@...]
=> Le rapport Fixbobax.log se trouve dans le même répertoire que l'exécutable.
Voilà la tête qu'à le log :
===============================================
===============================================
Rem. : 33 fichiers de plus ont été scannés !... ??? J'ai pas compris d'où sortaient ces 33 fichiers, s'ils venaient d'être créés ???
c) bobaxgui.com (Resolve for W32/Bobax)
* Commencer par cliquer sur l'icône << Configuration >>, puis cocher ... (ben, je sais plus ce qu'il y a par défaut !), donc - je disais - vérifier que << Ask for confirmation >>, << Search for Worm on disk >>, << Search for Worm on disk - Scan All files >> et << Verbose logging >> (ça, c'est peut-être une mauvaise idée) sont cochés. Eventuellement, changer le path du log ; le rapport par défaut créé est : C:\resolve.log. Cliquer sur l'icône << Go >>.
Il signale que je ne suis pas logguée en tant qu'Aministrator et que le virus ne sera peut-être pas complètement enlevé => J'ai quand même continué.
* Il a duré ... je sais plus (a-priori un tout petit peu moins de 2h, non, y'a une erreur sur mon papier, ça doit être 1/2 h d'après le log).
* Comment ça se finit ? Je sais plus. Il m'a fait un log de 17 Mo, dans lequel il doit lister tous les fichiers qui se trouvent sur mes disques et je sais pas ce qu'il faudrait chercher comme chaîne de caractère pour voir où il a travaillé ou bloqué !!!
Voilà la tête qu'à le log (Rassures-toi : juste le début et la fin !!!):
===============================================
=> Conclusion : Ben, je sais pas, je suppose que je suis débarrassée de Bobax : le 1er n'a rien vu, le 2ème dit qu'il a nettoyé ce qu'il a trouvé (et n'a pas trouvé grand chose) et le 3ème aurait rien trouvé ; peut-être que c'est parce que mwav est passé avant ...
+ re-KillBox parce que les 33 fichiers en plus, ça m'a pas plu.
B) << Initialisation Ice Sword >>
[Là, c'était le moment d'aller me coucher, mais j'étais (trop) curieuse de voir Ice Sword.]
[Là, mon brouillon est pas très clair, donc, c'est de mémoire et, comme j'ai dormi depuis, j'ai un peu oublié !!!]
a) Reboot -> mode normal : Je lance Ice Sword et je l'arrête (ça a dû marcher). Au moment de partir, j'ai vu un pop-up qui disait qu'une application n'avait pas pu s'initialiser et parlait de dll, mais j'ai pas eu le temps de lire.
Reboot -> Mode Sans Echec : Ice Sword ne veut pas marcher, j'étais pas contente.
[A un moment, je sais plus où, j'ai vu que j'avais oublié de mettre tes 2 fichiers (IceSword.com et FileReg.icp) dans un répertoire dédié.]
b) Reboot -> Mode Normal : J'ai marqué que j'ai eu un pop-up << Failed to create empty document. >>, mais je sais pas de qui il vient.
=> Conclusion - Ice Sword [en avance] : Ton Ice Sword, avec juste les 2 fichiers, ne marche pas chez moi et Ice Sword dézippé normalement (mais d'ailleurs, j'ai toujours pas dézippé Cooperator.zip) ne marche pas chez moi en Mode Sans Echec.
[T'as pas encore fait << Grrr !!! >> ?: patiente 10 s., ça arrive !!!]
Je tenais à faire ta manip avec Ice Sword, je me disais que c'était mieux.
Donc, j'ai regardé tous les process : à part pour le << System Idle ... >>, à chaque fois, j'avais d'abord un pop-up : << Error, get from PEB now >>.
Pour les dll, rien ne m'a sauté aux yeux.
[De mémoire,] Y'avait un << spool[/I ???]sv.exe >>, mais c'est sûrement normal.
J'ai juste unloadé << wmimgr*.dll >> de explorer.exe, y'avait pas de win[0-9]*.dll [presque sûre que je l'aurais noté sur mon papier, sinon : voilà ce que c'est de pas me laisser jouer avec Notepad !!!]
=> [Peut-être que j'ai oublié une étape.] Là, je me suis dit :
1) puisqu'il y a aucun process moche qui traîne et que seul explorer a un problème, peut-être que je pourrais faire la manip en renommant explorer.exe pour qu'il ne puisse pas se lancer au démarrage et travailler sans Bureau avec Task Manager et << Nouvelle Tâche >> (je m'étais déja débrouillée comme ça pendant pas mal de temps ...) ???
2) puisque Ice Sword ne veut bien m'honorer de sa présence qu'en mode normal et que y'a rien qui a l'air de traîner, je pourrais faire la manip en mode normal ... ???
Donc, suite de la manip : j'ai lancé rmsality ... !!! Aie ! Aie-aie-aie !!! [C'est là que t'es vengé ->] J'ai eu le droit à l'écran bleu au bout d'1 min. : j'avais pas fermé Ice Sword pour pouvoir vérifier qu'il y avait pas de sale dll dans rmsality, mais je pense que c'est pas Ice Sword, mais rmsality qui m'a fait l'écran bleu (peut-être qu'il aime pas le mode normal ... ???). [A partir de là, le ventilo a été de beaucoup moins bonne composition !!!]
Après avoir attendu 20 à 30 min qu'il vide la mémoire physique, j'ai appuyé sur On/Off et je suis allée me coucher pas très contente !!!
Boot -> Mode sans Echec (simple, sans accès au réseau) : marche pas. [Ouille !]
Off/On : Boot -> Mode sans Echec (avec accès au réseau) : marche pas. [Ouille ! Ouille !]
Boot -> Mode normal [Faîtes que ça marche !] : CHKDSK : il avait juste un problème avec hiberfil.sys (le fichier pour la mise en veille prolongée) et m'a dit << Windows a effectué des corrections sur le système de fichiers. >>. Ouf, ça marche !
Puisque j'étais en mode normal, j'en ai profité pour regarder avec Ice Sword si y'avait des sales dll qui traînaient : y'avait wmimgr*.dll dans Explorer.exe et RUNDLL32.EXE, je l'ai unloadée.
Comme j'avais déjà déconné et que je me disais qu'il me faudrait tout refaire la manip qui était encore loin d'être terminée, je me suis dit : << Tant qu'à déconner, autant déconner plein pot ... !!! >>
Donc comme j'étais là, j'en ai profité pour lancer VLC et regarder les dll qu'il chargeait (a priori RAS), puis pour remettre en place le << firewall Windows >> (même si je suis pas sûre que ça soit vraiment mieux que rien). Après ça, j'en ai encore rajouté une couche [tu vas me tuer], j'ai lancé Notepad et Simple Sudoku : Notepad était OK, mais mon pauvre petit Sudoku, il était attaqué par la méchante wmimgr*.dll ... !
+ Pour spoolsv.exe, j'ai vu << pjlmon.dll >> et << e/c[???]nbjmon.dll >> [je sais pas me relire !!!], mais j'ai pas touché.
+ Et dans svchost, il y avait, je crois et je suis pas sûre des orthographes, wuauserv.dll, wuaueng.dll, << wuaues.dll >> [ou alors juste es.dll ???], mspatcha.dll, trkwks.dll : j'ai pas touché.
Rem. : J'ai peut-être dû unloader plusieurs fois wmimgr*.dll pour explorer (je sais plus).
Là, comme je suis pas complètement, complètement folle, j'ai pas réessayé rmsality ... !!!
C) rmsality entre 2 et X fois [j'avais déjà décidé 3, mais ça a été que 2,x ... !!!]
Boot -> Mode Sans Echec :
Rem. : rmsality commence par mettre un message comme quoi il scanne la mémoire, mais ça dure pas longtemps du tout.
1er scan de rmsality : Il a cleané pas mal de trucs (combien ? je sais pas, moins de 20 %, mais j'ai pas le compas dans l'oeil)
Dans les << Cleaned >>, j'ai vu passer (pas toujours sûre des orthographes) :
* dans C:\WINDOWS\system32\ (je crois) : rundll32.exe, WLANSTA.exe, << TPowerTray.exe >>,
* C:\WINDOWS\accwiz.exe
* Wordpad
* IEXPLORE.EXE
* emule.exe
* << SimpleSudoku.exe >>
* l'arborescence de la sauvegarde de C:\Cygwin : pas mal de Cleaned
* sur le disque dur externe : pas mal de Cleaned
Dans les << OK >>, j'ai vu passer :
* NOTEPAD.EXE
* TASKMAN.EXE (on s'en fout, mais j'ai pas vu passer TaskMgr.exe
* */VideoLan/*/*... : tout OK
* C:\Cygwin\*... : j'ai rien vu passer de pas OK, alors que je sais qu'ils ont changé de date il y a 2 jours pour certains !!! (cf. un post précédent)
* NetTransport.exe
* rmsality.exe
2ème scan de rmsality
3ème scan de rmsality : J'étais en train de regarder ce qu'avait donné le 2ème scan (j'ai rien eu le temps de voir de pas OK) et de manger et j'avais pris le temps de taper sur le ventilo => Le pc s'est éteint !!!
=> Je me suis dit que toi et le PC aviez décidé, par télépathie, que 2 scans suffisaient. Comme, en plus, je me disais que je risquais de tout devoir recommencer depuis le début (cf. certaines entorses au règlement ... !!!), je suis passée à la suite de la manip.
D) Virer les méchantes dll et re-rmsality
Boot -> Mode Sans Echec :
J'ai viré wmimgr*.dll et 3-4 win[0-9]*.dll (pourquoi tu m'as pas demandé de le faire avant, quitte à aller vérifier systématiquement qu'elles étaient pas revenues ?), mais j'ai pas pensé à regarder leurs dates ...
Scan de rmsality : a priori RAS.
E) Scan de rmsality
En fait, j'aurais pu sauvegarder les rapports à chaque fois : il te demande juste le chemin et le nom, il ouvre pas de notepad.
Résultat : Tout OK, sauf les << Cannot open >> et les << Non-Std EXE >> habituels.
Et là, j'ai vu que traînait dans le Temp de mon user (C:\Documents and settings\...\Local Settings) un << win*Y.exe >> (c'est pas un << Y >>, mais un << Y >> [doublement ???] barré) qui datait de Vendredi 20h40, alors que j'avais déjà passé 2 fois min. KillBox depuis (mais, bon, maintenant, il a disparu).
Re-KillBox.
F) Conclusion :
Y'a pas l'étape << Nouvelles encourageantes >> dans ta manip : en plus, si je veux poster, faut que je me connecte et que je lance Internet Explorer + un Notepad (sans entorse au règlement, puisque j'ai fini ... !!! ??? : là, t'as pas le droit de faire << Grrr !!! >> ... !!!), parce que, si je prépare le post à l'avance, je crois que c'est moins riqué que de rester longtemps connectée ...
Je sais pas où j'en suis, comment savoir que je suis clean ?
* J'arrive pas à savoir si je peux faire confiance aux résultats de rmsality ...
* Passer mwav (ça, c'est une possibilité)
* Lancer AVast ? (Tu vas hurler, je crois que j'ai suffisamment déconné, j'ose pas pour le moment, mais je suis curieuse)
* J'ai voulu voir s'il y avait des sales dll qui traînaient, donc j'ai lancé ProcessXp (j'avais oublié que lui aussi le permettait) : j'ai vu wzcsvc.dll un peu partout (elle a pas un joli nom, mais j'ai bien l'impression qu'elle est OK) et, quand j'ai lancé IEXPLORE.EXE, j'ai vu une ligne rouge (?) éphémère qui s'appelait << BOOKOS.TSF >> ??? (j'ai pas eu le temps de lire).
* Scanner des fichiers stratégiques avec le scan en ligne que vous m'avez donné : je sais pas trop lesquels scanner ...
Je me considère pas comme optimiste, mais j'aurais plutôt tendance à dire que ça a l'air OK.
Si mes conneries ont été positives, on a qu'à dire que c'est l'intuition féminine (sinon, on dira que j'ai un mauvais 6ème sens !!! ...).
Si j'ai pas de nouvelles, j'essayerais mwav à condition que le ventilo soit de meilleure humeur.
Si tu réponds, me tue pas trop et, si tu me dis de tout refaire la manip, je comprendrais et je crois que je sais déjà que c'est de ma faute ... !!!
Bon dimanche,
Gail.
PS : Bon, ben moi, avant de me faire engueuler, je vais me coucher ... (Je crois que ça s'appelle fuir en courant !!!)
PS 2 : Merde, j'avas juste oublié un truc : system.ini ! Je viens de le re(x fois)-remettre clean ... En tout cas, tout n'est pas complètement fini ... !!!
moe : avec des nouvelles encourageantes :-)
=> Tu m'as pas donné le mode d'emploi pour des << nouvelles encourageantes >> : je sais pas ce que ça veut dire.
Avertissement : En lisant la suite, tu vas hurler (mais rassures-toi, t'as déjà été vengé !), mais, si tu veux attendre Lundi pour lire, je comprendrais ... !!!
moe : Prends tout le temps qu'il te faut.
=> Vu que la manip a commencé à foirer presque dès le départ et que je me disais qu'il faudrait la recommencer, j'ai plutôt pris le minimum de temps + j'ai désobéi ...
Alors, j'en étais où ? C'est un peu le bordel dans mes notes, j'avais pas prévu un papier assez grand et j'étais punie : j'avais pas le droit au Notepad ... !
A) Ca y est : Bobax.
Comme tu n'as pas testé les anti-Bobax, je te mets un petit topo (adapté à mon cas), t'en fais ce que tu veux.
Rem. : J'utilise les << >>, soit pour les trucs dont je suis pas sûre, soit pour les expressions exactes (je crois que tu feras facilement la différence).
a) Antitest-en.exe de BitDefender
* Il commence par un scan de la mémoire (<< Memory Modules Scan >>), des fichiers des services, des applications lancées au démarrage.
Appuyer sur << Scan >>.
* A duré un tout petit moins d'1h.
* A la fin, il affiche dans sa fenêtre un << rapport >> qui a cet aspect-là :
Scan report
Folders: 9979
Files: 195030
Infected: 0
Warnings: 0
Suspicious: 0
Cleaned: 0
Deleted: 0
Cleaned at restart: 0
Deledetd at restart: 0
Unable to be cleaned: 0
=> Possibilité :
- de sauvegarder un rapport : aucune idée
- de faire un copier-coller de l'affichage : a priori, non.
b) Fixbobax.exe - Symantec W32.Bobax@mm Removal Tool 1.0.6
* A lancer de préférence en Mode Sans Echec.
Appuyer sur << Start >>.
* A duré un tout petit plus d'1h30.
* Finit par un pop-up qui résume les résultats du scan (cf. fin du rapport). [A partir de W32.Bobax@...]
=> Le rapport Fixbobax.log se trouve dans le même répertoire que l'exécutable.
Voilà la tête qu'à le log :
===============================================
Symantec W32.Bobax@mm Removal Tool 1.0.6 C:\WINDOWS\system32\nwiz.exe: W32.Bobax!dr (repaired) C:\WINDOWS\system32\000StTHK.exe: W32.Bobax!dr (repaired) C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe: W32.Bobax!dr (repaired) D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe: W32.Bobax!dr (repaired) D:\Internet\eMule\emule.exe: W32.Bobax!dr (repaired) C:\WINDOWS\System32\drivers\etc\hosts: (repaired) W32.Bobax@mm has been successfully removed from your computer! Here is the report: The total number of the scanned files: 195066 The number of deleted threat files: 0 The number of repaired files: 6 The number of threat processes terminated: 0 The number of threat threads terminated: 0 The number of registry entries fixed: 0
===============================================
Rem. : 33 fichiers de plus ont été scannés !... ??? J'ai pas compris d'où sortaient ces 33 fichiers, s'ils venaient d'être créés ???
c) bobaxgui.com (Resolve for W32/Bobax)
* Commencer par cliquer sur l'icône << Configuration >>, puis cocher ... (ben, je sais plus ce qu'il y a par défaut !), donc - je disais - vérifier que << Ask for confirmation >>, << Search for Worm on disk >>, << Search for Worm on disk - Scan All files >> et << Verbose logging >> (ça, c'est peut-être une mauvaise idée) sont cochés. Eventuellement, changer le path du log ; le rapport par défaut créé est : C:\resolve.log. Cliquer sur l'icône << Go >>.
Il signale que je ne suis pas logguée en tant qu'Aministrator et que le virus ne sera peut-être pas complètement enlevé => J'ai quand même continué.
* Il a duré ... je sais plus (a-priori un tout petit peu moins de 2h, non, y'a une erreur sur mon papier, ça doit être 1/2 h d'après le log).
* Comment ça se finit ? Je sais plus. Il m'a fait un log de 17 Mo, dans lequel il doit lister tous les fichiers qui se trouvent sur mes disques et je sais pas ce qu'il faudrait chercher comme chaîne de caractère pour voir où il a travaillé ou bloqué !!!
Voilà la tête qu'à le log (Rassures-toi : juste le début et la fin !!!):
===============================================
RESOLVE Version 1.07 Copyright (c) 2004, Sophos Plc, www.sophos.com System disinfection for W32/Bobax Data Version 1.01 System scan started at 06:15 on 25 August 2007 Checking for W32/Bobax in memory Checking for files affected by W32/Bobax Scanning C: C:\I386\_DEFAULT.PI_ [... : suit la liste de tous mes fichiers] Checking for registry keys affected by W32/Bobax Scanning C:\WINDOWS\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts System scan finished at 06:41 on 25 August 2007 Processes found : 0 Processes terminated : 0 Registry keys affected : 0 Registry keys changed : 0 Files found : 0 Files deleted : 0===============================================
=> Conclusion : Ben, je sais pas, je suppose que je suis débarrassée de Bobax : le 1er n'a rien vu, le 2ème dit qu'il a nettoyé ce qu'il a trouvé (et n'a pas trouvé grand chose) et le 3ème aurait rien trouvé ; peut-être que c'est parce que mwav est passé avant ...
+ re-KillBox parce que les 33 fichiers en plus, ça m'a pas plu.
B) << Initialisation Ice Sword >>
[Là, c'était le moment d'aller me coucher, mais j'étais (trop) curieuse de voir Ice Sword.]
[Là, mon brouillon est pas très clair, donc, c'est de mémoire et, comme j'ai dormi depuis, j'ai un peu oublié !!!]
a) Reboot -> mode normal : Je lance Ice Sword et je l'arrête (ça a dû marcher). Au moment de partir, j'ai vu un pop-up qui disait qu'une application n'avait pas pu s'initialiser et parlait de dll, mais j'ai pas eu le temps de lire.
Reboot -> Mode Sans Echec : Ice Sword ne veut pas marcher, j'étais pas contente.
[A un moment, je sais plus où, j'ai vu que j'avais oublié de mettre tes 2 fichiers (IceSword.com et FileReg.icp) dans un répertoire dédié.]
b) Reboot -> Mode Normal : J'ai marqué que j'ai eu un pop-up << Failed to create empty document. >>, mais je sais pas de qui il vient.
=> Conclusion - Ice Sword [en avance] : Ton Ice Sword, avec juste les 2 fichiers, ne marche pas chez moi et Ice Sword dézippé normalement (mais d'ailleurs, j'ai toujours pas dézippé Cooperator.zip) ne marche pas chez moi en Mode Sans Echec.
[T'as pas encore fait << Grrr !!! >> ?: patiente 10 s., ça arrive !!!]
Je tenais à faire ta manip avec Ice Sword, je me disais que c'était mieux.
Donc, j'ai regardé tous les process : à part pour le << System Idle ... >>, à chaque fois, j'avais d'abord un pop-up : << Error, get from PEB now >>.
Pour les dll, rien ne m'a sauté aux yeux.
[De mémoire,] Y'avait un << spool[/I ???]sv.exe >>, mais c'est sûrement normal.
J'ai juste unloadé << wmimgr*.dll >> de explorer.exe, y'avait pas de win[0-9]*.dll [presque sûre que je l'aurais noté sur mon papier, sinon : voilà ce que c'est de pas me laisser jouer avec Notepad !!!]
=> [Peut-être que j'ai oublié une étape.] Là, je me suis dit :
1) puisqu'il y a aucun process moche qui traîne et que seul explorer a un problème, peut-être que je pourrais faire la manip en renommant explorer.exe pour qu'il ne puisse pas se lancer au démarrage et travailler sans Bureau avec Task Manager et << Nouvelle Tâche >> (je m'étais déja débrouillée comme ça pendant pas mal de temps ...) ???
2) puisque Ice Sword ne veut bien m'honorer de sa présence qu'en mode normal et que y'a rien qui a l'air de traîner, je pourrais faire la manip en mode normal ... ???
Donc, suite de la manip : j'ai lancé rmsality ... !!! Aie ! Aie-aie-aie !!! [C'est là que t'es vengé ->] J'ai eu le droit à l'écran bleu au bout d'1 min. : j'avais pas fermé Ice Sword pour pouvoir vérifier qu'il y avait pas de sale dll dans rmsality, mais je pense que c'est pas Ice Sword, mais rmsality qui m'a fait l'écran bleu (peut-être qu'il aime pas le mode normal ... ???). [A partir de là, le ventilo a été de beaucoup moins bonne composition !!!]
Après avoir attendu 20 à 30 min qu'il vide la mémoire physique, j'ai appuyé sur On/Off et je suis allée me coucher pas très contente !!!
Boot -> Mode sans Echec (simple, sans accès au réseau) : marche pas. [Ouille !]
Off/On : Boot -> Mode sans Echec (avec accès au réseau) : marche pas. [Ouille ! Ouille !]
Boot -> Mode normal [Faîtes que ça marche !] : CHKDSK : il avait juste un problème avec hiberfil.sys (le fichier pour la mise en veille prolongée) et m'a dit << Windows a effectué des corrections sur le système de fichiers. >>. Ouf, ça marche !
Puisque j'étais en mode normal, j'en ai profité pour regarder avec Ice Sword si y'avait des sales dll qui traînaient : y'avait wmimgr*.dll dans Explorer.exe et RUNDLL32.EXE, je l'ai unloadée.
Comme j'avais déjà déconné et que je me disais qu'il me faudrait tout refaire la manip qui était encore loin d'être terminée, je me suis dit : << Tant qu'à déconner, autant déconner plein pot ... !!! >>
Donc comme j'étais là, j'en ai profité pour lancer VLC et regarder les dll qu'il chargeait (a priori RAS), puis pour remettre en place le << firewall Windows >> (même si je suis pas sûre que ça soit vraiment mieux que rien). Après ça, j'en ai encore rajouté une couche [tu vas me tuer], j'ai lancé Notepad et Simple Sudoku : Notepad était OK, mais mon pauvre petit Sudoku, il était attaqué par la méchante wmimgr*.dll ... !
+ Pour spoolsv.exe, j'ai vu << pjlmon.dll >> et << e/c[???]nbjmon.dll >> [je sais pas me relire !!!], mais j'ai pas touché.
+ Et dans svchost, il y avait, je crois et je suis pas sûre des orthographes, wuauserv.dll, wuaueng.dll, << wuaues.dll >> [ou alors juste es.dll ???], mspatcha.dll, trkwks.dll : j'ai pas touché.
Rem. : J'ai peut-être dû unloader plusieurs fois wmimgr*.dll pour explorer (je sais plus).
Là, comme je suis pas complètement, complètement folle, j'ai pas réessayé rmsality ... !!!
C) rmsality entre 2 et X fois [j'avais déjà décidé 3, mais ça a été que 2,x ... !!!]
Boot -> Mode Sans Echec :
Rem. : rmsality commence par mettre un message comme quoi il scanne la mémoire, mais ça dure pas longtemps du tout.
1er scan de rmsality : Il a cleané pas mal de trucs (combien ? je sais pas, moins de 20 %, mais j'ai pas le compas dans l'oeil)
Dans les << Cleaned >>, j'ai vu passer (pas toujours sûre des orthographes) :
* dans C:\WINDOWS\system32\ (je crois) : rundll32.exe, WLANSTA.exe, << TPowerTray.exe >>,
* C:\WINDOWS\accwiz.exe
* Wordpad
* IEXPLORE.EXE
* emule.exe
* << SimpleSudoku.exe >>
* l'arborescence de la sauvegarde de C:\Cygwin : pas mal de Cleaned
* sur le disque dur externe : pas mal de Cleaned
Dans les << OK >>, j'ai vu passer :
* NOTEPAD.EXE
* TASKMAN.EXE (on s'en fout, mais j'ai pas vu passer TaskMgr.exe
* */VideoLan/*/*... : tout OK
* C:\Cygwin\*... : j'ai rien vu passer de pas OK, alors que je sais qu'ils ont changé de date il y a 2 jours pour certains !!! (cf. un post précédent)
* NetTransport.exe
* rmsality.exe
2ème scan de rmsality
3ème scan de rmsality : J'étais en train de regarder ce qu'avait donné le 2ème scan (j'ai rien eu le temps de voir de pas OK) et de manger et j'avais pris le temps de taper sur le ventilo => Le pc s'est éteint !!!
=> Je me suis dit que toi et le PC aviez décidé, par télépathie, que 2 scans suffisaient. Comme, en plus, je me disais que je risquais de tout devoir recommencer depuis le début (cf. certaines entorses au règlement ... !!!), je suis passée à la suite de la manip.
D) Virer les méchantes dll et re-rmsality
Boot -> Mode Sans Echec :
J'ai viré wmimgr*.dll et 3-4 win[0-9]*.dll (pourquoi tu m'as pas demandé de le faire avant, quitte à aller vérifier systématiquement qu'elles étaient pas revenues ?), mais j'ai pas pensé à regarder leurs dates ...
Scan de rmsality : a priori RAS.
E) Scan de rmsality
En fait, j'aurais pu sauvegarder les rapports à chaque fois : il te demande juste le chemin et le nom, il ouvre pas de notepad.
Résultat : Tout OK, sauf les << Cannot open >> et les << Non-Std EXE >> habituels.
Et là, j'ai vu que traînait dans le Temp de mon user (C:\Documents and settings\...\Local Settings) un << win*Y.exe >> (c'est pas un << Y >>, mais un << Y >> [doublement ???] barré) qui datait de Vendredi 20h40, alors que j'avais déjà passé 2 fois min. KillBox depuis (mais, bon, maintenant, il a disparu).
Re-KillBox.
F) Conclusion :
Y'a pas l'étape << Nouvelles encourageantes >> dans ta manip : en plus, si je veux poster, faut que je me connecte et que je lance Internet Explorer + un Notepad (sans entorse au règlement, puisque j'ai fini ... !!! ??? : là, t'as pas le droit de faire << Grrr !!! >> ... !!!), parce que, si je prépare le post à l'avance, je crois que c'est moins riqué que de rester longtemps connectée ...
Je sais pas où j'en suis, comment savoir que je suis clean ?
* J'arrive pas à savoir si je peux faire confiance aux résultats de rmsality ...
* Passer mwav (ça, c'est une possibilité)
* Lancer AVast ? (Tu vas hurler, je crois que j'ai suffisamment déconné, j'ose pas pour le moment, mais je suis curieuse)
* J'ai voulu voir s'il y avait des sales dll qui traînaient, donc j'ai lancé ProcessXp (j'avais oublié que lui aussi le permettait) : j'ai vu wzcsvc.dll un peu partout (elle a pas un joli nom, mais j'ai bien l'impression qu'elle est OK) et, quand j'ai lancé IEXPLORE.EXE, j'ai vu une ligne rouge (?) éphémère qui s'appelait << BOOKOS.TSF >> ??? (j'ai pas eu le temps de lire).
* Scanner des fichiers stratégiques avec le scan en ligne que vous m'avez donné : je sais pas trop lesquels scanner ...
Je me considère pas comme optimiste, mais j'aurais plutôt tendance à dire que ça a l'air OK.
Si mes conneries ont été positives, on a qu'à dire que c'est l'intuition féminine (sinon, on dira que j'ai un mauvais 6ème sens !!! ...).
Si j'ai pas de nouvelles, j'essayerais mwav à condition que le ventilo soit de meilleure humeur.
Si tu réponds, me tue pas trop et, si tu me dis de tout refaire la manip, je comprendrais et je crois que je sais déjà que c'est de ma faute ... !!!
Bon dimanche,
Gail.
PS : Bon, ben moi, avant de me faire engueuler, je vais me coucher ... (Je crois que ça s'appelle fuir en courant !!!)
PS 2 : Merde, j'avas juste oublié un truc : system.ini ! Je viens de le re(x fois)-remettre clean ... En tout cas, tout n'est pas complètement fini ... !!!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour Gail
Hep ! hep ! hep ! On reviens par ici !... :-)
Avertissement :
Ceci est un Grrrrrrrrrrr !!, qui à la couleur d'un Grrrr ! mais qui n'est pas un vrai Grrrr ! :-p
Lol, la couleur d'un Grrrr seulement parce que je me suis bien marré en lisant le second degré tout au long de ton message :-) et pas un vrai Grrrr ! parce que je sais très bien les difficultés avec lesquelles il faut que tu composes, Gail.
Bah, alors sincèrement pourquoi veux-tu que je t'en tiennes rigueur ?!
Ce sera donc un p'tit Grrr ! juste pour la forme :-p et parce que je savais dès le départ que ce serait difficile d'avoir à éviter quelques entorses...(c'est pas pour rien que je parlais d'absolu et de conditions idéales pour les manips :-) )
Bon,
Déjà merci pour les précisions sur les tools pour Bobax, effectivement j'avais pas pu les tester et donc te donner pour chacun la marche à suivre, mais je vois que tu t'es très bien adaptée à leur utilisation.
Apparement le résultat à l'air assez encourageant,(j'ai pas encore fait la comparaison avec le rapport mwav) reste juste à savoir si via hijackthis ou autorun une ou plusieurs lignes du genre:
[xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\rxjwicjvzeiyi.exe
N'ont pas réapparues ainsi que sur le dur, le processus qui leur est associé.
Ca indiquerait qu'après les divers reboots successifs qui ont suivis, il n'y a pas eu réinfection et donc qu'on peut être assez confiant sur son éradication.
B) Ice Sword
Si j'ai bien tout compris et pour faire court, Icesword ne passe qu'en mode normal (Le pop-up "Error, get from PEB now" est normal, au fait) et pas en sans echec.
Du coup en lisant tes péripéties avec icesword et les pistes que tu proposes en fonction de tes observations, je pense que ça vaudrait le coup de tenter un nettoyage en mode normal, même si ta première tentative s'est soldé par un écran bleu.
En fait je trouve que tu as très bien intuité (Conneries c'est très réducteur et pas du tout le reflet de la réalité ... on dira plutôt que c'est du au 6ème sens qui est particulier à l'intution féminine lol) en essayant de t'adapter à la situation et tu as peut-être mis le doigt sur une possible solution à tester:
Tu es partante pour tester ?
Conclusion :
Je ne te cacherais pas que c'est difficile, au vu de tous ce que tu as du faire en plus de ce qui était prévu, de pouvoir te dire exactement si on avance dans le bon sens ou pas.
Néanmoins, j'ai quand même la même impression que toi sur deux points:
Il y a l'air d'y avoir du mieux sur quelques points et certains sont très positifs (accès au bureau, au mode normal, etc...).
Et va falloir, histoire de faire un bilan et un point concret, prendre le risque de faire un scan AV en ligne.
Donc, voilà ce que je te propose :
Hors connexion (cable débranché) :
1/ De tester la manip avec icesword en mode normal.
(Si de nouveau il y a écran bleu, laisse tomber et passe au 2/)
Connectée ,:
2/ De faire un scan complet (sans grincer des dents, vu le temps que ça risque de demander...) ici https://www.kaspersky.fr/downloads
(comme cible d'analyse tu choisiras "My computer")
3/ Poster sur le forum le rapport Kaspersky + un rapport hijackthis fait de cette façon:
Pour la suite possible, en fonction du résultat du scan Kaspersky :
- Traiter les infections restantes (Si Saliy/bobax ont eu chacun droit à un grand coup de pied au cul)
- Envisager l'installation d'un pare feu (si aucunes détections Sality/Bobax, hormis les points de restau système qui ne gèneront pas)
- Désinstaller Avast
- Retélécharger et réinstaller Antivir (Sauf si Kaspersky, ne mentionne aucun de ses processus infectés)
- Mettre à jour Antivir
- Scanner en local (hors connexion) avec Antivir.
Bon dimanche à toi aussi Gail, et vu l'heure qu'il est... Douce nuit.
A+
ps:
BOOKOS.TSF = illustre inconnu sur google...
A suivre
spoolIsv.exe ('i' majuscule) :
Il correspond à w32/Poebot. (Dès que l'infection sality est réactivée, elle télécharge et installe systématiquement Poebot, qui lui, et dans mon cas, à téléchargé le dialer delsim...)
A killer et supprimer.
Hep ! hep ! hep ! On reviens par ici !... :-)
Avertissement :
Ceci est un Grrrrrrrrrrr !!, qui à la couleur d'un Grrrr ! mais qui n'est pas un vrai Grrrr ! :-p
Lol, la couleur d'un Grrrr seulement parce que je me suis bien marré en lisant le second degré tout au long de ton message :-) et pas un vrai Grrrr ! parce que je sais très bien les difficultés avec lesquelles il faut que tu composes, Gail.
Bah, alors sincèrement pourquoi veux-tu que je t'en tiennes rigueur ?!
Ce sera donc un p'tit Grrr ! juste pour la forme :-p et parce que je savais dès le départ que ce serait difficile d'avoir à éviter quelques entorses...(c'est pas pour rien que je parlais d'absolu et de conditions idéales pour les manips :-) )
Bon,
Déjà merci pour les précisions sur les tools pour Bobax, effectivement j'avais pas pu les tester et donc te donner pour chacun la marche à suivre, mais je vois que tu t'es très bien adaptée à leur utilisation.
Apparement le résultat à l'air assez encourageant,(j'ai pas encore fait la comparaison avec le rapport mwav) reste juste à savoir si via hijackthis ou autorun une ou plusieurs lignes du genre:
[xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\rxjwicjvzeiyi.exe
N'ont pas réapparues ainsi que sur le dur, le processus qui leur est associé.
Ca indiquerait qu'après les divers reboots successifs qui ont suivis, il n'y a pas eu réinfection et donc qu'on peut être assez confiant sur son éradication.
B) Ice Sword
Si j'ai bien tout compris et pour faire court, Icesword ne passe qu'en mode normal (Le pop-up "Error, get from PEB now" est normal, au fait) et pas en sans echec.
Du coup en lisant tes péripéties avec icesword et les pistes que tu proposes en fonction de tes observations, je pense que ça vaudrait le coup de tenter un nettoyage en mode normal, même si ta première tentative s'est soldé par un écran bleu.
En fait je trouve que tu as très bien intuité (Conneries c'est très réducteur et pas du tout le reflet de la réalité ... on dira plutôt que c'est du au 6ème sens qui est particulier à l'intution féminine lol) en essayant de t'adapter à la situation et tu as peut-être mis le doigt sur une possible solution à tester:
- Hors connexion - Via icesword: unloader wmimgr*.dll et win[0-9]*.dll de tous les processus actifs qui les auraient en mémoire. - Refermer Icesword - Tenter au moins deux scans rmsality (si le second est clean, pas besoin de troisième..) - Rechercher et supprimer wmimgr*.dll et win[0-9]*.dll après chaques scans, et cleaner le fichier system.ini - Reboot du pc en mode normal et lancer un dernier scan rmsality de contrôle, qui "normallement" ne devrait rien trouver.
Tu es partante pour tester ?
Conclusion :
Je ne te cacherais pas que c'est difficile, au vu de tous ce que tu as du faire en plus de ce qui était prévu, de pouvoir te dire exactement si on avance dans le bon sens ou pas.
Néanmoins, j'ai quand même la même impression que toi sur deux points:
Il y a l'air d'y avoir du mieux sur quelques points et certains sont très positifs (accès au bureau, au mode normal, etc...).
Et va falloir, histoire de faire un bilan et un point concret, prendre le risque de faire un scan AV en ligne.
Donc, voilà ce que je te propose :
Hors connexion (cable débranché) :
1/ De tester la manip avec icesword en mode normal.
(Si de nouveau il y a écran bleu, laisse tomber et passe au 2/)
Connectée ,:
2/ De faire un scan complet (sans grincer des dents, vu le temps que ça risque de demander...) ici https://www.kaspersky.fr/downloads
(comme cible d'analyse tu choisiras "My computer")
3/ Poster sur le forum le rapport Kaspersky + un rapport hijackthis fait de cette façon:
Lance hijackthis, clic sur [Open the misc tools section] A coté du bouton [Générate startuplist log] Coche les 2 cases puis clic sur [Générate startuplist log] (Attention, hijackthis ne doit pas être renommé, sous peine d'avoir un rapport tronqué)
Pour la suite possible, en fonction du résultat du scan Kaspersky :
- Traiter les infections restantes (Si Saliy/bobax ont eu chacun droit à un grand coup de pied au cul)
- Envisager l'installation d'un pare feu (si aucunes détections Sality/Bobax, hormis les points de restau système qui ne gèneront pas)
- Désinstaller Avast
- Retélécharger et réinstaller Antivir (Sauf si Kaspersky, ne mentionne aucun de ses processus infectés)
- Mettre à jour Antivir
- Scanner en local (hors connexion) avec Antivir.
Bon dimanche à toi aussi Gail, et vu l'heure qu'il est... Douce nuit.
A+
ps:
BOOKOS.TSF = illustre inconnu sur google...
A suivre
spoolIsv.exe ('i' majuscule) :
Il correspond à w32/Poebot. (Dès que l'infection sality est réactivée, elle télécharge et installe systématiquement Poebot, qui lui, et dans mon cas, à téléchargé le dialer delsim...)
A killer et supprimer.
Bonjour moe,
moe : Hep ! hep ! hep ! On reviens par ici !... :-)
=> Ouais ! La punition était levée ... !
J'espère que t'as passé un bon week-end.
moe : Avertissement :
Ceci est un Grrrrrrrrrrr !!, qui à la couleur d'un Grrrr ! mais qui n'est pas un vrai Grrrr ! :-p
=> Ouf ! Je continue à lire alors ...
moe : Lol, la couleur d'un Grrrr seulement parce que je me suis bien marré en lisant le second degré tout au long de ton message :-)
[=> Aparté : Des fois quand je dis trop de conneries à certaines personnes, elles prennent tout au 1er degré et me traitent comme une débile, alors qu'elles ont fait les mêmes études que moi ! : moi, je dis rien (ça viendra peut-être un jour), mais j'en pense encore plus ... !!!]
=> Je pourrais te sortir 2 super-citations de mon chapeau, une qui dirait un truc du genre : quand on n'a plus que ça, ... et l'autre qui dirait un truc du genre : mieux vaut en rire ..., mais, bon, je les connais pas ... !
+ Tant qu'à faire, si ça peut être moins rébarbatif pour toi, ...
moe : Bah, alors sincèrement pourquoi veux-tu que je t'en tiennes rigueur ?!
=> Ouf, merci !
moe : Ce sera donc un p'tit Grrr ! juste pour la forme :-p
=> Je comprends.
moe : et parce que je savais dès le départ que ce serait difficile d'avoir à éviter quelques entorses...(c'est pas pour rien que je parlais d'absolu et de conditions idéales pour les manips :-) )
=> Je crois que j'ai un peu (petit) mieux saisi maintenant et quand t'as parlé de serpent qui se mord la queue (je sais plus où) et au post 140, bien que rmsality scanne la mémoire, mais j'arrive pas à savoir si je peux avoir confiance en lui ... Mais je vois bien aussi que ventilo => VLC et que si VLC infecté, toute la manip ne sert à rien, donc comme ça avait mal démarré, je me suis dit : << au point où j'en suis ... >>
Rem. : Au début, j'avais pas prévu de confesser toutes mes conneries (mais ça aurait été stupide) et puis, finalement, j'ai commencé, j'ai continué et j'ai terminé ...
moe : Déjà merci pour les précisions sur les tools pour Bobax, effectivement j'avais pas pu les tester et donc te donner pour chacun la marche à suivre, mais je vois que tu t'es très bien adaptée à leur utilisation.
=> A part celui qui voulait être administrator ...
moe : Apparement le résultat à l'air assez encourageant,(j'ai pas encore fait la comparaison avec le rapport mwav)
=> encourageant, mais me semble un peu trop facile (après tous les ennuis avec Sality, se débarrasser d'un autre vers aussi vite me semble assez utopiste)
Moi non plus, j'ai pas regardé mwav (ou plutôt, j'étais en train de commencer et je suis passée à autre chose : je vais sûrement regarder un peu bientôt)
moe : reste juste à savoir si via hijackthis ou autorun une ou plusieurs lignes du genre:
[xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\rxjwicjvzeiyi.exe
N'ont pas réapparues ainsi que sur le dur, le processus qui leur est associé.
=> Ca, maintenant que tu en parles, ça me démange, je regarde tout de suite.
Oh ben, il est tout court mon rapport HJT !
Bon, je sais pas lire, y'a des << BHO ... dll moche (file missing) >> et un
O4 - HKLM\..\RunServices: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\dvnfujbyj.exe
mais l'exe n'existe pas.
Ouaouh ! Je dirais que ça sent plutôt bon ... !!
moe : Si j'ai bien tout compris et pour faire court, Icesword ne passe qu'en mode normal (Le pop-up "Error, get from PEB now" est normal, au fait) et pas en sans echec.
=> En tout cas, chez moi, c'est comme ça.
moe : je pense que ça vaudrait le coup de tenter un nettoyage en mode normal, même si ta première tentative s'est soldé par un écran bleu.
=> Oh la ! J'ai peur d'avance ...
Rem. : Au fait, j'avais jamais precise que j'avais deja eu d'autres virus [en fait, je le savais meme pas : je croyais avoir affaire a des bugs], comme les accents circonflexes et les tremas qui se doublent ...
Tout ca pour dire que, en ce moment, mon clavier est devenu qwerty et, en plus, en Mode Sans Echec, je peux pas cliquer sur la << barre de langues >>, de toute maniere, fallait toujours que je clique 50 fois pour peut-etre obtenir un resultat : ca aussi, c'est un virus ???
moe : - Hors connexion
- Via icesword:
unloader wmimgr*.dll et win[0-9]*.dll de tous les processus actifs qui les auraient en mémoire.
- Refermer Icesword
- Tenter au moins deux scans rmsality (si le second est clean, pas besoin de troisième..)
- Rechercher et supprimer wmimgr*.dll et win[0-9]*.dll après chaques scans, et cleaner le fichier system.ini
- Reboot du pc en mode normal et lancer un dernier scan rmsality de contrôle, qui "normallement" ne devrait rien trouver.
Tu es partante pour tester ?
=> Unloader via IceSword : le probleme, c'est que ces dll-la, je les reconnais, mais il est tout a fait possible qu'il y en ait d'autres qui trainent (cf. plus loin) et celles-la, je sais pas les voir (6ème sens pas assez développé).
Pourquoi refermer IceSword avant qu'il ne me permette de verifier que rmsality n'est pas infecte ??? (J'ai deja une reponse : eviter l'ecran bleu ...)
Est-ce que rmsality est vraiment compatible avec le mode normal ???
Partante ? Flute, mon ventilo est a nouveau de bonne humeur [information perimee] et lui non plus, n'a pas l'air d'aimer les ecrans bleus ..., mais sinon oui, mais plutot apres les reponses a ces questions (d'au-dessus + les 2 suivantes) ... [Reponse pas urgente : pas sur que je m'attaque aux manips avant demain]
Et tu me parles pas du fait d'empecher explorer.exe de s'executer en le renommant s'il a des dll pas belles ...
Et refaire un mwav, meme si plus long ... ?
Rem. : J'ai l'intuition que les 3 scans seront cleans (d'ou ma peur de l'ecran bleu ...)
moe : Je ne te cacherais pas que c'est difficile, au vu de tous ce que tu as du faire en plus de ce qui était prévu, de pouvoir te dire exactement si on avance dans le bon sens ou pas.
Néanmoins, j'ai quand même la même impression que toi sur deux points:
Il y a l'air d'y avoir du mieux sur quelques points et certains sont très positifs (accès au bureau, au mode normal, etc...).
Et va falloir, histoire de faire un bilan et un point concret, prendre le risque de faire un scan AV en ligne.
=> [Merci pour ton aide ... !]
Rappel : Le bureau, c'est parce que tu m'as file ton explorer.exe
+ Le mode normal, je l'avais deja avant le debut de la manip.
Et ... y'a aussi des points moins positifs : j'ai anticipe ton post (la, c'est du 6eme sens ||| [J'ai pas encore trouve le point d'exclamation ... |||]).
J'ai scanne en ligne quelques fichiers sur Virustotal.com
===
Apres Sality, j'ai tres peur maintenant quand je vois Worm ; en plus, je sais pas lire et c'est quoi ces remarques sur << Vipre ... >> et les suspicious et heuristic damaged ???
moe : faire un scan complet
=> Pourquoi est-ce que je scannerais pas plutot en ligne les exe de AVast (parce que je crois que c'est le seul qui marche a peu pres) et eventuellement ses dll (ou autres fichiers) qui auraient fait tilter mwav, puis scanner hors ligne ?
moe : Pour la suite possible, en fonction du résultat du scan Kaspersky :
a) Traiter les infections restantes (Si Saliy/bobax ont eu chacun droit à un grand coup de pied au cul)
b) Envisager l'installation d'un pare feu (si aucunes détections Sality/Bobax, hormis les points de restau système qui ne gèneront pas)
c) Désinstaller Avast
d) Retélécharger et réinstaller Antivir (Sauf si Kaspersky, ne mentionne aucun de ses processus infectés)
e) Mettre à jour Antivir
f) Scanner en local (hors connexion) avec Antivir.
=> Pourquoi a) avant b) ? Mais, t'as deja repondu a cette question dans un post precedent.
+ Je mettrais plutot c) apres f), i.e. une fois que j'aurais un anti-virus qui marche, et, pour Antivir, je crois que l'etape importante, c'est e) et que c'est pour ca (entre autres) qu'il a des problemes.
moe : BOOKOS.TSF = illustre inconnu sur google...
A suivre
spoolIsv.exe ('i' majuscule) :
Il correspond à w32/Poebot. (Dès que l'infection sality est réactivée, elle télécharge et installe systématiquement Poebot, qui lui, et dans mon cas, à téléchargé le dialer delsim...)
A killer et supprimer.
=> Pour << BOOKOS.TSF >>, je suis pas sure de l'orthographe
et, pour l'autre, je me suis mal exprimee : je voulais dire que je savais pas si j'avais lu << spooIsv.exe >> ou << spoolsv.exe >>, mais il n'a que 6 lettres.
Conclusion : C'est laborieux le clavier qwerty ||| [En 4 lettres, mwav avec ses 75 % de travers me fait perdre mon latin]
+ Et maintenant que j'en n'ai plus besoin, j'ai retrouve le << ! >> ... !!!
+ En plus, y'avait pas le probleme sous Internet Explorer ... !!!
Bonne soiree, moe,
Gail.
PS. : C'est normal que HJT ait dans la fenêtre des dll dans ProcessXP 2 fois la ligne : ~DF5990.tmp ???
Y'a aussi des lignes qui apparaissant en double dans ProcessXp pour IEXPLORE.EXE (à part ça, elles ne semblent pas louches).
moe : Hep ! hep ! hep ! On reviens par ici !... :-)
=> Ouais ! La punition était levée ... !
J'espère que t'as passé un bon week-end.
moe : Avertissement :
Ceci est un Grrrrrrrrrrr !!, qui à la couleur d'un Grrrr ! mais qui n'est pas un vrai Grrrr ! :-p
=> Ouf ! Je continue à lire alors ...
moe : Lol, la couleur d'un Grrrr seulement parce que je me suis bien marré en lisant le second degré tout au long de ton message :-)
[=> Aparté : Des fois quand je dis trop de conneries à certaines personnes, elles prennent tout au 1er degré et me traitent comme une débile, alors qu'elles ont fait les mêmes études que moi ! : moi, je dis rien (ça viendra peut-être un jour), mais j'en pense encore plus ... !!!]
=> Je pourrais te sortir 2 super-citations de mon chapeau, une qui dirait un truc du genre : quand on n'a plus que ça, ... et l'autre qui dirait un truc du genre : mieux vaut en rire ..., mais, bon, je les connais pas ... !
+ Tant qu'à faire, si ça peut être moins rébarbatif pour toi, ...
moe : Bah, alors sincèrement pourquoi veux-tu que je t'en tiennes rigueur ?!
=> Ouf, merci !
moe : Ce sera donc un p'tit Grrr ! juste pour la forme :-p
=> Je comprends.
moe : et parce que je savais dès le départ que ce serait difficile d'avoir à éviter quelques entorses...(c'est pas pour rien que je parlais d'absolu et de conditions idéales pour les manips :-) )
=> Je crois que j'ai un peu (petit) mieux saisi maintenant et quand t'as parlé de serpent qui se mord la queue (je sais plus où) et au post 140, bien que rmsality scanne la mémoire, mais j'arrive pas à savoir si je peux avoir confiance en lui ... Mais je vois bien aussi que ventilo => VLC et que si VLC infecté, toute la manip ne sert à rien, donc comme ça avait mal démarré, je me suis dit : << au point où j'en suis ... >>
Rem. : Au début, j'avais pas prévu de confesser toutes mes conneries (mais ça aurait été stupide) et puis, finalement, j'ai commencé, j'ai continué et j'ai terminé ...
moe : Déjà merci pour les précisions sur les tools pour Bobax, effectivement j'avais pas pu les tester et donc te donner pour chacun la marche à suivre, mais je vois que tu t'es très bien adaptée à leur utilisation.
=> A part celui qui voulait être administrator ...
moe : Apparement le résultat à l'air assez encourageant,(j'ai pas encore fait la comparaison avec le rapport mwav)
=> encourageant, mais me semble un peu trop facile (après tous les ennuis avec Sality, se débarrasser d'un autre vers aussi vite me semble assez utopiste)
Moi non plus, j'ai pas regardé mwav (ou plutôt, j'étais en train de commencer et je suis passée à autre chose : je vais sûrement regarder un peu bientôt)
moe : reste juste à savoir si via hijackthis ou autorun une ou plusieurs lignes du genre:
[xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\rxjwicjvzeiyi.exe
N'ont pas réapparues ainsi que sur le dur, le processus qui leur est associé.
=> Ca, maintenant que tu en parles, ça me démange, je regarde tout de suite.
Oh ben, il est tout court mon rapport HJT !
Bon, je sais pas lire, y'a des << BHO ... dll moche (file missing) >> et un
O4 - HKLM\..\RunServices: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\dvnfujbyj.exe
mais l'exe n'existe pas.
Ouaouh ! Je dirais que ça sent plutôt bon ... !!
moe : Si j'ai bien tout compris et pour faire court, Icesword ne passe qu'en mode normal (Le pop-up "Error, get from PEB now" est normal, au fait) et pas en sans echec.
=> En tout cas, chez moi, c'est comme ça.
moe : je pense que ça vaudrait le coup de tenter un nettoyage en mode normal, même si ta première tentative s'est soldé par un écran bleu.
=> Oh la ! J'ai peur d'avance ...
Rem. : Au fait, j'avais jamais precise que j'avais deja eu d'autres virus [en fait, je le savais meme pas : je croyais avoir affaire a des bugs], comme les accents circonflexes et les tremas qui se doublent ...
Tout ca pour dire que, en ce moment, mon clavier est devenu qwerty et, en plus, en Mode Sans Echec, je peux pas cliquer sur la << barre de langues >>, de toute maniere, fallait toujours que je clique 50 fois pour peut-etre obtenir un resultat : ca aussi, c'est un virus ???
moe : - Hors connexion
- Via icesword:
unloader wmimgr*.dll et win[0-9]*.dll de tous les processus actifs qui les auraient en mémoire.
- Refermer Icesword
- Tenter au moins deux scans rmsality (si le second est clean, pas besoin de troisième..)
- Rechercher et supprimer wmimgr*.dll et win[0-9]*.dll après chaques scans, et cleaner le fichier system.ini
- Reboot du pc en mode normal et lancer un dernier scan rmsality de contrôle, qui "normallement" ne devrait rien trouver.
Tu es partante pour tester ?
=> Unloader via IceSword : le probleme, c'est que ces dll-la, je les reconnais, mais il est tout a fait possible qu'il y en ait d'autres qui trainent (cf. plus loin) et celles-la, je sais pas les voir (6ème sens pas assez développé).
Pourquoi refermer IceSword avant qu'il ne me permette de verifier que rmsality n'est pas infecte ??? (J'ai deja une reponse : eviter l'ecran bleu ...)
Est-ce que rmsality est vraiment compatible avec le mode normal ???
Partante ? Flute, mon ventilo est a nouveau de bonne humeur [information perimee] et lui non plus, n'a pas l'air d'aimer les ecrans bleus ..., mais sinon oui, mais plutot apres les reponses a ces questions (d'au-dessus + les 2 suivantes) ... [Reponse pas urgente : pas sur que je m'attaque aux manips avant demain]
Et tu me parles pas du fait d'empecher explorer.exe de s'executer en le renommant s'il a des dll pas belles ...
Et refaire un mwav, meme si plus long ... ?
Rem. : J'ai l'intuition que les 3 scans seront cleans (d'ou ma peur de l'ecran bleu ...)
moe : Je ne te cacherais pas que c'est difficile, au vu de tous ce que tu as du faire en plus de ce qui était prévu, de pouvoir te dire exactement si on avance dans le bon sens ou pas.
Néanmoins, j'ai quand même la même impression que toi sur deux points:
Il y a l'air d'y avoir du mieux sur quelques points et certains sont très positifs (accès au bureau, au mode normal, etc...).
Et va falloir, histoire de faire un bilan et un point concret, prendre le risque de faire un scan AV en ligne.
=> [Merci pour ton aide ... !]
Rappel : Le bureau, c'est parce que tu m'as file ton explorer.exe
+ Le mode normal, je l'avais deja avant le debut de la manip.
Et ... y'a aussi des points moins positifs : j'ai anticipe ton post (la, c'est du 6eme sens ||| [J'ai pas encore trouve le point d'exclamation ... |||]).
J'ai scanne en ligne quelques fichiers sur Virustotal.com
=== cygwin.bat : [Completement stupide de scanner un fichier texte |||] Fichier cygwin.bat reçu le 2007.08.26 12:05:00 (CET) Résultat: 0/32 (0%) === bash.exe ou bin/bash.exe : [C'est moi qui ai rajoute bash.exe dans C:\Cygwin quand j'ai vu que j'avais des problemes] bash.exe reçu le 2007.08.26 12:09:28 (CET) Résultat: 4/32 (12.5%) AntiVir 7.4.1.63 2007.08.25 HEUR/Damaged CAT-QuickHeal 9.00 2007.08.25 (Suspicious) - DNAScan Panda 9.0.0.4 2007.08.26 Suspicious file Webwasher-Gateway 6.0.1 2007.08.26 Heuristic.Damaged Information additionnelle File size: 494080 bytes MD5: 7be7e2e854f723a80ab821a35bfdb168 SHA1: ce1c2123c1f8b4fcc020e6c4bd4d76dd71eab569 === find : [Donc je te refilerai pas maintenant les anciens problemes remontes par mwav] find.exe reçu le 2007.08.26 12:07:18 (CET) Résultat: 2/32 (6.25%) CAT-QuickHeal 9.00 2007.08.25 (Suspicious) - DNAScan Panda 9.0.0.4 2007.08.26 Suspicious file === gawk : [idem] Fichier gawk.exe reçu le 2007.08.26 12:07:12 (CET) Résultat: 2/32 (6.25%) CAT-QuickHeal 9.00 2007.08.25 (Suspicious) - DNAScan Panda 9.0.0.4 2007.08.26 Suspicious file === cmd.exe : [lui, est-ce que je peux le renommer en .com ??? J'ai qu'a essayer, je verrais bien |||] cmd.exe reçu le 2007.08.26 12:10:11 (CET) Résultat: 0/32 (0%) === explorer.exe reçu le 2007.08.26 12:21:10 (CET) Résultat: 0/32 (0%) === [Aie-Aie-Aie ... |||] Fichier iexplore.exe reçu le 2007.08.26 12:19:21 (CET) Résultat: 23/32 (71.88%) AhnLab-V3 2007.8.25.0 2007.08.24 Win32/IRCBot.worm.55600 AntiVir 7.4.1.63 2007.08.25 HEUR/Crypted Avast 4.7.1029.0 2007.08.25 Win32:SdBot-4142 AVG 7.5.0.484 2007.08.25 IRC/BackDoor.SdBot3.QWF BitDefender 7.2 2007.08.26 Backdoor.Agent.YRG CAT-QuickHeal 9.00 2007.08.25 Backdoor.VanBot.ax DrWeb 4.33 2007.08.26 BackDoor.IRC.Sdbot.1464 eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm eTrust-Vet 31.1.5085 2007.08.24 Win32/Linkbot.NC Ewido 4.0 2007.08.26 Backdoor.VanBot.ax F-Secure 6.70.13030.0 2007.08.24 Backdoor.Win32.VanBot.dt Ikarus T3.1.1.12 2007.08.26 Trojan-Dropper.Win32.Delf.NK Kaspersky 4.0.2.24 2007.08.26 Backdoor.Win32.VanBot.dt McAfee 5105 2007.08.24 W32/Sdbot.worm.gen.z Microsoft 1.2803 2007.08.26 Exploit:Win32/MS06040.gen NOD32v2 2484 2007.08.25 a variant of Win32/Poebot Norman 5.80.02 2007.08.24 Hupigon.gen83 Panda 9.0.0.4 2007.08.26 Suspicious file Rising 19.37.62.00 2007.08.26 Backdoor.IRCbot.fbi Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious Symantec 10 2007.08.26 - [BRAVO |||] VBA32 3.12.2.3 2007.08.26 Backdoor.Win32.VanBot.dt VirusBuster 4.3.26:9 2007.08.25 Worm.Poebot.IX Webwasher-Gateway 6.0.1 2007.08.26 Heuristic.Crypted Information additionnelle File size: 55808 bytes MD5: 4eb5ec766e9f17a116bf1444a482883a SHA1: 2d467d91de769bac770fcd52e3f40902784d64b8 packers: EXPRESSOR, PEPACK packers: Expr Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
===
Apres Sality, j'ai tres peur maintenant quand je vois Worm ; en plus, je sais pas lire et c'est quoi ces remarques sur << Vipre ... >> et les suspicious et heuristic damaged ???
moe : faire un scan complet
=> Pourquoi est-ce que je scannerais pas plutot en ligne les exe de AVast (parce que je crois que c'est le seul qui marche a peu pres) et eventuellement ses dll (ou autres fichiers) qui auraient fait tilter mwav, puis scanner hors ligne ?
moe : Pour la suite possible, en fonction du résultat du scan Kaspersky :
a) Traiter les infections restantes (Si Saliy/bobax ont eu chacun droit à un grand coup de pied au cul)
b) Envisager l'installation d'un pare feu (si aucunes détections Sality/Bobax, hormis les points de restau système qui ne gèneront pas)
c) Désinstaller Avast
d) Retélécharger et réinstaller Antivir (Sauf si Kaspersky, ne mentionne aucun de ses processus infectés)
e) Mettre à jour Antivir
f) Scanner en local (hors connexion) avec Antivir.
=> Pourquoi a) avant b) ? Mais, t'as deja repondu a cette question dans un post precedent.
+ Je mettrais plutot c) apres f), i.e. une fois que j'aurais un anti-virus qui marche, et, pour Antivir, je crois que l'etape importante, c'est e) et que c'est pour ca (entre autres) qu'il a des problemes.
moe : BOOKOS.TSF = illustre inconnu sur google...
A suivre
spoolIsv.exe ('i' majuscule) :
Il correspond à w32/Poebot. (Dès que l'infection sality est réactivée, elle télécharge et installe systématiquement Poebot, qui lui, et dans mon cas, à téléchargé le dialer delsim...)
A killer et supprimer.
=> Pour << BOOKOS.TSF >>, je suis pas sure de l'orthographe
et, pour l'autre, je me suis mal exprimee : je voulais dire que je savais pas si j'avais lu << spooIsv.exe >> ou << spoolsv.exe >>, mais il n'a que 6 lettres.
Conclusion : C'est laborieux le clavier qwerty ||| [En 4 lettres, mwav avec ses 75 % de travers me fait perdre mon latin]
+ Et maintenant que j'en n'ai plus besoin, j'ai retrouve le << ! >> ... !!!
+ En plus, y'avait pas le probleme sous Internet Explorer ... !!!
Bonne soiree, moe,
Gail.
PS. : C'est normal que HJT ait dans la fenêtre des dll dans ProcessXP 2 fois la ligne : ~DF5990.tmp ???
Y'a aussi des lignes qui apparaissant en double dans ProcessXp pour IEXPLORE.EXE (à part ça, elles ne semblent pas louches).
moe,
Si tu repasses par là et que tu t'ennuies (et si je puis me permettre), il y aurait quelqu'un d'autre qui aurait besoin de ton aide (infecte par sality ab vb fp et adware gen) : elle a pas de connexion internet, est à l'étranger et passe par un cyber qui apparemment n'a pas d'antivirus, donc elle peut pas utiliser mwav parce qu'il n'est pas à jour ...
Moi, j'ose pas intervenir : je suis timide ...
Bonne (fin de) soirée,
Gail.
Si tu repasses par là et que tu t'ennuies (et si je puis me permettre), il y aurait quelqu'un d'autre qui aurait besoin de ton aide (infecte par sality ab vb fp et adware gen) : elle a pas de connexion internet, est à l'étranger et passe par un cyber qui apparemment n'a pas d'antivirus, donc elle peut pas utiliser mwav parce qu'il n'est pas à jour ...
Moi, j'ose pas intervenir : je suis timide ...
Bonne (fin de) soirée,
Gail.
Salut Gail
Week-end en famille pour le samedi et donc assez agréable ma foi, merci.
J'espère que toutes ces manips ne t'ont pas empêchées de passer de bons moments toi aussi.
Pour tes deux citations j'avoue que je suis un peu embêté là...je croyais bien les voir passer et pensais les utiliser demain pour briller en société au boulot...
Pfff...Bah, tant pis ! J'avais qu'à pas arréter mes études après ma troisième lol.
Ton autodérision est très agréable à lire, et j'avoue que je souris à chacun de tes posts :-)
Ouep, le serpent qui se mord la queue effectivement...
Le problème avec ce type d'infections c'est qu'elles se relancent très très rapidement au moindre faux pas, ce qui laisse peu de marge de manoeuvre.
Pendant mes tests pour Sality, le simple fait de décharger wmimgr*.dll et win[0-9]*.dll (il n'y a que ces deux qui sont relatives à Sality, wmimgr*.dll contient le code viral de base et win[0-9]*.dll dl d'autres infections ou sert à spammer celon les variantes) avec icesword à suffis pour qu'un seul passage d'rmsality et d'mwav règle le problème.
La seule précaution que j'avais prise était d'éviter de lancer d'autres programmes, car la première fois je m'étais fait avoir en lancant un prog pas encore désinfecté (corrompu "physiquement", je ne parle pas d'injection de dll en mémoire qui est une autre manière de maintenir l'infection active tant que le processus "hôte" est actif) et qui avait réinfecté certains fichiers déjà scannés par rmsality et fait tilté mwav ensuite qui me retrouvait des fichiers qui étaient sensés avoir déjà été désinfectés...
Pour ma part, en plus je m'étais cru à l'abri entre deux scans en relancant certains processus que je pensais désinfectés.... Erreur grossière lol
Aucun tool dès qu'il s'agit de réparer des exécutables n'est efficace à 100%, je préfère être franc sur le sujet, il peut y avoir un fichier qui aura été zappé ou non cleané pour X raisons, mais quand même le fait de multiplier à la suite les scans avec ces outils réduits grandement le risque "d'oublis" et permet d'être relativement confiant sur son efficacité.
Ensuite, tout dépend des conditions dans lequel tu les utiliseras et du facteur "Curiosité" de celui qui s'en sert :-)
Pourquoi refermer IceSword avant qu'il ne me permette de verifier que rmsality n'est pas infecte ??? (J'ai deja une reponse : eviter l'ecran bleu ...)
Très bonne question :-), mais je pensais qu'à chaque fois ou tu utilisais rmsality, tu supprimais la version qui avait déjà servie juste avant et te servais d'une copie de sauvegarde renommée et donc inattaquable par Sality, que tu renommais en *.exe ensuite...
Se serait vraiment le plus facile et le plus sur Gail...
Est-ce que rmsality est vraiment compatible avec le mode normal ???
Je vérifie et te tiens au courant.
Et tu me parles pas du fait d'empecher explorer.exe de s'executer en le renommant s'il a des dll pas belles ...
Non, car si tu t'occupe avec icesword des deux dll liées à sality pour explorer.exe, tu y gagne en accessibilité et "confort" d'utilisation tout en évitant au maximum de passer par des programmes tiers et potentiellement infectés.
Et refaire un mwav, meme si plus long ... ?
J'osais simplement pas te le demander, pour t'éviter des heures de scans, j'avais plutôt tablé, quitte à ce que ça te prennes du temps, sur un scan en ligne qui aurait permis en même temps de faire un point général (je sais, le scan en ligne KAV, détecte mais ne désinfecte pas, c'est volontaire car j'ai vu des av en ligne carrément supprimer certains fichiers systeme qu'il n'avait pas pu cleaner, donc je préfère eviter...)
Ce serait mieux effectivement.
Virustotal
bash.exe est corrompu ou endommagé mais non infecté, c'est ce que t'indique le résultat d'analyse.
Si tu l'avais déjà remplacé bash.exe par une copie de sauvegarde, ça veut dire que la copie elle aussi est endommagée.
L'idéal serait soit de retrouver un bash.exe qui n'ait jamais été infecté ou cleané pour être sure de savoir si le problème vient vraiment de l'exe ou pas...
find.exe : RAS
gawk.exe : RAS
cmd.exe : ras (tu peux le renommer en *.com oui et l'astuce est valable pour la majorité des *.exe)
iexplore.exe
Reste à savoir duquel il s'agit vraiment ?
Tu l'as trouvé dans le dossier system32 ou dans le dossier internet explorer de ProgramFiles ?
Perso je crois qu'il s'agit du premier cas (poebot) , donc ce processus peut être supprimé après avoir été killé
Apres Sality, j'ai tres peur maintenant quand je vois Worm ; en plus, je sais pas lire et c'est quoi ces remarques sur << Vipre ... >> et les suspicious et heuristic damaged ???
Je comprends, mais chaque infection est différente (cf : ton interrogation sur les résultats avec bobax) tous les vers n'infectent pas les exe.
Vipre, suspicious et heuristic damaged, font référence à la détection heuristique des AV, c'est à dire une sorte d'analyse comportementale d'un fichier quand celui-ci n'est pas détecté en tant que virus et ne fait donc pas partie de la base virale de l'éditeur AV.
Ces résultats sont vraiment à prendre avec des pincettes, car générateurs de faux positifs bien souvent, et mis à par Vipre pour iexplore.exe qui semble bien correspondre d'après confirmation des autre AV à un ver, je serais tenté de te dire de ne pas t'inquiéter pour find.exe et gawk.exe
=> Pourquoi est-ce que je scannerais pas plutot en ligne les exe de AVast (parce que je crois que c'est le seul qui marche a peu pres) et eventuellement ses dll (ou autres fichiers) qui auraient fait tilter mwav, puis scanner hors ligne ?
Tu peux essayer (pour antivir aussi), franchement et dans ce cas n'oublies pas de le mettre à jour et de planifier un scan au demarrage (bien plus efficace dès qu'il s'agira de traiter une infection détectée, tu dois pouvoir trouver çà dans les option d'avast)
Fais moi passer le ou les rapports si tu tente.
=> Pourquoi a) avant b) ? Mais, t'as deja repondu a cette question dans un post precedent.
+ Je mettrais plutot c) apres f), i.e. une fois que j'aurais un anti-virus qui marche, et, pour Antivir, je crois que l'etape importante, c'est e) et que c'est pour ca (entre autres) qu'il a des problemes.
Lol, j'allais dire que t'étais incorrigible, mais je m'abstiendais :-p
Rem. : Au fait, j'avais jamais precise que j'avais deja eu d'autres virus [en fait, je le savais meme pas : je croyais avoir affaire a des bugs], comme les accents circonflexes et les tremas qui se doublent ...
Tout ca pour dire que, en ce moment, mon clavier est devenu qwerty et, en plus, en Mode Sans Echec, je peux pas cliquer sur la << barre de langues >>, de toute maniere, fallait toujours que je clique 50 fois pour peut-etre obtenir un resultat : ca aussi, c'est un virus ???
Possible que ça vienne des programmes que tu as désactivés du démarrage non ?
Il me semble que certains étaient liés à la gestion des paramètres du clavier...
Essaye en passant par le panneau de configuration et clic sur "Options régionnales et linguistiques" de vérifier si tout est paramétré pour le français, je voudrais pas dire de bétise mais il me semble que ça a une influence sur les paramètres du clavier. (azerty/qwerty)
Bon, je crois que j'ai rien oublié d'essentiel cette fois..., il se fait tard et je vais pas tarder à aller faire un p'tit coucou à morphée.
A plus tard Gail.
ps:
C'est normal que HJT ait dans la fenêtre des dll dans ProcessXP 2 fois la ligne : ~DF5990.tmp ???
A première vue c'est suspect, mais c'est utilisé par quel processus exactement ?
Y'a aussi des lignes qui apparaissant en double dans ProcessXp pour IEXPLORE.EXE
Normal dans le cas ou tu as deux fenêtre ouvertes d'internet explorer, sinon ça ressemblerait à un poebot qui surfe à ta santé :-) (celui que tu as fait scanner surement).
ps bis:
Moi, j'ose pas intervenir : je suis timide ...
Krr, krr, krr...
Franchement je sais pas si j'aurais le temps pour le post que tu me propose, je verrais.
Mais par contre tu peux aller lui proposer le fichier kaspersky.zip ou les liens vers rmsality toi-même si ça te démange d'intervenir ?
(qui sait, peut-être que tu vas y prendre goût !, tu as largement les moyens de l'aider en tout cas et tu commence à avoir de l'expérience avec sality.)
Week-end en famille pour le samedi et donc assez agréable ma foi, merci.
J'espère que toutes ces manips ne t'ont pas empêchées de passer de bons moments toi aussi.
Pour tes deux citations j'avoue que je suis un peu embêté là...je croyais bien les voir passer et pensais les utiliser demain pour briller en société au boulot...
Pfff...Bah, tant pis ! J'avais qu'à pas arréter mes études après ma troisième lol.
Ton autodérision est très agréable à lire, et j'avoue que je souris à chacun de tes posts :-)
Ouep, le serpent qui se mord la queue effectivement...
Le problème avec ce type d'infections c'est qu'elles se relancent très très rapidement au moindre faux pas, ce qui laisse peu de marge de manoeuvre.
Pendant mes tests pour Sality, le simple fait de décharger wmimgr*.dll et win[0-9]*.dll (il n'y a que ces deux qui sont relatives à Sality, wmimgr*.dll contient le code viral de base et win[0-9]*.dll dl d'autres infections ou sert à spammer celon les variantes) avec icesword à suffis pour qu'un seul passage d'rmsality et d'mwav règle le problème.
La seule précaution que j'avais prise était d'éviter de lancer d'autres programmes, car la première fois je m'étais fait avoir en lancant un prog pas encore désinfecté (corrompu "physiquement", je ne parle pas d'injection de dll en mémoire qui est une autre manière de maintenir l'infection active tant que le processus "hôte" est actif) et qui avait réinfecté certains fichiers déjà scannés par rmsality et fait tilté mwav ensuite qui me retrouvait des fichiers qui étaient sensés avoir déjà été désinfectés...
Pour ma part, en plus je m'étais cru à l'abri entre deux scans en relancant certains processus que je pensais désinfectés.... Erreur grossière lol
Aucun tool dès qu'il s'agit de réparer des exécutables n'est efficace à 100%, je préfère être franc sur le sujet, il peut y avoir un fichier qui aura été zappé ou non cleané pour X raisons, mais quand même le fait de multiplier à la suite les scans avec ces outils réduits grandement le risque "d'oublis" et permet d'être relativement confiant sur son efficacité.
Ensuite, tout dépend des conditions dans lequel tu les utiliseras et du facteur "Curiosité" de celui qui s'en sert :-)
Pourquoi refermer IceSword avant qu'il ne me permette de verifier que rmsality n'est pas infecte ??? (J'ai deja une reponse : eviter l'ecran bleu ...)
Très bonne question :-), mais je pensais qu'à chaque fois ou tu utilisais rmsality, tu supprimais la version qui avait déjà servie juste avant et te servais d'une copie de sauvegarde renommée et donc inattaquable par Sality, que tu renommais en *.exe ensuite...
Se serait vraiment le plus facile et le plus sur Gail...
Est-ce que rmsality est vraiment compatible avec le mode normal ???
Je vérifie et te tiens au courant.
Et tu me parles pas du fait d'empecher explorer.exe de s'executer en le renommant s'il a des dll pas belles ...
Non, car si tu t'occupe avec icesword des deux dll liées à sality pour explorer.exe, tu y gagne en accessibilité et "confort" d'utilisation tout en évitant au maximum de passer par des programmes tiers et potentiellement infectés.
Et refaire un mwav, meme si plus long ... ?
J'osais simplement pas te le demander, pour t'éviter des heures de scans, j'avais plutôt tablé, quitte à ce que ça te prennes du temps, sur un scan en ligne qui aurait permis en même temps de faire un point général (je sais, le scan en ligne KAV, détecte mais ne désinfecte pas, c'est volontaire car j'ai vu des av en ligne carrément supprimer certains fichiers systeme qu'il n'avait pas pu cleaner, donc je préfère eviter...)
Ce serait mieux effectivement.
Virustotal
bash.exe est corrompu ou endommagé mais non infecté, c'est ce que t'indique le résultat d'analyse.
Si tu l'avais déjà remplacé bash.exe par une copie de sauvegarde, ça veut dire que la copie elle aussi est endommagée.
L'idéal serait soit de retrouver un bash.exe qui n'ait jamais été infecté ou cleané pour être sure de savoir si le problème vient vraiment de l'exe ou pas...
find.exe : RAS
gawk.exe : RAS
cmd.exe : ras (tu peux le renommer en *.com oui et l'astuce est valable pour la majorité des *.exe)
iexplore.exe
Reste à savoir duquel il s'agit vraiment ?
Tu l'as trouvé dans le dossier system32 ou dans le dossier internet explorer de ProgramFiles ?
Perso je crois qu'il s'agit du premier cas (poebot) , donc ce processus peut être supprimé après avoir été killé
Apres Sality, j'ai tres peur maintenant quand je vois Worm ; en plus, je sais pas lire et c'est quoi ces remarques sur << Vipre ... >> et les suspicious et heuristic damaged ???
Je comprends, mais chaque infection est différente (cf : ton interrogation sur les résultats avec bobax) tous les vers n'infectent pas les exe.
Vipre, suspicious et heuristic damaged, font référence à la détection heuristique des AV, c'est à dire une sorte d'analyse comportementale d'un fichier quand celui-ci n'est pas détecté en tant que virus et ne fait donc pas partie de la base virale de l'éditeur AV.
Ces résultats sont vraiment à prendre avec des pincettes, car générateurs de faux positifs bien souvent, et mis à par Vipre pour iexplore.exe qui semble bien correspondre d'après confirmation des autre AV à un ver, je serais tenté de te dire de ne pas t'inquiéter pour find.exe et gawk.exe
=> Pourquoi est-ce que je scannerais pas plutot en ligne les exe de AVast (parce que je crois que c'est le seul qui marche a peu pres) et eventuellement ses dll (ou autres fichiers) qui auraient fait tilter mwav, puis scanner hors ligne ?
Tu peux essayer (pour antivir aussi), franchement et dans ce cas n'oublies pas de le mettre à jour et de planifier un scan au demarrage (bien plus efficace dès qu'il s'agira de traiter une infection détectée, tu dois pouvoir trouver çà dans les option d'avast)
Fais moi passer le ou les rapports si tu tente.
=> Pourquoi a) avant b) ? Mais, t'as deja repondu a cette question dans un post precedent.
+ Je mettrais plutot c) apres f), i.e. une fois que j'aurais un anti-virus qui marche, et, pour Antivir, je crois que l'etape importante, c'est e) et que c'est pour ca (entre autres) qu'il a des problemes.
Lol, j'allais dire que t'étais incorrigible, mais je m'abstiendais :-p
Rem. : Au fait, j'avais jamais precise que j'avais deja eu d'autres virus [en fait, je le savais meme pas : je croyais avoir affaire a des bugs], comme les accents circonflexes et les tremas qui se doublent ...
Tout ca pour dire que, en ce moment, mon clavier est devenu qwerty et, en plus, en Mode Sans Echec, je peux pas cliquer sur la << barre de langues >>, de toute maniere, fallait toujours que je clique 50 fois pour peut-etre obtenir un resultat : ca aussi, c'est un virus ???
Possible que ça vienne des programmes que tu as désactivés du démarrage non ?
Il me semble que certains étaient liés à la gestion des paramètres du clavier...
Essaye en passant par le panneau de configuration et clic sur "Options régionnales et linguistiques" de vérifier si tout est paramétré pour le français, je voudrais pas dire de bétise mais il me semble que ça a une influence sur les paramètres du clavier. (azerty/qwerty)
Bon, je crois que j'ai rien oublié d'essentiel cette fois..., il se fait tard et je vais pas tarder à aller faire un p'tit coucou à morphée.
A plus tard Gail.
ps:
C'est normal que HJT ait dans la fenêtre des dll dans ProcessXP 2 fois la ligne : ~DF5990.tmp ???
A première vue c'est suspect, mais c'est utilisé par quel processus exactement ?
Y'a aussi des lignes qui apparaissant en double dans ProcessXp pour IEXPLORE.EXE
Normal dans le cas ou tu as deux fenêtre ouvertes d'internet explorer, sinon ça ressemblerait à un poebot qui surfe à ta santé :-) (celui que tu as fait scanner surement).
ps bis:
Moi, j'ose pas intervenir : je suis timide ...
Krr, krr, krr...
Franchement je sais pas si j'aurais le temps pour le post que tu me propose, je verrais.
Mais par contre tu peux aller lui proposer le fichier kaspersky.zip ou les liens vers rmsality toi-même si ça te démange d'intervenir ?
(qui sait, peut-être que tu vas y prendre goût !, tu as largement les moyens de l'aider en tout cas et tu commence à avoir de l'expérience avec sality.)
Salut Gail
Au moment ou je rédige ce message, je ne sais absolument pas ou tu en es avec les diverses manip ou si tu les a commencées.
Si jamais tu passais par là, je voulais juste te dire que je viens de mettre la main sur un utilitaire qui, si jamais les manips ne seraient pas concluantes avec sality, m'a laissé penser après tests, qu'il pouvait être la "solution" pour toi.
C'est un utilitaire signé Sophos qui n'a aucune interface graphique et à l'avantage de pouvoir être lancé en mode sans echec avec invite de commande.
Pour ma part, un seul passage à suffis et les scans de contrôles (rmsality, mwav, scan AV en ligne) n'ont rien détectés après son passage. (Pour ce qui est de sality, évidemment).
Pas besoin d'icesword et d'unloader quoi que ce soit.
De plus, tout comme mwav il est capable de détecter plusieurs infections et de les supprimer si on lui en donne l'ordre (les modes désinfection et suppression peuvent être lancés indépendament par des "switchs" et limiter tout risque de suppression accidentelle d'un fichier systeme infecté par exemple si on ne choisis que de désinfecter).
J'attend donc de lire ton prochain message et que tu me dise comment ça se passe pour toi actuellement, si tu t'en sort, ou si tu as l'impression qu'encore on tourne en rond avec les diverses manips que je t'ai proposé jusqu'à maintenant.
Les fichiers nécessaires sont déjà uploadés, tu n'auras pour ta part, qu'un dezippage à faire ensuite.
Voilà...
Sans être de trop optimiste, j'espère bien que cet outil fera ses preuves avec ton pc, comme ça a été le cas en VM.
Passes une bonne soirée Gail.
a+
Au moment ou je rédige ce message, je ne sais absolument pas ou tu en es avec les diverses manip ou si tu les a commencées.
Si jamais tu passais par là, je voulais juste te dire que je viens de mettre la main sur un utilitaire qui, si jamais les manips ne seraient pas concluantes avec sality, m'a laissé penser après tests, qu'il pouvait être la "solution" pour toi.
C'est un utilitaire signé Sophos qui n'a aucune interface graphique et à l'avantage de pouvoir être lancé en mode sans echec avec invite de commande.
Pour ma part, un seul passage à suffis et les scans de contrôles (rmsality, mwav, scan AV en ligne) n'ont rien détectés après son passage. (Pour ce qui est de sality, évidemment).
Pas besoin d'icesword et d'unloader quoi que ce soit.
De plus, tout comme mwav il est capable de détecter plusieurs infections et de les supprimer si on lui en donne l'ordre (les modes désinfection et suppression peuvent être lancés indépendament par des "switchs" et limiter tout risque de suppression accidentelle d'un fichier systeme infecté par exemple si on ne choisis que de désinfecter).
J'attend donc de lire ton prochain message et que tu me dise comment ça se passe pour toi actuellement, si tu t'en sort, ou si tu as l'impression qu'encore on tourne en rond avec les diverses manips que je t'ai proposé jusqu'à maintenant.
Les fichiers nécessaires sont déjà uploadés, tu n'auras pour ta part, qu'un dezippage à faire ensuite.
Voilà...
Sans être de trop optimiste, j'espère bien que cet outil fera ses preuves avec ton pc, comme ça a été le cas en VM.
Passes une bonne soirée Gail.
a+
[Réponse au post 150 principalement]
Bonsoir moe,
Bon, maintenant j'ai 2 posts de retard (mais, de toute manière, je suis toujours en retard), donc je vais un (tout) petit peu zapper.
moe [<151>]: Au moment ou je rédige ce message, je ne sais absolument pas ou tu en es avec les diverses manip ou si tu les a commencées.
=> Ben, nulle part, bien vu pour le 2) : je les ai pas commencées ... !
Je savais qu'hier c'était pas trop le bon jour, mais, en fait, c'était pas la bonne nuit non plus pour dormir, donc j'ai réussi à dormir qu'1h, puis j'avais un RDV ce matin et après j'ai dormi. J'attendais un peu que tu me dises pour rmsality et mode normal, mais là, je m'y serais mise (reposée + impatiente d'avoir des réponses de scan => un peu moins peur de l'écran bleu [Ouais, je crois que c'est ça : si y'a un écran bleu qui se profile à l'horizon, faut que je dorme avant ... !!!]), mais maintenant, tu me proposes autre chose : alors, je prends laquelle ???
Rem. : En fait, je suis sûre (intuition/6ème sens ?) que je suis débarrassée de Sality, je le sens bien comme ça ...
+ Parmi les trucs qui n'ont plus lieu sur mon PC :
* depuis la << grosse manip >>, j'ai pas eu à faire de shutdown -a (Rem. : ça arrivait juste après que je me connecte, pendant la connection et un peu après la déconnection)
* [déjà dit :] j'ai eu à me servir qu'une seule fois de ipconfig /release puis ipconfig /renew et je suis sûre (mais là encore, c'est de l'intuition ou du 6ème sens !) que ces problèmes réseau venaient des virus
* le system.ini n'a pas bougé : la dernière fois que je l'ai remis, c'était à la fin de la << grosse manip >>, mais j'avais oublié de regarder quelle date il avait. Dommage !
moe : Pour tes deux citations j'avoue que je suis un peu embêté là...je croyais bien les voir passer et pensais les utiliser demain pour briller en société au boulot...
=> Désolée ... Bon, si je m'ennuie, je chercherai, mais encore faudra-t-il trouver quelqu'un de << classe >> qui aurait exprimé intelligemment ce que moi, j'ai pensé intelligemment ... !!! ???
moe : Pfff...Bah, tant pis ! J'avais qu'à pas arréter mes études après ma troisième lol.
=> Si c'est vrai, moi, j'ai honte !
Sinon, tu me fais marcher (et ça, c'est un truc super-facile à faire).
moe : Ton autodérision est très agréable à lire, et j'avoue que je souris à chacun de tes posts :-)
=> Tant mieux.
moe : Ouep, le serpent qui se mord la queue effectivement...
Le problème avec ce type d'infections c'est qu'elles se relancent très très rapidement au moindre faux pas, ce qui laisse peu de marge de manoeuvre.
Pendant mes tests pour Sality, le simple fait de décharger wmimgr*.dll et win[0-9]*.dll (il n'y a que ces deux qui sont relatives à Sality, wmimgr*.dll contient le code viral de base et win[0-9]*.dll dl d'autres infections ou sert à spammer celon les variantes) avec icesword à suffis pour qu'un seul passage d'rmsality et d'mwav règle le problème.
La seule précaution que j'avais prise était d'éviter de lancer d'autres programmes, car la première fois je m'étais fait avoir en lancant un prog pas encore désinfecté (corrompu "physiquement", je ne parle pas d'injection de dll en mémoire qui est une autre manière de maintenir l'infection active tant que le processus "hôte" est actif) et qui avait réinfecté certains fichiers déjà scannés par rmsality et fait tilté mwav ensuite qui me retrouvait des fichiers qui étaient sensés avoir déjà été désinfectés...
Pour ma part, en plus je m'étais cru à l'abri entre deux scans en relancant certains processus que je pensais désinfectés.... Erreur grossière lol
Aucun tool dès qu'il s'agit de réparer des exécutables n'est efficace à 100%, je préfère être franc sur le sujet, il peut y avoir un fichier qui aura été zappé ou non cleané pour X raisons, mais quand même le fait de multiplier à la suite les scans avec ces outils réduits grandement le risque "d'oublis" et permet d'être relativement confiant sur son efficacité.
=> J'avais une remarque/question à faire là-dessus mais j'ai oublié ... !!
Mais j'ai compris que si on lance un *.exe infecté, il va propager l'infection à d'autres *.exe et que si un processus tourne avec la(/les) méchante(s) dll, il va propager l'infection, mais comment : en infectant les autres processus en mémoire ??? ou en allant modifier une floppée d'exe sur le DD ???
Finalement, j'ai pas du tout compris où était ta << grossière erreur >>, puisque t'avais unloadé les dll, mais, ça doit être ce que tu expliques après : les tools jamais 100 % efficaces d'un coup.
Rem. : 1) << la première fois je m'étais [...] sensés avoir déjà été désinfectés... >> : ça, ça me fait penser à du déjà vécu ... !
2) Concernant l'infection de *.exe, quand je vois rmsality cleaner une floppée d'exe dans un répertoire et dire qu'une autre floppée est OK, j'ai l'impression que l'infection se propage par inodes voisins (ça, je sais pas si c'est très Windows et, à y réfléchir, pas sûre du tout que ce soit une histoire d'inodes), alors disons plutôt, par clusters voisins, mais c'est juste une supposition.
Question : Au début de l'infection, quand j'utilisais encore le net et eMule, pour savoir un peu mieux comment ça fonctionanit, j'ai commencé à télécharger des eBooks sur les virus, les Hackers, etc., j'ai pas été les regarder et je dois pas avoir tout téléchargé : ça t'intéresses (si tu les connaîtrais pas déjà) ??
moe : Ensuite, tout dépend des conditions dans lequel tu les utiliseras et du facteur "Curiosité" de celui qui s'en sert :-)
=> Le facteur est plus que gigantesque avec moi !!! (et je ne le[/me ???] contrôle qu'un tout petit peu ... !!!)
moe : Pourquoi refermer IceSword avant qu'il ne me permette de verifier que rmsality n'est pas infecte ??? (J'ai deja une reponse : eviter l'ecran bleu ...)
Très bonne question :-), mais je pensais qu'à chaque fois ou tu utilisais rmsality, tu supprimais la version qui avait déjà servie juste avant et te servais d'une copie de sauvegarde renommée et donc inattaquable par Sality, que tu renommais en *.exe ensuite...
Se serait vraiment le plus facile et le plus sur Gail...
=> Oups !!! ... (Hum !!!)
Y'a aussi un autre facteur que t'as oublié : l'étourderie ... !! Mais, à part ça, c'est sûr que c'est ce que j'aurais dû faire ... !
Mais, j'ai quand même vu (je sais plus si c'était au début ou à la fin de la << grosse manip >>, on va dire au début) que le .PROTECT et le .exe avaient la même taille et là, je viens de faire un comp dessus, ils sont identiques.
moe : Et tu me parles pas du fait d'empecher explorer.exe de s'executer en le renommant s'il a des dll pas belles ...
Non, car si tu t'occupe avec icesword des deux dll liées à sality pour explorer.exe, tu y gagne en accessibilité et "confort" d'utilisation tout en évitant au maximum de passer par des programmes tiers et potentiellement infectés.
=> C'est aussi parce que je me disais que les virus auraient tendance à cibler plus souvent explorer.exe que taskmgr.exe (cf. les explorer.exe, iexplore.exe, firewall.exe et winamp.exe qui traînaient dans HJT).
moe : Et refaire un mwav, meme si plus long ... ?
J'osais simplement pas te le demander, pour t'éviter des heures de scans, j'avais plutôt tablé, quitte à ce que ça te prennes du temps, sur un scan en ligne qui aurait permis en même temps de faire un point général (je sais, le scan en ligne KAV, détecte mais ne désinfecte pas, c'est volontaire car j'ai vu des av en ligne carrément supprimer certains fichiers systeme qu'il n'avait pas pu cleaner, donc je préfère eviter...)
Ce serait mieux effectivement.
=> De toute manière, je crois que j'ai encore des heures de scans devant moi ... !!! Mais ce qui m'ennuyait, c'était des heures en ligne.
Par contre, le point général, effectivement, je suis pressée/curieuse/impatiente [je trépigne !] d'y arriver (déjà dit plus haut).
<< je sais, le scan en ligne KAV, [...] donc je préfère eviter... >> : D'accord à 100 %.
1) J'aime bien avoir la main sur ce qui se passe chez moi.
2) Supprimer c'est un peu facile comme méthode
3) Quand j'ai vu au début qu'AVast voulait me mettre tous mes *.exe en quarantaine, je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? [J'ai vu un autre post : une fille qui a accepté que son antivirus supprime un fichier : je sais pas à quoi sert wininet*.*, mais j'aimerais pas être dans sa galère !] J'ai même été jusqu'à supposer que les éditeurs d'anti-virus payants et les créateurs de virus ... [tu finis la phrase comme tu le sens ... !!]
Bon, vu que je suis pas une rapide, je vais poster cette 1ère partie et je continue la réponse après ...
A plus.
Bonsoir moe,
Bon, maintenant j'ai 2 posts de retard (mais, de toute manière, je suis toujours en retard), donc je vais un (tout) petit peu zapper.
moe [<151>]: Au moment ou je rédige ce message, je ne sais absolument pas ou tu en es avec les diverses manip ou si tu les a commencées.
=> Ben, nulle part, bien vu pour le 2) : je les ai pas commencées ... !
Je savais qu'hier c'était pas trop le bon jour, mais, en fait, c'était pas la bonne nuit non plus pour dormir, donc j'ai réussi à dormir qu'1h, puis j'avais un RDV ce matin et après j'ai dormi. J'attendais un peu que tu me dises pour rmsality et mode normal, mais là, je m'y serais mise (reposée + impatiente d'avoir des réponses de scan => un peu moins peur de l'écran bleu [Ouais, je crois que c'est ça : si y'a un écran bleu qui se profile à l'horizon, faut que je dorme avant ... !!!]), mais maintenant, tu me proposes autre chose : alors, je prends laquelle ???
Rem. : En fait, je suis sûre (intuition/6ème sens ?) que je suis débarrassée de Sality, je le sens bien comme ça ...
+ Parmi les trucs qui n'ont plus lieu sur mon PC :
* depuis la << grosse manip >>, j'ai pas eu à faire de shutdown -a (Rem. : ça arrivait juste après que je me connecte, pendant la connection et un peu après la déconnection)
* [déjà dit :] j'ai eu à me servir qu'une seule fois de ipconfig /release puis ipconfig /renew et je suis sûre (mais là encore, c'est de l'intuition ou du 6ème sens !) que ces problèmes réseau venaient des virus
* le system.ini n'a pas bougé : la dernière fois que je l'ai remis, c'était à la fin de la << grosse manip >>, mais j'avais oublié de regarder quelle date il avait. Dommage !
moe : Pour tes deux citations j'avoue que je suis un peu embêté là...je croyais bien les voir passer et pensais les utiliser demain pour briller en société au boulot...
=> Désolée ... Bon, si je m'ennuie, je chercherai, mais encore faudra-t-il trouver quelqu'un de << classe >> qui aurait exprimé intelligemment ce que moi, j'ai pensé intelligemment ... !!! ???
moe : Pfff...Bah, tant pis ! J'avais qu'à pas arréter mes études après ma troisième lol.
=> Si c'est vrai, moi, j'ai honte !
Sinon, tu me fais marcher (et ça, c'est un truc super-facile à faire).
moe : Ton autodérision est très agréable à lire, et j'avoue que je souris à chacun de tes posts :-)
=> Tant mieux.
moe : Ouep, le serpent qui se mord la queue effectivement...
Le problème avec ce type d'infections c'est qu'elles se relancent très très rapidement au moindre faux pas, ce qui laisse peu de marge de manoeuvre.
Pendant mes tests pour Sality, le simple fait de décharger wmimgr*.dll et win[0-9]*.dll (il n'y a que ces deux qui sont relatives à Sality, wmimgr*.dll contient le code viral de base et win[0-9]*.dll dl d'autres infections ou sert à spammer celon les variantes) avec icesword à suffis pour qu'un seul passage d'rmsality et d'mwav règle le problème.
La seule précaution que j'avais prise était d'éviter de lancer d'autres programmes, car la première fois je m'étais fait avoir en lancant un prog pas encore désinfecté (corrompu "physiquement", je ne parle pas d'injection de dll en mémoire qui est une autre manière de maintenir l'infection active tant que le processus "hôte" est actif) et qui avait réinfecté certains fichiers déjà scannés par rmsality et fait tilté mwav ensuite qui me retrouvait des fichiers qui étaient sensés avoir déjà été désinfectés...
Pour ma part, en plus je m'étais cru à l'abri entre deux scans en relancant certains processus que je pensais désinfectés.... Erreur grossière lol
Aucun tool dès qu'il s'agit de réparer des exécutables n'est efficace à 100%, je préfère être franc sur le sujet, il peut y avoir un fichier qui aura été zappé ou non cleané pour X raisons, mais quand même le fait de multiplier à la suite les scans avec ces outils réduits grandement le risque "d'oublis" et permet d'être relativement confiant sur son efficacité.
=> J'avais une remarque/question à faire là-dessus mais j'ai oublié ... !!
Mais j'ai compris que si on lance un *.exe infecté, il va propager l'infection à d'autres *.exe et que si un processus tourne avec la(/les) méchante(s) dll, il va propager l'infection, mais comment : en infectant les autres processus en mémoire ??? ou en allant modifier une floppée d'exe sur le DD ???
Finalement, j'ai pas du tout compris où était ta << grossière erreur >>, puisque t'avais unloadé les dll, mais, ça doit être ce que tu expliques après : les tools jamais 100 % efficaces d'un coup.
Rem. : 1) << la première fois je m'étais [...] sensés avoir déjà été désinfectés... >> : ça, ça me fait penser à du déjà vécu ... !
2) Concernant l'infection de *.exe, quand je vois rmsality cleaner une floppée d'exe dans un répertoire et dire qu'une autre floppée est OK, j'ai l'impression que l'infection se propage par inodes voisins (ça, je sais pas si c'est très Windows et, à y réfléchir, pas sûre du tout que ce soit une histoire d'inodes), alors disons plutôt, par clusters voisins, mais c'est juste une supposition.
Question : Au début de l'infection, quand j'utilisais encore le net et eMule, pour savoir un peu mieux comment ça fonctionanit, j'ai commencé à télécharger des eBooks sur les virus, les Hackers, etc., j'ai pas été les regarder et je dois pas avoir tout téléchargé : ça t'intéresses (si tu les connaîtrais pas déjà) ??
moe : Ensuite, tout dépend des conditions dans lequel tu les utiliseras et du facteur "Curiosité" de celui qui s'en sert :-)
=> Le facteur est plus que gigantesque avec moi !!! (et je ne le[/me ???] contrôle qu'un tout petit peu ... !!!)
moe : Pourquoi refermer IceSword avant qu'il ne me permette de verifier que rmsality n'est pas infecte ??? (J'ai deja une reponse : eviter l'ecran bleu ...)
Très bonne question :-), mais je pensais qu'à chaque fois ou tu utilisais rmsality, tu supprimais la version qui avait déjà servie juste avant et te servais d'une copie de sauvegarde renommée et donc inattaquable par Sality, que tu renommais en *.exe ensuite...
Se serait vraiment le plus facile et le plus sur Gail...
=> Oups !!! ... (Hum !!!)
Y'a aussi un autre facteur que t'as oublié : l'étourderie ... !! Mais, à part ça, c'est sûr que c'est ce que j'aurais dû faire ... !
Mais, j'ai quand même vu (je sais plus si c'était au début ou à la fin de la << grosse manip >>, on va dire au début) que le .PROTECT et le .exe avaient la même taille et là, je viens de faire un comp dessus, ils sont identiques.
moe : Et tu me parles pas du fait d'empecher explorer.exe de s'executer en le renommant s'il a des dll pas belles ...
Non, car si tu t'occupe avec icesword des deux dll liées à sality pour explorer.exe, tu y gagne en accessibilité et "confort" d'utilisation tout en évitant au maximum de passer par des programmes tiers et potentiellement infectés.
=> C'est aussi parce que je me disais que les virus auraient tendance à cibler plus souvent explorer.exe que taskmgr.exe (cf. les explorer.exe, iexplore.exe, firewall.exe et winamp.exe qui traînaient dans HJT).
moe : Et refaire un mwav, meme si plus long ... ?
J'osais simplement pas te le demander, pour t'éviter des heures de scans, j'avais plutôt tablé, quitte à ce que ça te prennes du temps, sur un scan en ligne qui aurait permis en même temps de faire un point général (je sais, le scan en ligne KAV, détecte mais ne désinfecte pas, c'est volontaire car j'ai vu des av en ligne carrément supprimer certains fichiers systeme qu'il n'avait pas pu cleaner, donc je préfère eviter...)
Ce serait mieux effectivement.
=> De toute manière, je crois que j'ai encore des heures de scans devant moi ... !!! Mais ce qui m'ennuyait, c'était des heures en ligne.
Par contre, le point général, effectivement, je suis pressée/curieuse/impatiente [je trépigne !] d'y arriver (déjà dit plus haut).
<< je sais, le scan en ligne KAV, [...] donc je préfère eviter... >> : D'accord à 100 %.
1) J'aime bien avoir la main sur ce qui se passe chez moi.
2) Supprimer c'est un peu facile comme méthode
3) Quand j'ai vu au début qu'AVast voulait me mettre tous mes *.exe en quarantaine, je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? [J'ai vu un autre post : une fille qui a accepté que son antivirus supprime un fichier : je sais pas à quoi sert wininet*.*, mais j'aimerais pas être dans sa galère !] J'ai même été jusqu'à supposer que les éditeurs d'anti-virus payants et les créateurs de virus ... [tu finis la phrase comme tu le sens ... !!]
Bon, vu que je suis pas une rapide, je vais poster cette 1ère partie et je continue la réponse après ...
A plus.
[Suite du Post 152 - Suite de la réponse au post 150]
Tu m'as pas répondu à ma question rmsality & mode normal, mais c'est pas grave, j'ai déjà dit que je testerai ... Par contre, j'en ai une autre plus facile (i.e. je pense que tu vas me dire NON immédiatement) : est-ce que mwav et mode normal sont compatibles ???
Bon, j'avance pas beaucoup, je crois que je suis un peu fatiguée et, plutôt que de faire ce que j'ai à faire, je t'ai trouvé ça : http://www.bellescitations.com/themes/humour_-_rire.htm
Ce à quoi je pensais, c'est celle de Beaumarchais :
<< Je me presse de rire de tout, de peur d'être obligé d'en pleurer. >>,
mais la formulation me plaît pas super.
Et une autre, qui sera beaucoup plus difficile à replacer :
<< L'humour, c'est la politesse du désespoir. >> Boris Vian
moe - 95 : Concernant wuauapl.exe, comment se fait-il qu'il ait un copyright Microsoft Corporation ???
Apparement ça ne pose pas de problèmes aux codeurs de virus :-), mais le fait est que cet exe n'appartient pas à microsoft, il y a seulement 4 liens en tout est pour tout concernant ce fichier sur google, un peu maigre pour un fichier sensé appartenir à Billou... Dont le tiens d'ailleur ici sur ccm lol.
=> [Un truc auquel j'avais pas répondu avant.]
Je savais plus ce que j'avais posé comme question quand tu me répondais que ça ne posait pas de problème aux codeurs de virus, si c'était :
* le copyright ???
* la date de modification qui n'a pas bougé ???
Maintenant que je relis, c'est clair.
Celui-là, je l'avais effectivement regardé sur google et j'avais trouvé les 4 liens (les 2 polonais que j'avais évidemment pas lu + les 2 ici)
moe : Virustotal
bash.exe est corrompu ou endommagé mais non infecté, c'est ce que t'indique le résultat d'analyse.
Si tu l'avais déjà remplacé bash.exe par une copie de sauvegarde, ça veut dire que la copie elle aussi est endommagée.
=> Maintenant, je ne peux plus jurer exactement de ce que j'ai fait (copie/écrasement ???), mais les 3 fichiers (sauvegarde, copie de la sauvegarde à la mauvaise place et bash.exe initial (ou écrasé ???)) sont identiques. Et ils ont tous la même date (2001), donc devraient correspondre au moment où j'avais downloadé les packages/sources (?) pour install ultérieure et être les *.exe d'origine : je sais que c'est contradictoire avec ce qui disent les anti-virus, mais ça plus le plantage au lancement avec un double pop-up (qui parle d'adresse mémoire) sans même que j'ai la main dans la fenêtre me fait penser que ce qui pose problème, c'est ce que met en place Cygwin au moment de l'install pour pouvoir << cohabiter >> avec Windows.
Je sens que la seule façon de régler le problème (sans comprendre !) se sera de réinstaller Cygwin (ailleurs) (et ça, je sens que je vais bientôt le faire).
moe : L'idéal serait soit de retrouver un bash.exe qui n'ait jamais été infecté ou cleané pour être sure de savoir si le problème vient vraiment de l'exe ou pas...
=> Il me reste encore la sauvegarde Norton Ghost, mais lui, je préfère d'attendre d'être clean avant de l'utiliser plus maintenant, il va falloir que je l'active parce que ça doit faire plus d'un mois que je l'ai installé.
moe : find.exe : RAS
gawk.exe : RAS
[...]
je serais tenté de te dire de ne pas t'inquiéter pour find.exe et gawk.exe
=> Tu veux dire RAS (Rien A Signaler) ou << Idem >> ??? Parce que, eux, depuis que je les ai lancés dans une command DOS, ils ont changé de date (23/07/08) !!!
moe : cmd.exe : ras (tu peux le renommer en *.com oui et l'astuce est valable pour la majorité des *.exe)
=> Sauf que je crois que je vais pas m'amuser à ça (vu que je pense que le problème est déjà résolu) : j'ai recopié cmd.exe en cmd.com, mais, une fois que je suis dans le command DOS, je fais appel à comp (qui est comp.exe), cd, dir, etc. qui doivent sûrement presque tous être des exe, donc c'est sans fin ... !!!
moe : </ital>iexplore.exe</ital>
Reste à savoir duquel il s'agit vraiment ?
Tu l'as trouvé dans le dossier system32 ou dans le dossier internet explorer de ProgramFiles ?
Perso je crois qu'il s'agit du premier cas (poebot) , donc ce processus peut être supprimé après avoir été killé
=> Remarque judicieuse (j'avais dit que j'étais étourdie).
C'est les rapports HJT qui m'ont emmêlé les pinceaux : je refais la vérif des 2 tout de suite ...
Aie ! J'espérais obtenir du 0 %
Voilà ce que j'ai :
Donc ta remarque sur les tools pas 100 % efficaces en un scan serait aussi valable pour les anti-virus, mais là, je trouve ça assez lamentable !
Je supprime le fichier.
Rem. : Y'en a 2 :
* iexplore.exe.mwt qui date du 28/08/01
[Autrement dit, c'est un virus qui est pas récent, c'est ça ??? C'est ça qui lui permet de faire croire à un fichier installé en usine en même temps que l'ensemble de l'OS ???]
* iexplore.exe qui date du 23/08/07
moe : Je comprends, mais chaque infection est différente (cf : ton interrogation sur les résultats avec bobax) tous les vers n'infectent pas les exe.
=> C'est aussi que je croyais que ver voulait dire : infection exponentielle à une vitesse fulgurante.
moe : Lol, j'allais dire que t'étais incorrigible, mais je m'abstiendais :-p
=> Abstiens-toi si tu veux, mais je te le confirme ... !!!
moe : Possible que ça vienne des programmes que tu as désactivés du démarrage non ?
Il me semble que certains étaient liés à la gestion des paramètres du clavier...
Essaye en passant par le panneau de configuration et clic sur "Options régionnales et linguistiques" de vérifier si tout est paramétré pour le français, je voudrais pas dire de bétise mais il me semble que ça a une influence sur les paramètres du clavier. (azerty/qwerty)
=> Moi, ce qui m'arrivait, c'est que souvent, en particulier quand je jouais à un jeu (Diablo II LOD, pour ne pas le nommer (zut, c'est fait !), acheté en France, je précise) et qu'ensuite, je passais à une autre appli, j'étais dans une autre langue et j'avais beaucoup de mal à resélectionner le Français et j'avais cherché dans tous les sens dans le Help Center (mais pas sur internet) ce qu'ils disaient sur la Barre de Langue, mais j'avais jamais trouvé mon bonheur ; pour cette fois-ci, j'ai l'impression qu'il y avait un Notepad (sur plusieurs ???) en qwerty et, après, quand j'ai lancé IE, j'étais en azerty, mais, on saura jamais, le PC a dormi depuis ...
J'ai regardé ton histoire de << Options Régionales et Linguistiques >> : je viens de découvrir un raccourci clavier mal placé (Alt gauche + Maj) qui permet de switcher entre les langues : je le vire tout de suite ! Merci !!! Ah ben, non, on peut pas le virer, mais, au moins, maintenant, je saurai le pourquoi et comment re-switcher ! Merci.
moe : C'est normal que HJT ait dans la fenêtre des dll dans ProcessXP 2 fois la ligne : ~DF5990.tmp ???
A première vue c'est suspect, mais c'est utilisé par quel processus exactement ?
=> C'est HijackThis qui l'avait dans sa fenêtre basse et le fichier en question a disparu quand j'ai fermé HJT.
moe : Y'a aussi des lignes qui apparaissant en double dans ProcessXp pour IEXPLORE.EXE
Normal dans le cas ou tu as deux fenêtre ouvertes d'internet explorer, sinon ça ressemblerait à un poebot qui surfe à ta santé :-) (celui que tu as fait scanner surement).
=> J'avais pas pensé au nombre d'instances des fenêtres, mais j'avais même plus de 2 fenêtres. Et, non, je crois que j'avais pas de Poebot, parle pas de malheur !
moe : Mais par contre tu peux aller lui proposer le fichier kaspersky.zip ou les liens vers rmsality toi-même si ça te démange d'intervenir ?
(qui sait, peut-être que tu vas y prendre goût !, tu as largement les moyens de l'aider en tout cas et tu commence à avoir de l'expérience avec sality.)
=> Aie ! Afideg m'a trahie ... !!!
<< Je ne me sens pas à la hauteur pour traiter un topic tel que celui de ton amie.
Mais Gail semble être la première personne qui pourrait débrousailler ton PC, et te donner les meilleurs conseils précieux et judicieux fort des informations qu'elle a elle-même reçues. >>
Je pensais que le lien pour kaspersky.zip était encore valide, mais je viens de tester.
N'exagérez pas : je suis pas admin Windows, ni une pro de la sécurité !
Mais je peux effectivement lui faire gagner un peu de temps ... !!!
Bon, ben, j'ai toujours pas bougé/avancé et là, je crois que je vais plutôt choisir l'option << mon lit >>, disons que ça serait plus raisonnable.
Bonne journée à toi,
moe.
PS : Tu me diras si tu as réussi à briller ... !!!
Tu m'as pas répondu à ma question rmsality & mode normal, mais c'est pas grave, j'ai déjà dit que je testerai ... Par contre, j'en ai une autre plus facile (i.e. je pense que tu vas me dire NON immédiatement) : est-ce que mwav et mode normal sont compatibles ???
Bon, j'avance pas beaucoup, je crois que je suis un peu fatiguée et, plutôt que de faire ce que j'ai à faire, je t'ai trouvé ça : http://www.bellescitations.com/themes/humour_-_rire.htm
Ce à quoi je pensais, c'est celle de Beaumarchais :
<< Je me presse de rire de tout, de peur d'être obligé d'en pleurer. >>,
mais la formulation me plaît pas super.
Et une autre, qui sera beaucoup plus difficile à replacer :
<< L'humour, c'est la politesse du désespoir. >> Boris Vian
moe - 95 : Concernant wuauapl.exe, comment se fait-il qu'il ait un copyright Microsoft Corporation ???
Apparement ça ne pose pas de problèmes aux codeurs de virus :-), mais le fait est que cet exe n'appartient pas à microsoft, il y a seulement 4 liens en tout est pour tout concernant ce fichier sur google, un peu maigre pour un fichier sensé appartenir à Billou... Dont le tiens d'ailleur ici sur ccm lol.
=> [Un truc auquel j'avais pas répondu avant.]
Je savais plus ce que j'avais posé comme question quand tu me répondais que ça ne posait pas de problème aux codeurs de virus, si c'était :
* le copyright ???
* la date de modification qui n'a pas bougé ???
Maintenant que je relis, c'est clair.
Celui-là, je l'avais effectivement regardé sur google et j'avais trouvé les 4 liens (les 2 polonais que j'avais évidemment pas lu + les 2 ici)
moe : Virustotal
bash.exe est corrompu ou endommagé mais non infecté, c'est ce que t'indique le résultat d'analyse.
Si tu l'avais déjà remplacé bash.exe par une copie de sauvegarde, ça veut dire que la copie elle aussi est endommagée.
=> Maintenant, je ne peux plus jurer exactement de ce que j'ai fait (copie/écrasement ???), mais les 3 fichiers (sauvegarde, copie de la sauvegarde à la mauvaise place et bash.exe initial (ou écrasé ???)) sont identiques. Et ils ont tous la même date (2001), donc devraient correspondre au moment où j'avais downloadé les packages/sources (?) pour install ultérieure et être les *.exe d'origine : je sais que c'est contradictoire avec ce qui disent les anti-virus, mais ça plus le plantage au lancement avec un double pop-up (qui parle d'adresse mémoire) sans même que j'ai la main dans la fenêtre me fait penser que ce qui pose problème, c'est ce que met en place Cygwin au moment de l'install pour pouvoir << cohabiter >> avec Windows.
Je sens que la seule façon de régler le problème (sans comprendre !) se sera de réinstaller Cygwin (ailleurs) (et ça, je sens que je vais bientôt le faire).
moe : L'idéal serait soit de retrouver un bash.exe qui n'ait jamais été infecté ou cleané pour être sure de savoir si le problème vient vraiment de l'exe ou pas...
=> Il me reste encore la sauvegarde Norton Ghost, mais lui, je préfère d'attendre d'être clean avant de l'utiliser plus maintenant, il va falloir que je l'active parce que ça doit faire plus d'un mois que je l'ai installé.
moe : find.exe : RAS
gawk.exe : RAS
[...]
je serais tenté de te dire de ne pas t'inquiéter pour find.exe et gawk.exe
=> Tu veux dire RAS (Rien A Signaler) ou << Idem >> ??? Parce que, eux, depuis que je les ai lancés dans une command DOS, ils ont changé de date (23/07/08) !!!
moe : cmd.exe : ras (tu peux le renommer en *.com oui et l'astuce est valable pour la majorité des *.exe)
=> Sauf que je crois que je vais pas m'amuser à ça (vu que je pense que le problème est déjà résolu) : j'ai recopié cmd.exe en cmd.com, mais, une fois que je suis dans le command DOS, je fais appel à comp (qui est comp.exe), cd, dir, etc. qui doivent sûrement presque tous être des exe, donc c'est sans fin ... !!!
moe : </ital>iexplore.exe</ital>
Reste à savoir duquel il s'agit vraiment ?
Tu l'as trouvé dans le dossier system32 ou dans le dossier internet explorer de ProgramFiles ?
Perso je crois qu'il s'agit du premier cas (poebot) , donc ce processus peut être supprimé après avoir été killé
=> Remarque judicieuse (j'avais dit que j'étais étourdie).
C'est les rapports HJT qui m'ont emmêlé les pinceaux : je refais la vérif des 2 tout de suite ...
Aie ! J'espérais obtenir du 0 %
Voilà ce que j'ai :
Fichier IEXPLORE.EXE reçu le 2007.08.28 01:37:59 (CET) Résultat: 1/32 (3.13%) Panda 9.0.0.4 2007.08.28 Suspicious fileEt pour l'autre ieplore.exe qui se trouvait dans System32, c'est bien lui que j'avais scanné, mais je suis passée de 23 à 24/32 avec, en plus :
TheHacker 6.1.9.173 2007.08.27 Backdoor/VanBot.dt
Donc ta remarque sur les tools pas 100 % efficaces en un scan serait aussi valable pour les anti-virus, mais là, je trouve ça assez lamentable !
Je supprime le fichier.
Rem. : Y'en a 2 :
* iexplore.exe.mwt qui date du 28/08/01
[Autrement dit, c'est un virus qui est pas récent, c'est ça ??? C'est ça qui lui permet de faire croire à un fichier installé en usine en même temps que l'ensemble de l'OS ???]
* iexplore.exe qui date du 23/08/07
moe : Je comprends, mais chaque infection est différente (cf : ton interrogation sur les résultats avec bobax) tous les vers n'infectent pas les exe.
=> C'est aussi que je croyais que ver voulait dire : infection exponentielle à une vitesse fulgurante.
moe : Lol, j'allais dire que t'étais incorrigible, mais je m'abstiendais :-p
=> Abstiens-toi si tu veux, mais je te le confirme ... !!!
moe : Possible que ça vienne des programmes que tu as désactivés du démarrage non ?
Il me semble que certains étaient liés à la gestion des paramètres du clavier...
Essaye en passant par le panneau de configuration et clic sur "Options régionnales et linguistiques" de vérifier si tout est paramétré pour le français, je voudrais pas dire de bétise mais il me semble que ça a une influence sur les paramètres du clavier. (azerty/qwerty)
=> Moi, ce qui m'arrivait, c'est que souvent, en particulier quand je jouais à un jeu (Diablo II LOD, pour ne pas le nommer (zut, c'est fait !), acheté en France, je précise) et qu'ensuite, je passais à une autre appli, j'étais dans une autre langue et j'avais beaucoup de mal à resélectionner le Français et j'avais cherché dans tous les sens dans le Help Center (mais pas sur internet) ce qu'ils disaient sur la Barre de Langue, mais j'avais jamais trouvé mon bonheur ; pour cette fois-ci, j'ai l'impression qu'il y avait un Notepad (sur plusieurs ???) en qwerty et, après, quand j'ai lancé IE, j'étais en azerty, mais, on saura jamais, le PC a dormi depuis ...
J'ai regardé ton histoire de << Options Régionales et Linguistiques >> : je viens de découvrir un raccourci clavier mal placé (Alt gauche + Maj) qui permet de switcher entre les langues : je le vire tout de suite ! Merci !!! Ah ben, non, on peut pas le virer, mais, au moins, maintenant, je saurai le pourquoi et comment re-switcher ! Merci.
moe : C'est normal que HJT ait dans la fenêtre des dll dans ProcessXP 2 fois la ligne : ~DF5990.tmp ???
A première vue c'est suspect, mais c'est utilisé par quel processus exactement ?
=> C'est HijackThis qui l'avait dans sa fenêtre basse et le fichier en question a disparu quand j'ai fermé HJT.
moe : Y'a aussi des lignes qui apparaissant en double dans ProcessXp pour IEXPLORE.EXE
Normal dans le cas ou tu as deux fenêtre ouvertes d'internet explorer, sinon ça ressemblerait à un poebot qui surfe à ta santé :-) (celui que tu as fait scanner surement).
=> J'avais pas pensé au nombre d'instances des fenêtres, mais j'avais même plus de 2 fenêtres. Et, non, je crois que j'avais pas de Poebot, parle pas de malheur !
moe : Mais par contre tu peux aller lui proposer le fichier kaspersky.zip ou les liens vers rmsality toi-même si ça te démange d'intervenir ?
(qui sait, peut-être que tu vas y prendre goût !, tu as largement les moyens de l'aider en tout cas et tu commence à avoir de l'expérience avec sality.)
=> Aie ! Afideg m'a trahie ... !!!
<< Je ne me sens pas à la hauteur pour traiter un topic tel que celui de ton amie.
Mais Gail semble être la première personne qui pourrait débrousailler ton PC, et te donner les meilleurs conseils précieux et judicieux fort des informations qu'elle a elle-même reçues. >>
Je pensais que le lien pour kaspersky.zip était encore valide, mais je viens de tester.
N'exagérez pas : je suis pas admin Windows, ni une pro de la sécurité !
Mais je peux effectivement lui faire gagner un peu de temps ... !!!
Bon, ben, j'ai toujours pas bougé/avancé et là, je crois que je vais plutôt choisir l'option << mon lit >>, disons que ça serait plus raisonnable.
Bonne journée à toi,
moe.
PS : Tu me diras si tu as réussi à briller ... !!!
Hello Gail
Oui je sais, je prends pas mal de retard pour mes réponses, ne m'en veux pas trop mais je t'assures que je fais ce que je peux.
Ce soir j'aurais surement plus de temps pour te répondre point par point.
En attendant :-) :
Lol, hé non... !, faut croire que Beaumarchais n'a pas trouvé d'adeptes au boulot, quoique vu les spécimens qui bossent avec moi... je m'en serais un peu douté !
C'est pas grave :-) (je plaisantais en fait, sauf pour le niveau de mes études...), mais au moins ma culture personnelle aura trouvé matière à évoluer d'un pouce aujourd'hui, bien qu'au fond je trouve que ces citations soient classées dans la mauvaise catégorie (humour/rire) et ne portent pas tellement à sourire.
Perso je les classerais dans la catégorie "Pudeur"...
Merci pour l'url en tout cas, je ne connaissais pas (le site).
J'ai envie de te faire confiance sur ton appréciation de la situation pour Sality, certains risquent de hurler intérieurement en me lisant dire çà mais à vrai dire, je m'en fiche.(J'ai droit moi aussi à avoir un 6eme sens plus ou moins émoussé, lol)
En fait il est vraiment necessaire de faire un point Gail et de donner un peu moins d'inportance aux détails l'espace d'un scan, sinon il y aura toujours des doutes après le passage des divers outils, et maintenant il est temps de prendre le risque de scanner ton pc en ligne.
Ensuite on avisera.
Donc (et seulement si tu es d'accord, dans le cas contraire, dis moi le) de ma dernière manip, ne retiens que:
Dans le cas ou Sality serait à nouveau détecté, on reprendra de zéro la tentative de désinfection et cette fois je compte bien te faire procéder d'une autre manière plus efficace que ce qui a été fait jusqu'à maintenant et notemment en se servant de l'outil Sophos, ce qui à mon avis, portera plus ses fruits tout en limitant le nombre de scans. (je sais que ça ne te dérange pas, mais c'est pas une raison.)
Donc voilà un p'tit peu de taf pour ton réveil, si jamais tu ne savais pas quoi faire :-)
Reposes-toi bien et à bientôt.
Olivier.
Oui je sais, je prends pas mal de retard pour mes réponses, ne m'en veux pas trop mais je t'assures que je fais ce que je peux.
Ce soir j'aurais surement plus de temps pour te répondre point par point.
En attendant :-) :
Lol, hé non... !, faut croire que Beaumarchais n'a pas trouvé d'adeptes au boulot, quoique vu les spécimens qui bossent avec moi... je m'en serais un peu douté !
C'est pas grave :-) (je plaisantais en fait, sauf pour le niveau de mes études...), mais au moins ma culture personnelle aura trouvé matière à évoluer d'un pouce aujourd'hui, bien qu'au fond je trouve que ces citations soient classées dans la mauvaise catégorie (humour/rire) et ne portent pas tellement à sourire.
Perso je les classerais dans la catégorie "Pudeur"...
Merci pour l'url en tout cas, je ne connaissais pas (le site).
J'ai envie de te faire confiance sur ton appréciation de la situation pour Sality, certains risquent de hurler intérieurement en me lisant dire çà mais à vrai dire, je m'en fiche.(J'ai droit moi aussi à avoir un 6eme sens plus ou moins émoussé, lol)
En fait il est vraiment necessaire de faire un point Gail et de donner un peu moins d'inportance aux détails l'espace d'un scan, sinon il y aura toujours des doutes après le passage des divers outils, et maintenant il est temps de prendre le risque de scanner ton pc en ligne.
Ensuite on avisera.
Donc (et seulement si tu es d'accord, dans le cas contraire, dis moi le) de ma dernière manip, ne retiens que:
En mode sans échec avec le net: Rends-toi ici https://www.kaspersky.fr/downloads (comme cible d'analyse tu choisiras "My computer") Poste sur le forum le rapport Kaspersky + un rapport hijackthis fait de cette façon: Lance hijackthis, clic sur [Open the misc tools section] A coté du bouton [Générate startuplist log] Coche les 2 cases puis clic sur [Générate startuplist log] (Attention, HijackThis.exe ne doit pas être renommé, sous peine d'avoir un rapport tronqué)
Dans le cas ou Sality serait à nouveau détecté, on reprendra de zéro la tentative de désinfection et cette fois je compte bien te faire procéder d'une autre manière plus efficace que ce qui a été fait jusqu'à maintenant et notemment en se servant de l'outil Sophos, ce qui à mon avis, portera plus ses fruits tout en limitant le nombre de scans. (je sais que ça ne te dérange pas, mais c'est pas une raison.)
Donc voilà un p'tit peu de taf pour ton réveil, si jamais tu ne savais pas quoi faire :-)
Reposes-toi bien et à bientôt.
Olivier.
Bonsoir moe,
Je réponds rapide, parce que je répondrai plus tard.
J'ai lancé le scanner Kaspersky, mais, si' t'as un idée, j'aimerais savoir combien de temps ça prend (approximativement évidemment) ???
Par exemple, au bout de combien de temps, il devrait finir mon C:\ qui a 40 G (et seulement 2 Go de libres).
J'ai l'impression que le ventilo était pas de la partie et mon PC rame beaucoup et ramait déjà pendant l'install de Kaspersky.
Pour le moment, j'en suis là :
Le temps indiqué me semble à peu près exact, il a peut-être zappé 3-4 min.
Je me dis que si ça prend trop de temps, je l'arrêterai et je le relancerai : si c'est pour faire ça, autant le faire le plus tôt possible !!!
Merci, si tu réponds pas, j'aviserai et il m'énerve déjà !!!
Gail.
Je réponds rapide, parce que je répondrai plus tard.
J'ai lancé le scanner Kaspersky, mais, si' t'as un idée, j'aimerais savoir combien de temps ça prend (approximativement évidemment) ???
Par exemple, au bout de combien de temps, il devrait finir mon C:\ qui a 40 G (et seulement 2 Go de libres).
J'ai l'impression que le ventilo était pas de la partie et mon PC rame beaucoup et ramait déjà pendant l'install de Kaspersky.
Pour le moment, j'en suis là :
Total number of scanned objects: 2173 Number of viruses found: 0 Number of infected objects: 0 Number of suspicious objects: 0 Duration of the scan process: 00:22:48et il en est toujours à scanner C:\I386
Le temps indiqué me semble à peu près exact, il a peut-être zappé 3-4 min.
Je me dis que si ça prend trop de temps, je l'arrêterai et je le relancerai : si c'est pour faire ça, autant le faire le plus tôt possible !!!
Merci, si tu réponds pas, j'aviserai et il m'énerve déjà !!!
Gail.
Bonsoir Gail
J'ai pas vraiment d'idées précises sur la durée, mais vu le temps de scan que tu mentionnes pour 2100 fichiers et des poussières...
T'es sure que tu veux vraiment lire un chiffre ?... Longtemps !!
En gros je dirais qu'un scan normal prends entre 1h et 2h dans le meilleur des cas (pc peu infecté) et celon la taille du DD et du nombre total de fichiers à scanner.
Réessayes si ça ne débloque pas de ce dossier... et si tu vois que ça persiste à bloquer sur le dossier C:\I386 lors du prochain scan, faudrait voir s'il est possible d'exclure ce dossier de l'analyse quitte à le faire analyser plus tard.
Ca tombe bien, je venais juste de finir de répondre à tes deux derniers messages, du coup j'en profite pour poster ma réponse ci-dessous.
a++
Salut Gail
Tu m'as pas répondu à ma question rmsality & mode normal, mais c'est pas grave, j'ai déjà dit que je testerai ... Par contre, j'en ai une autre plus facile (i.e. je pense que tu vas me dire NON immédiatement) : est-ce que mwav et mode normal sont compatibles ???
Je viens de tester pour rmsality en mode normal, une fois avec pc infecté et l'autre pc clean, résultat, dans les deux cas l'outil n'a pas généré d'écran bleu.
J'ai donc réessayé une seconde fois, histoire d'être sur, toujours avec les deux cas de figure et bien là et je ne sais pas pourquoi, pc infecté, j'ai eu droit au fameux blue screen...
Donc j'ai encore refait tourner le tool 3 fois de suite pour voir s'il s'agissait d'un hasard ou pas... et conclusion en 10 utilisations, un seul écran bleu, pc infecté.
Je crois que tu feras surement la même déduction que moi, le risque d'écran bleu existe bel et bien en mode normal pour rmsality, même s'il n'est pas systématique.
Au fait petite précision, rmsality scanne bien la mémoire comme tu le précisais et pour ma part j'ai eu droit à un joli:
The virus is active in memory and keeps spreading.
It is necessary to run the remover after system reboot.
et
D'une demande d'acceptation pour un redemarrage.
Donc pour mes tests, j'ai du passer par icesword avant, pour que le tool puisse fonctionner en mode normal, infection active....
Pour mwav, c'est différent et je te donnerais plutôt une réponse de normand :-), oui et non.
Oui, si ton pc est clean de sality et non dans le cas contraire.
Pourquoi, me diras-tu ?
Car en mode normal et lorsque l'infection est active, les fichiers *.avc qui constituent la base de donnée virale d'mwav se font presque systématiquement shooter (supprimer) par sality.
Si tu as de la chance, tu auras le temps de lancer le scan en espérant qu'il nettoie rapidement les injections en mémoire et dans le cas contraire, bah tu auras un beau message d'erreur d'mwav...
2) Concernant l'infection de *.exe, quand je vois rmsality cleaner une floppée d'exe dans un répertoire et dire qu'une autre floppée est OK, j'ai l'impression que l'infection se propage par inodes voisins (ça, je sais pas si c'est très Windows et, à y réfléchir, pas sûre du tout que ce soit une histoire d'inodes), alors disons plutôt, par clusters voisins, mais c'est juste une supposition.
J'avoue que j'ai pas essayé de tracer avec précision l'ordre d'infection, mais une chose me semble sure, les premiers visés sont les programmes qui sont sensés se lancer au demarrage de windows, et ensuite c'est au tour des *.exe utilisés en cours de session.
Ce qui fait que plus on met de temps à s'aperçevoir et traiter l'infection plus elle se propage rapidement à cause des nombreux programmes qui peuvent avoir servi entre temps.
Question : Au début de l'infection, quand j'utilisais encore le net et eMule, pour savoir un peu mieux comment ça fonctionanit, j'ai commencé à télécharger des eBooks sur les virus, les Hackers, etc., j'ai pas été les regarder et je dois pas avoir tout téléchargé : ça t'intéresses (si tu les connaîtrais pas déjà) ??
C'est gentil d'y penser et je serais peut-être intéressé, mais tout dépend de quoi traitent exactement ceux sur les virus ?
Tu sais, on trouve facilement beaucoup de codes source sur le net, de samples pour les tests, et de bases de données pour se faire plus qu'une idée sur les diverses méthodes d'infection, mais tu viens d'éveiller ma curiosité... :-)
=> Le facteur est plus que gigantesque avec moi !!! (et je ne le[/me ???] contrôle qu'un tout petit peu ... !!!)
=> Oups !!! ... (Hum !!!)
Y'a aussi un autre facteur que t'as oublié : l'étourderie ... !! Mais, à part ça, c'est sûr que c'est ce que j'aurais dû faire ... !
Bah, le facteur sonne toujours deux fois, nan ?, lol
T'inquiètes pas pour çà, je perds pas de vue le stress qui peut y avoir quand son pc est infecté car peut-être travailles-tu avec ou t'en sers pour tes études, puis c'est facile de dire "Vaudrait mieux faire ceci ou comme celà plutôt que comme ci" à l'abri d'une VM ou on peut remettre à zéro quand ça arrange et donc... pour corriger ses propres erreurs d'étourderies et de curiosités qui auraient été un p'tit peu trop zélées :-)
=> Moi, ce qui m'arrivait, c'est que souvent, en particulier quand je jouais à un jeu (Diablo II LOD, pour ne pas le nommer (zut, c'est fait !), acheté en France, je précise) et qu'ensuite, je passais à une autre appli, j'étais dans une autre langue et j'avais beaucoup de mal à resélectionner le Français et j'avais cherché dans tous les sens dans le Help Center (mais pas sur internet) ce qu'ils disaient sur la Barre de Langue, mais j'avais jamais trouvé mon bonheur ; pour cette fois-ci, j'ai l'impression qu'il y avait un Notepad (sur plusieurs ???) en qwerty et, après, quand j'ai lancé IE, j'étais en azerty, mais, on saura jamais, le PC a dormi depuis ...
J'ai regardé ton histoire de << Options Régionales et Linguistiques >> : je viens de découvrir un raccourci clavier mal placé (Alt gauche + Maj) qui permet de switcher entre les langues : je le vire tout de suite ! Merci !!! Ah ben, non, on peut pas le virer, mais, au moins, maintenant, je saurai le pourquoi et comment re-switcher ! Merci.
En fait la manip exacte avec les Options Régionales et Linguistiques, que j'avais trouvé sur le net était celle-ci:
1. Dans le Panneau de configuration, ouvrir le module Options régionales et linguistiques
2. Sous l'onglet Langues,cliquez sur le bouton Détails.
3. Sous l'onglet Paramètres, cliquer sur le bouton Ajouter et sélectionner une langue ou
conserver la langue par défaut et cocher l'option Configuration clavier/IME pour ajouter une disposition de clavier.
4. Confirmer en cliquant sur OK. De retour sous l'onglet Paramètres, vérifier que la langue et la configuration de clavier habituels sont sélectionnées!
5. Sous l'onglet Avancé, s'assurer que l'option Arrêter les services de texte avancé est décochée.
Je sais pas si c'est ce que tu as fait, mais ça coute rien d'y rejetter un oeil, non ?
1) J'aime bien avoir la main sur ce qui se passe chez moi.
2) Supprimer c'est un peu facile comme méthode
3) Quand j'ai vu au début qu'AVast voulait me mettre tous mes *.exe en quarantaine, je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? [J'ai vu un autre post : une fille qui a accepté que son antivirus supprime un fichier : je sais pas à quoi sert wininet*.*, mais j'aimerais pas être dans sa galère !] J'ai même été jusqu'à supposer que les éditeurs d'anti-virus payants et les créateurs de virus ... [tu finis la phrase comme tu le sens ... !!]
Tout à fait d'accord avec toi sauf pour le 3) ou c'est pas aussi simple.
Un AV quel qu'il soit a des paramètres de configuration concernant les actions à entreprendre lors d'une détection positive, non ?
Je sais...ça necessite un minimum de se documenter sur le fonctionnement d'un AV et plus généralement sur ce qu'est un virus, un ver, un adware, un rootkit, un spyware...etc, et donc savoir qui tu peux éventuellement croiser sur ton pc.
Si pour certains, les supprimer suffit, pour d'autre il y a en plus le facteur "contamination" qui entre en jeu et change la donne.
Le problème que tu soulèves c'est plutôt le fait que beaucoup de personnes sont conscientes de l'utilité d'une protection en temps réel, mais pensent à tort que l'av fera le reste et saura s'adapter à la situation à leur place.
Malheureusement c'est pas tout le temps le cas et notemment lorsqu'il s'agit de fichiers vitaux à windows comme tu as pu le remarquer avec le post sur wininet.dll...
wuauapl.exe
Ce fichier est toujours présent ?
Si oui, j'aimerais bien que tu m'en fasse passer un exemplaire car il y a peu d'infos sur cet exe, le cas échéant je te ferais passer une adresse ou l'envoyer.
=> Maintenant, je ne peux plus jurer exactement de ce que j'ai fait (copie/écrasement ???), mais les 3 fichiers (sauvegarde, copie de la sauvegarde à la mauvaise place et bash.exe initial (ou écrasé ???)) sont identiques. Et ils ont tous la même date (2001), donc devraient correspondre au moment où j'avais downloadé les packages/sources (?) pour install ultérieure et être les *.exe d'origine : je sais que c'est contradictoire avec ce qui disent les anti-virus, mais ça plus le plantage au lancement avec un double pop-up (qui parle d'adresse mémoire) sans même que j'ai la main dans la fenêtre me fait penser que ce qui pose problème, c'est ce que met en place Cygwin au moment de l'install pour pouvoir << cohabiter >> avec Windows.
Je sens que la seule façon de régler le problème (sans comprendre !) se sera de réinstaller Cygwin (ailleurs) (et ça, je sens que je vais bientôt le faire).
Pour la date de création de bash.exe, sincèrement je crois pas gail.
Si ce fichier a été cleané, (ce qui me semble, sauf bétise da ma part, être aussi le cas pour le backup sur F:) c'est sa date de modification qui a plus de chances de bouger que la date de création.
J'ai eu comme je te le disais dans un autre message, exactement le même problème (double pop up mentionnant l'adresse mémoire) avec un *.exe et le problème est survenu après son nettoyage uniquement (pendant l'infection il fonctionnait toujours).
Donc ouep, je crois que réinstaller Cygwin à des chances de régler le problème.
=> Tu veux dire RAS (Rien A Signaler) ou << Idem >> ??? Parce que, eux, depuis que je les ai lancés dans une command DOS, ils ont changé de date (23/07/08) !!!
Rien A Signaler en fait à part (pour la date) qu'il est possible que ces fichiers aient été infecté puis cleanés avec succès ensuite.
Date de création, modification ou dernier accès... ?
=> Remarque judicieuse (j'avais dit que j'étais étourdie).
C'est les rapports HJT qui m'ont emmêlé les pinceaux : je refais la vérif des 2 tout de suite ...
Aie ! J'espérais obtenir du 0 %
Voilà ce que j'ai :
Fichier IEXPLORE.EXE reçu le 2007.08.28 01:37:59 (CET)
Résultat: 1/32 (3.13%)
Panda 9.0.0.4 2007.08.28 Suspicious file
Et pour l'autre ieplore.exe qui se trouvait dans System32, c'est bien lui que j'avais scanné, mais je suis passée de 23 à 24/32 avec, en plus :
TheHacker 6.1.9.173 2007.08.27 Backdoor/VanBot.dt
Pourquoi tu dis "avec en plus" en citant cette ligne ?, j'ai pas compris, désolé.
* iexplore.exe.mwt qui date du 28/08/01
[Autrement dit, c'est un virus qui est pas récent, c'est ça ??? C'est ça qui lui permet de faire croire à un fichier installé en usine en même temps que l'ensemble de l'OS ???]
* iexplore.exe qui date du 23/08/07
Non et oui :-), ça veut juste dire que le codeur de ce fichier, à décidé que son fichier aurait comme date le 28/08/01 afin de te leurrer sur sa vrai date de création dans ton pc et effectivement laisser à penser que ce pourrait être un fichier faisant partie du pack windows d'origine.
Et de ce fait, non, ça ne veut pas dire qu'il n'est pas récent, au contraire, puisque sa date de création essaye de te faire croire l'inverse :-)
Difficile de le dater précisément à vue de nez, sauf, si tu as gardé le fichier mwav.log qui mentionne la date de son renommage, ça te donnera approximativement entre deux scan mwav une fourchette de date assez fiable.
=> C'est HijackThis qui l'avait dans sa fenêtre basse et le fichier en question a disparu quand j'ai fermé HJT.
Pas de soucis alors, c'est un fichier temporaire crée pendant l'exécution d'hijackthis et qui lui sert provisoirement.
=> ...Et, non, je crois que j'avais pas de Poebot, parle pas de malheur !
Si on parle bien du même iexplore.exe, bah...
Non ?...
=> Aie ! Afideg m'a trahie ... !!!
...
Je pensais que le lien pour kaspersky.zip était encore valide, mais je viens de tester.
N'exagérez pas : je suis pas admin Windows, ni une pro de la sécurité !
Mais je peux effectivement lui faire gagner un peu de temps ... !!!
Pfeu ! Bah nous non plus rassures-toi... ne sommes ni admin chez windows ni des pro de la sécurité, donc tout va bien si forte de qui tu t'estimes être ou pas, tu puisses au final lui faire gagner un peu de temps !!
Et si en plus Afideg y croit lui aussi...
Au fait, le lien pour kaspersky.zip est toujours valide (pas d'bol :-) )... je viens de vérifier et il ne me semblais pas l'avoir retiré du téléchargement.
Je crois que se sera tout pour ce soir, de mon côté je vais direct vers l'option "Douche froide" qui s'impose, malgré l'heure tardive la canicule continue de persister ici (37° sans un souffle d'air cet aprèm...) en espérant que ce ne sera pas une de ces nuits à "Dormir dehors" lol.
Bonne fin de soirée/début de nuit à toi, Gail.
a+
J'ai pas vraiment d'idées précises sur la durée, mais vu le temps de scan que tu mentionnes pour 2100 fichiers et des poussières...
T'es sure que tu veux vraiment lire un chiffre ?... Longtemps !!
En gros je dirais qu'un scan normal prends entre 1h et 2h dans le meilleur des cas (pc peu infecté) et celon la taille du DD et du nombre total de fichiers à scanner.
Réessayes si ça ne débloque pas de ce dossier... et si tu vois que ça persiste à bloquer sur le dossier C:\I386 lors du prochain scan, faudrait voir s'il est possible d'exclure ce dossier de l'analyse quitte à le faire analyser plus tard.
Ca tombe bien, je venais juste de finir de répondre à tes deux derniers messages, du coup j'en profite pour poster ma réponse ci-dessous.
a++
Salut Gail
Tu m'as pas répondu à ma question rmsality & mode normal, mais c'est pas grave, j'ai déjà dit que je testerai ... Par contre, j'en ai une autre plus facile (i.e. je pense que tu vas me dire NON immédiatement) : est-ce que mwav et mode normal sont compatibles ???
Je viens de tester pour rmsality en mode normal, une fois avec pc infecté et l'autre pc clean, résultat, dans les deux cas l'outil n'a pas généré d'écran bleu.
J'ai donc réessayé une seconde fois, histoire d'être sur, toujours avec les deux cas de figure et bien là et je ne sais pas pourquoi, pc infecté, j'ai eu droit au fameux blue screen...
Donc j'ai encore refait tourner le tool 3 fois de suite pour voir s'il s'agissait d'un hasard ou pas... et conclusion en 10 utilisations, un seul écran bleu, pc infecté.
Je crois que tu feras surement la même déduction que moi, le risque d'écran bleu existe bel et bien en mode normal pour rmsality, même s'il n'est pas systématique.
Au fait petite précision, rmsality scanne bien la mémoire comme tu le précisais et pour ma part j'ai eu droit à un joli:
The virus is active in memory and keeps spreading.
It is necessary to run the remover after system reboot.
et
D'une demande d'acceptation pour un redemarrage.
Donc pour mes tests, j'ai du passer par icesword avant, pour que le tool puisse fonctionner en mode normal, infection active....
Pour mwav, c'est différent et je te donnerais plutôt une réponse de normand :-), oui et non.
Oui, si ton pc est clean de sality et non dans le cas contraire.
Pourquoi, me diras-tu ?
Car en mode normal et lorsque l'infection est active, les fichiers *.avc qui constituent la base de donnée virale d'mwav se font presque systématiquement shooter (supprimer) par sality.
Si tu as de la chance, tu auras le temps de lancer le scan en espérant qu'il nettoie rapidement les injections en mémoire et dans le cas contraire, bah tu auras un beau message d'erreur d'mwav...
2) Concernant l'infection de *.exe, quand je vois rmsality cleaner une floppée d'exe dans un répertoire et dire qu'une autre floppée est OK, j'ai l'impression que l'infection se propage par inodes voisins (ça, je sais pas si c'est très Windows et, à y réfléchir, pas sûre du tout que ce soit une histoire d'inodes), alors disons plutôt, par clusters voisins, mais c'est juste une supposition.
J'avoue que j'ai pas essayé de tracer avec précision l'ordre d'infection, mais une chose me semble sure, les premiers visés sont les programmes qui sont sensés se lancer au demarrage de windows, et ensuite c'est au tour des *.exe utilisés en cours de session.
Ce qui fait que plus on met de temps à s'aperçevoir et traiter l'infection plus elle se propage rapidement à cause des nombreux programmes qui peuvent avoir servi entre temps.
Question : Au début de l'infection, quand j'utilisais encore le net et eMule, pour savoir un peu mieux comment ça fonctionanit, j'ai commencé à télécharger des eBooks sur les virus, les Hackers, etc., j'ai pas été les regarder et je dois pas avoir tout téléchargé : ça t'intéresses (si tu les connaîtrais pas déjà) ??
C'est gentil d'y penser et je serais peut-être intéressé, mais tout dépend de quoi traitent exactement ceux sur les virus ?
Tu sais, on trouve facilement beaucoup de codes source sur le net, de samples pour les tests, et de bases de données pour se faire plus qu'une idée sur les diverses méthodes d'infection, mais tu viens d'éveiller ma curiosité... :-)
=> Le facteur est plus que gigantesque avec moi !!! (et je ne le[/me ???] contrôle qu'un tout petit peu ... !!!)
=> Oups !!! ... (Hum !!!)
Y'a aussi un autre facteur que t'as oublié : l'étourderie ... !! Mais, à part ça, c'est sûr que c'est ce que j'aurais dû faire ... !
Bah, le facteur sonne toujours deux fois, nan ?, lol
T'inquiètes pas pour çà, je perds pas de vue le stress qui peut y avoir quand son pc est infecté car peut-être travailles-tu avec ou t'en sers pour tes études, puis c'est facile de dire "Vaudrait mieux faire ceci ou comme celà plutôt que comme ci" à l'abri d'une VM ou on peut remettre à zéro quand ça arrange et donc... pour corriger ses propres erreurs d'étourderies et de curiosités qui auraient été un p'tit peu trop zélées :-)
=> Moi, ce qui m'arrivait, c'est que souvent, en particulier quand je jouais à un jeu (Diablo II LOD, pour ne pas le nommer (zut, c'est fait !), acheté en France, je précise) et qu'ensuite, je passais à une autre appli, j'étais dans une autre langue et j'avais beaucoup de mal à resélectionner le Français et j'avais cherché dans tous les sens dans le Help Center (mais pas sur internet) ce qu'ils disaient sur la Barre de Langue, mais j'avais jamais trouvé mon bonheur ; pour cette fois-ci, j'ai l'impression qu'il y avait un Notepad (sur plusieurs ???) en qwerty et, après, quand j'ai lancé IE, j'étais en azerty, mais, on saura jamais, le PC a dormi depuis ...
J'ai regardé ton histoire de << Options Régionales et Linguistiques >> : je viens de découvrir un raccourci clavier mal placé (Alt gauche + Maj) qui permet de switcher entre les langues : je le vire tout de suite ! Merci !!! Ah ben, non, on peut pas le virer, mais, au moins, maintenant, je saurai le pourquoi et comment re-switcher ! Merci.
En fait la manip exacte avec les Options Régionales et Linguistiques, que j'avais trouvé sur le net était celle-ci:
1. Dans le Panneau de configuration, ouvrir le module Options régionales et linguistiques
2. Sous l'onglet Langues,cliquez sur le bouton Détails.
3. Sous l'onglet Paramètres, cliquer sur le bouton Ajouter et sélectionner une langue ou
conserver la langue par défaut et cocher l'option Configuration clavier/IME pour ajouter une disposition de clavier.
4. Confirmer en cliquant sur OK. De retour sous l'onglet Paramètres, vérifier que la langue et la configuration de clavier habituels sont sélectionnées!
5. Sous l'onglet Avancé, s'assurer que l'option Arrêter les services de texte avancé est décochée.
Je sais pas si c'est ce que tu as fait, mais ça coute rien d'y rejetter un oeil, non ?
1) J'aime bien avoir la main sur ce qui se passe chez moi.
2) Supprimer c'est un peu facile comme méthode
3) Quand j'ai vu au début qu'AVast voulait me mettre tous mes *.exe en quarantaine, je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? [J'ai vu un autre post : une fille qui a accepté que son antivirus supprime un fichier : je sais pas à quoi sert wininet*.*, mais j'aimerais pas être dans sa galère !] J'ai même été jusqu'à supposer que les éditeurs d'anti-virus payants et les créateurs de virus ... [tu finis la phrase comme tu le sens ... !!]
Tout à fait d'accord avec toi sauf pour le 3) ou c'est pas aussi simple.
Un AV quel qu'il soit a des paramètres de configuration concernant les actions à entreprendre lors d'une détection positive, non ?
Je sais...ça necessite un minimum de se documenter sur le fonctionnement d'un AV et plus généralement sur ce qu'est un virus, un ver, un adware, un rootkit, un spyware...etc, et donc savoir qui tu peux éventuellement croiser sur ton pc.
Si pour certains, les supprimer suffit, pour d'autre il y a en plus le facteur "contamination" qui entre en jeu et change la donne.
Le problème que tu soulèves c'est plutôt le fait que beaucoup de personnes sont conscientes de l'utilité d'une protection en temps réel, mais pensent à tort que l'av fera le reste et saura s'adapter à la situation à leur place.
Malheureusement c'est pas tout le temps le cas et notemment lorsqu'il s'agit de fichiers vitaux à windows comme tu as pu le remarquer avec le post sur wininet.dll...
wuauapl.exe
Ce fichier est toujours présent ?
Si oui, j'aimerais bien que tu m'en fasse passer un exemplaire car il y a peu d'infos sur cet exe, le cas échéant je te ferais passer une adresse ou l'envoyer.
=> Maintenant, je ne peux plus jurer exactement de ce que j'ai fait (copie/écrasement ???), mais les 3 fichiers (sauvegarde, copie de la sauvegarde à la mauvaise place et bash.exe initial (ou écrasé ???)) sont identiques. Et ils ont tous la même date (2001), donc devraient correspondre au moment où j'avais downloadé les packages/sources (?) pour install ultérieure et être les *.exe d'origine : je sais que c'est contradictoire avec ce qui disent les anti-virus, mais ça plus le plantage au lancement avec un double pop-up (qui parle d'adresse mémoire) sans même que j'ai la main dans la fenêtre me fait penser que ce qui pose problème, c'est ce que met en place Cygwin au moment de l'install pour pouvoir << cohabiter >> avec Windows.
Je sens que la seule façon de régler le problème (sans comprendre !) se sera de réinstaller Cygwin (ailleurs) (et ça, je sens que je vais bientôt le faire).
Pour la date de création de bash.exe, sincèrement je crois pas gail.
Si ce fichier a été cleané, (ce qui me semble, sauf bétise da ma part, être aussi le cas pour le backup sur F:) c'est sa date de modification qui a plus de chances de bouger que la date de création.
J'ai eu comme je te le disais dans un autre message, exactement le même problème (double pop up mentionnant l'adresse mémoire) avec un *.exe et le problème est survenu après son nettoyage uniquement (pendant l'infection il fonctionnait toujours).
Donc ouep, je crois que réinstaller Cygwin à des chances de régler le problème.
=> Tu veux dire RAS (Rien A Signaler) ou << Idem >> ??? Parce que, eux, depuis que je les ai lancés dans une command DOS, ils ont changé de date (23/07/08) !!!
Rien A Signaler en fait à part (pour la date) qu'il est possible que ces fichiers aient été infecté puis cleanés avec succès ensuite.
Date de création, modification ou dernier accès... ?
=> Remarque judicieuse (j'avais dit que j'étais étourdie).
C'est les rapports HJT qui m'ont emmêlé les pinceaux : je refais la vérif des 2 tout de suite ...
Aie ! J'espérais obtenir du 0 %
Voilà ce que j'ai :
Fichier IEXPLORE.EXE reçu le 2007.08.28 01:37:59 (CET)
Résultat: 1/32 (3.13%)
Panda 9.0.0.4 2007.08.28 Suspicious file
Et pour l'autre ieplore.exe qui se trouvait dans System32, c'est bien lui que j'avais scanné, mais je suis passée de 23 à 24/32 avec, en plus :
TheHacker 6.1.9.173 2007.08.27 Backdoor/VanBot.dt
Pourquoi tu dis "avec en plus" en citant cette ligne ?, j'ai pas compris, désolé.
* iexplore.exe.mwt qui date du 28/08/01
[Autrement dit, c'est un virus qui est pas récent, c'est ça ??? C'est ça qui lui permet de faire croire à un fichier installé en usine en même temps que l'ensemble de l'OS ???]
* iexplore.exe qui date du 23/08/07
Non et oui :-), ça veut juste dire que le codeur de ce fichier, à décidé que son fichier aurait comme date le 28/08/01 afin de te leurrer sur sa vrai date de création dans ton pc et effectivement laisser à penser que ce pourrait être un fichier faisant partie du pack windows d'origine.
Et de ce fait, non, ça ne veut pas dire qu'il n'est pas récent, au contraire, puisque sa date de création essaye de te faire croire l'inverse :-)
Difficile de le dater précisément à vue de nez, sauf, si tu as gardé le fichier mwav.log qui mentionne la date de son renommage, ça te donnera approximativement entre deux scan mwav une fourchette de date assez fiable.
=> C'est HijackThis qui l'avait dans sa fenêtre basse et le fichier en question a disparu quand j'ai fermé HJT.
Pas de soucis alors, c'est un fichier temporaire crée pendant l'exécution d'hijackthis et qui lui sert provisoirement.
=> ...Et, non, je crois que j'avais pas de Poebot, parle pas de malheur !
Si on parle bien du même iexplore.exe, bah...
Fichier iexplore.exe reçu le 2007.08.26 12:19:21 (CET) Résultat: 23/32 (71.88%) AhnLab-V3 2007.8.25.0 2007.08.24 Win32/IRCBot.worm.55600 AntiVir 7.4.1.63 2007.08.25 HEUR/Crypted Avast 4.7.1029.0 2007.08.25 Win32:SdBot-4142 AVG 7.5.0.484 2007.08.25 IRC/BackDoor.SdBot3.QWF BitDefender 7.2 2007.08.26 Backdoor.Agent.YRG CAT-QuickHeal 9.00 2007.08.25 Backdoor.VanBot.ax DrWeb 4.33 2007.08.26 BackDoor.IRC.Sdbot.1464 eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm eTrust-Vet 31.1.5085 2007.08.24 Win32/Linkbot.NC Ewido 4.0 2007.08.26 Backdoor.VanBot.ax F-Secure 6.70.13030.0 2007.08.24 Backdoor.Win32.VanBot.dt Ikarus T3.1.1.12 2007.08.26 Trojan-Dropper.Win32.Delf.NK Kaspersky 4.0.2.24 2007.08.26 Backdoor.Win32.VanBot.dt McAfee 5105 2007.08.24 W32/Sdbot.worm.gen.z Microsoft 1.2803 2007.08.26 Exploit:Win32/MS06040.gen NOD32v2 2484 2007.08.25 a variant of Win32/Poebot Norman 5.80.02 2007.08.24 Hupigon.gen83 Panda 9.0.0.4 2007.08.26 Suspicious file Rising 19.37.62.00 2007.08.26 Backdoor.IRCbot.fbi Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious Symantec 10 2007.08.26 - [BRAVO |||] <- No comment ;-) VBA32 3.12.2.3 2007.08.26 Backdoor.Win32.VanBot.dt VirusBuster 4.3.26:9 2007.08.25 Worm.Poebot.IX Webwasher-Gateway 6.0.1 2007.08.26 Heuristic.Crypted
Non ?...
=> Aie ! Afideg m'a trahie ... !!!
...
Je pensais que le lien pour kaspersky.zip était encore valide, mais je viens de tester.
N'exagérez pas : je suis pas admin Windows, ni une pro de la sécurité !
Mais je peux effectivement lui faire gagner un peu de temps ... !!!
Pfeu ! Bah nous non plus rassures-toi... ne sommes ni admin chez windows ni des pro de la sécurité, donc tout va bien si forte de qui tu t'estimes être ou pas, tu puisses au final lui faire gagner un peu de temps !!
Et si en plus Afideg y croit lui aussi...
Au fait, le lien pour kaspersky.zip est toujours valide (pas d'bol :-) )... je viens de vérifier et il ne me semblais pas l'avoir retiré du téléchargement.
Je crois que se sera tout pour ce soir, de mon côté je vais direct vers l'option "Douche froide" qui s'impose, malgré l'heure tardive la canicule continue de persister ici (37° sans un souffle d'air cet aprèm...) en espérant que ce ne sera pas une de ces nuits à "Dormir dehors" lol.
Bonne fin de soirée/début de nuit à toi, Gail.
a+
Bon, ben moi, j'ai pas encore préparé mes réponses et j'avais même pas vu que tu m'avais répondu, mais vu que, au bout de 1h22 (donc proche de la fin d'après toi), j'en suis toujours au même répertoire et moins de 6000 fichiers scannés, je reviendrai après reboot ...
Méchant ventilo !!
Bonne nuit, à demain avec des bonnes nouvelles, j'espère,
Gail.
Méchant ventilo !!
Bonne nuit, à demain avec des bonnes nouvelles, j'espère,
Gail.
C'est vrai que c'est vachement lent, là !
6000 fichiers en 1h22 pour un total de pas loin de 200000 à scanner....
Mieux vaut attendre que le ventilo se soit levé de la bonne pale lol ! Effectivement.
Bonne nuit Gail, en croisant les doigts pour les bonnes nouvelles !
a+
6000 fichiers en 1h22 pour un total de pas loin de 200000 à scanner....
Mieux vaut attendre que le ventilo se soit levé de la bonne pale lol ! Effectivement.
Bonne nuit Gail, en croisant les doigts pour les bonnes nouvelles !
a+
[Suite de ma soirée ...]
J'avais été mauvaises langue, apparemment, il [Kaspersky] avait été jusqu'à system32 puisqu'il a dit que les *.LOG étaient locked.
Je reboote, je relance le scan et, en 2 min., il m'avait déjà scanné 3000 fichiers !!! Pff !!
moe : Mieux vaut attendre que le ventilo se soit levé de la bonne pale lol ! Effectivement.
=> Je te confirme que, maintenant, c'est tout de suite plus confortable ...
Bon, je vais essayer de répondre en vrac et à (presque ?) tout.
Rem. :
1) Moi aussi, j'ai bien rigolé 2 fois en te lisant (surtout une) et j'en souris encore, même si j'ai oublié pourquoi, merci ! (à moins que çe soit un fou-rire nerveux, parce que fatiguée et ventilo du cerveau qui marche pas non plus ???)
2) Je crois qu'on a quand même oublié un truc (que j'y ai pensé en essayant de m'endormir, mais que j'ai oublié de signaler tout à l'heure).
Quand moK' s@ m'avait fait la procédure pour rmsality puis mwav, il devait finir, si je me trompe pas, par VundoFix. Et j'aurais peut-être dû le passer avant : ça aurait (je pense) viré plein de trucs (que mwav signale mais ne traite pas) et, surtout, même si ça avait fait 2 logs, en fait, ils auraient été scindés en 2, d'un côté, les méchants << vaudous >> et, de l'autre, les autres méchants, ce qui aurait sûrement été plus simple à éplucher. Tant pis : je suis partie et, maintenant que le ventilo est, comme tu dis, << levé de la bonne pale >>, j'ai des lignes rouges dans Kaspersky (celles qui t'indiquent les nombre de virus et d'objets infectés trouvés et y'en a quand même beaucoup, surtout que les 2 nombres ne se correspondent pas : 25 et 227), mais je m'inquète pas, je me dis que ça correspond à des trucs renommés par mwav (sauf si 25 est le nombre distinct de virus trouvés ... !!).
3) Non, j'ai laissé I386 : quitte à faire un scan online, autant le faire complet complet, sinon << certains risquent de hurler intérieurement >>.
rmsality, écran bleu, mwav :
moe : Je viens de tester pour rmsality en mode normal, une fois avec pc infecté et l'autre pc clean, résultat, dans les deux cas l'outil n'a pas généré d'écran bleu.
=> Je pensais que plus ou moins tu connaîtrais la réponse ou que tu saurais où la trouver. J'aurais pas crû que t'aurais fait le test (parce que, même si j'ai peur des écrans bleus, c'est plus à moi de le faire !), sinon j'aurais sûrement pas insisté et posé la question x fois.
moe : J'ai donc réessayé une seconde fois, histoire d'être sur, toujours avec les deux cas de figure et bien là et je ne sais pas pourquoi, pc infecté, j'ai eu droit au fameux blue screen...
=> Moi, je me serais arrêtée au 1er test, à ta place ...
moe : Donc j'ai encore refait tourner le tool 3 fois de suite pour voir s'il s'agissait d'un hasard ou pas... et conclusion en 10 utilisations, un seul écran bleu, pc infecté.
Je crois que tu feras surement la même déduction que moi, le risque d'écran bleu existe bel et bien en mode normal pour rmsality, même s'il n'est pas systématique.
=> C'est étrange. Moi, je fais une autre conclusion : en un seul essai, j'ai pas eu de chance !!!
Le pire, c'est que maintenant, on a zappé cette manip (enfin, j'ai pas encore les résultats de Kapsersky), donc je te remercie et je suis désolée que tu aies fait tout ça pour rien ... (je sais comme ça peut être énervant).
moe : Au fait petite précision, rmsality scanne bien la mémoire comme tu le précisais et pour ma part j'ai eu droit à un joli:
The virus is active in memory and keeps spreading.
It is necessary to run the remover after system reboot.
et
D'une demande d'acceptation pour un redemarrage.
=> Effectivement, joli message, moi, je l'ai jamais vu ou alors, au tout début et je m'en rappelle plus.
Par contre, pour moi, c'est systématique : il me demande de rebooter à la fin pour finir le boulot (et je pense que c'est valable également pour le dernier << scan de contrôle >> censé être (fait sur un pc) clean (en ce qui concerne Sality).
moe : Pour mwav, c'est différent et je te donnerais plutôt une réponse de normand :-), oui et non.
[...]
Car en mode normal et lorsque l'infection est active, les fichiers *.avc qui constituent la base de donnée virale d'mwav se font presque systématiquement shooter (supprimer) par sality.
=> Oh ! Le méchant !
Voilà pourquoi je me suis permise de poser la question pour rmsality : pour mwav, t'avais la réponse ... !!!
moe : 2) Concernant l'infection de *.exe, quand je vois rmsality cleaner une floppée d'exe dans un répertoire et dire qu'une autre floppée est OK, j'ai l'impression que l'infection se propage par inodes voisins (ça, je sais pas si c'est très Windows et, à y réfléchir, pas sûre du tout que ce soit une histoire d'inodes), alors disons plutôt, par clusters voisins, mais c'est juste une supposition.
J'avoue que j'ai pas essayé de tracer avec précision l'ordre d'infection, mais une chose me semble sure, les premiers visés sont les programmes qui sont sensés se lancer au demarrage de windows, et ensuite c'est au tour des *.exe utilisés en cours de session.
=> J'ai dit ça parce que j'ai vu des pans entiers de l'install de Cygwin touchés et des pans entiers qui étaient OK + le fait que j'ai vu des trucs infectés alors que j'avais pas eu l'impression de les avoir utilisés. Ben, oui, c'est clair, j'ai utilisé aucun jeu (à part Simple Sudoku (...!!!)) depuis Juin et pourtant (pratiquement ?) tous leurs exe ont été infectés sur C: et D:. Et aussi, l'infection s'est à un moment propagée au répertoire de Sauvegarde sur F: et là, dedans, je m'y suis peut-être baladée (Windows Explorer, cmd.exe ou Cygwin), mais jamais j'ai exécuté des trucs en direct de là.
[virus :]
moe : C'est gentil d'y penser et je serais peut-être intéressé, mais tout dépend de quoi traitent exactement ceux sur les virus ?
Tu sais, on trouve facilement beaucoup de codes source sur le net, de samples pour les tests, et de bases de données pour se faire plus qu'une idée sur les diverses méthodes d'infection, mais tu viens d'éveiller ma curiosité... :-)
=> Comme je te l'ai dit, ils doivent pas être tous téléchargés, donc il faudrait que j'ouvre eMule. Mais y'a déjà ça qui y arrivé :
* (eBook) Hacking - How to Crack Any Software Protection.PDF (22 Ko) [à côté de la plaque]
* (eBook) Spy Destroy Spyware adware Site.pdf (67 Ko) [je ne sais pas trop comment interpréter le titre]
* (ebook) VMWare - VMWare Guest Operating System Installation Guide - From The O'Reilly Anthology.pdf (1046 Ko) [Absolument rien à voir, mais, si t'es pas trop à cheval sur ..., ça peut peut-être t'intéresser aussi]
* (EBOOK-DOC)_Hacking Password Protected Websites.doc (10 Ko) [encore à côté de la plaque]
* Ebook - Hackers Survival Guide.rtf (396 Ko) [ça, normalement, ça veut dire : << Comment survivre quand on est un hacker >> et non pas << Comment survivre à un hacker >>]
* ebook - Programming - hack - hackers black book.doc (635 Ko) [Moi, je connaissais plutôt les livres blancs, encore << je ne sais pas trop comment interpréterle titre >>]
* Ebook_-Coding-_Virus_Programming_Basics.zip (34 Ko) [Mais si c'est << basique >>, tu sais peut-être déjà tout.]
* Wrox.Professional.Rootkits.Mar.2007.eBook-BBL.chm (8 026 Ko) [Entre le format, qui doit être autre chose que du << HTML compilé >>, et Rootkit, que je sais pas trop ce que c'est, ...]
[autre ! :]
moe : Bah, le facteur sonne toujours deux fois, nan ?, lol
=> Bien vu (Ca fait 3, mais c'est un autre compte si tu suis ... ! ?)
moe : T'inquiètes pas pour çà, je perds pas de vue le stress qui peut y avoir quand son pc est infecté car peut-être travailles-tu avec ou t'en sers pour tes études,
=> Ni l'un, ni l'autre, par contre, je passe mon temps sur le PC (sauf que, en temps normal, c'est pas pour me battre avec des virus), en plus, ici, j'ai pas de télé et je suis téléphage, ni même de radio (en vrai, si, on m'en a prêté une vieille radio pourrie et la fréquence de la radio que j'écoute est voisine avec plein d'autres, donc c'est plein de parasites + ça change de fréquence tout seul, mais, après 2 semaines de virus et de silence (à part le ventilo), je l'ai quand même rallumée), donc les 3 semaines de virus, je les ai bien senties passer ... !!!
Mais c'est sûr que si il meurt, je vais être mal (et ça va finir par arriver). Exemple, si je voulais chercher du boulot, faut d'abord que je m'update !!! [Et, là, il suffit pas de cliquer sur kavupd.exe !]
[une histoire de clavier !:]
moe : En fait la manip exacte avec les Options Régionales et Linguistiques, que j'avais trouvé sur le net était celle-ci:
[...]
Je sais pas si c'est ce que tu as fait, mais ça coute rien d'y rejetter un oeil, non ?
=> Merci [Fais gaffe, si t'es trop gentil, je vais te poser encore plus de questions].
Oui, c'était par là que j'avais été et je viens d'y retourner avec tes infos : en fait, j'ai le Français qui est sélectionné, mais j'ai aussi l'Anglais et j'ose pas le supprimer, même si je vois pas trop à quoi ça pourrait me servir, parce que, si jamais j'avais besoin de le remettre, je suis sûre qu'il me demanderait d'insérer un CD et moi, je peux ni << insérer >>, ni << CD >> ... !!!
antivirus :
moe : 3) Quand j'ai vu au début qu'AVast voulait me mettre tous mes *.exe en quarantaine, je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? [J'ai vu un autre post : une fille qui a accepté que son antivirus supprime un fichier : je sais pas à quoi sert wininet*.*, mais j'aimerais pas être dans sa galère !] J'ai même été jusqu'à supposer que les éditeurs d'anti-virus payants et les créateurs de virus ... [tu finis la phrase comme tu le sens ... !!]
Tout à fait d'accord avec toi sauf pour le 3) ou c'est pas aussi simple.
Un AV quel qu'il soit a des paramètres de configuration concernant les actions à entreprendre lors d'une détection positive, non ?
=> Mouais, justement, j'ai l'impression qu'elle [la config] est un peu trop basique/binaire/systématique.
a) J'ai eu un peu l'impression qu'ils se posaient pas trop de question
Infection => Suppression ou au mieux quarantaine.
D'accord, 1) je suis mauvaise langue, 2) j'ai pas assez pratiqué les AV pour parler/juger 3) apparemment, j'ai vu AVG ou antivir (je sais plus) me signaler le risque associé
b) Ils pourraient adapter l'action au risque.
Mais je crois que j'ai dit plus haut ... (ben, j'arrive pas à retrouver ; en tout cas, je crois que ça concernait un fichier que m'avait fait scanner en ligne moK' s@ sur un autre site que Virustotal.com) : bref, ils m'affichaient Low Risk et, vu ma situation, j'étais pas du tout d'accord et je pense que ça concernait Sality (ou pas, mais je crois pas me tromper en disant que le risque n'avait clairement pas été << Low >> pour moi) ... !!!
moe : Je sais...ça necessite un minimum de se documenter sur le fonctionnement d'un AV et plus généralement sur ce qu'est un virus, un ver, un adware, un rootkit, un spyware...etc, et donc savoir qui tu peux éventuellement croiser sur ton pc.
=> Effectivement, j'y connais rien ; justement, si tu connais un lien qui explique la différence entre tout ce que tu viens de citer, je suis très intéressée, sinon, j'irai sur Wikipedia.
Si pour certains, les supprimer suffit, pour d'autre il y a en plus le facteur "contamination" qui entre en jeu et change la donne.
=> D'accord, je crois que ça, c'est en phase avec mon b). Donc, je continue ...
moe [dans le désordre] : Malheureusement c'est pas tout le temps le cas et notemment lorsqu'il s'agit de fichiers vitaux à windows comme tu as pu le remarquer avec le post sur wininet.dll...
=> c) Ils pourraient adapter l'action au risque qu'implique l'action/à l'importance du fichier infecté. Si ton OS marche plus, tu t'en fous un peu qu'il soit propre ou pas !!! Mais, c'est aussi valable pour (au moins) une partie de tes applis ... (D'accord, j'en veux toujours plus.)
N'empêche que, s'ils te demandent régulièrement de mettre ta base de définitions de virus à jour, ils pourraient bien en profiter pour mettre en place et à jour une base de données de l'importance stratégique des fichiers.
Autrement dit, un petit peu d'intelligence (au sens commun) là-dedans ou d'intelligence artificielle (si y'en a pas, mais si y'en a, y'en a pas assez) ferait pas de mal ...
moe : Le problème que tu soulèves c'est plutôt le fait que beaucoup de personnes sont conscientes de l'utilité d'une protection en temps réel, mais pensent à tort que l'av fera le reste et saura s'adapter à la situation à leur place.
=> C'est vrai et j'en ai fait partie : j'ai crû que si les antivirus ne nettoyaient pas, c'est parce que c'était des gratuits ou des pas bien, j'ai vite compris que non, c'était pas ça (D'où mon << je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? >>.)
+ cf. c) juste au-dessus.
Je crois que les éditeurs d'antivirus ont encore du boulot ; je devrais peut-être leur vendre mes idées ... !!! ???
Après tout ça, j'espère que tu travailles pas chez un éditeur d'ani-virus ... !!!
wuauapl.exe :
moe : Ce fichier est toujours présent ?
Si oui, j'aimerais bien que tu m'en fasse passer un exemplaire car il y a peu d'infos sur cet exe, le cas échéant je te ferais passer une adresse ou l'envoyer.
=> Tu pouvais pas me le dire avant !! ???
Il est pas dans sytem32\ (normal, il y a jamais été, mais il est pas non plus dans C:\WINDOWS), il est pas dans le backup de Avenger (super intelligent de dézipper ça pendant le scan de Kaspersky !!!), il est pas dans C:\VundoFix Backups, il est pas dans F:\_OTMoveIt\MovedFiles\, tu vois un autre endroit où je peux chercher ???
Ton script a dû avoir raison de lui ... !!! T'as trop bien fait !!
moe - 95 : Local Service;"C:\WINDOWS\wuauapl.exe"
Perso je le virerais sans état d'âme.
=> J'ai fait qu'est-ce que tu m'as dit ... !!
Je pense que ton script l'a viré avant le passage de mwav (qui peut-être l'aurait juste renommé), mais si un tool a pu faire un backup, dis-moi où j'ai oublié de regarder.
Il est pas non plus ici : F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups
et C:\ComboFix est vide.
Bon, j'ai envoyé un recherche par Windows des *wuau*.*, non, plutôt les *wuau* : on verra, mais j'ai bien peur que ce soit foutu ... !!! (Résultat : Néant)
Et, je suppose que celui-là t'intéresse parce qu'il ne fait pas partie de tous ceux qui ont des noms moches qui, à mon avis, sont générés (les noms) aléatoirement ???
Parce que, sinon, j'en ai d'autres à la place, si tu veux ... ! ???
moe : Date de création, modification ou dernier accès... ?
=> La date d'accès, l'impression que j'ai, avec Windows, c'est qu'il suffit que tu la regardes, pour qu'elle soit du jour ... ! Donc celle-là, je la zappe.
En Mode Sans Echec, j'ai tendance à perdre mes configs (Détails affichés, par ex.), donc la date de création, je pense pas à aller la regarder.
Donc, à chaque fois, je parle de la date de dernière modif (inclus les fichiers de cygwin et les fichiers de virus).
[J'ai un coup de barre, je vais peut-être en profiter pour aller me coucher.
+ Kaspersky vient de finir (5h18) : lui, son coup de barre a eu lieu quand il a commencé à scanner F:. Je devrais peut-être mettre des drivers (???) parce que mon PC est que USB 1.1 et mon disque est USB 2 ; là, si tu veux me dire comment je fais, je suis pas contre ou me dire comment je me débrouille pour le faire toute seule et bien !!! ...
Bon, mais toi, t'auras pas la réponse de Kaspersky : j'ai pas fini de répondre à tes posts ... !! hi hi ! Un indice : 30 et 265]
moe : => Maintenant, je ne peux plus jurer exactement de ce que j'ai fait (copie/écrasement ???), mais les 3 fichiers (sauvegarde, copie de la sauvegarde à la mauvaise place et bash.exe initial (ou écrasé ???)) sont identiques. Et ils ont tous la même date (2001), donc devraient correspondre au moment où j'avais downloadé les packages/sources (?) pour install ultérieure et être les *.exe d'origine : je sais que c'est contradictoire avec ce qui disent les anti-virus, mais ça plus le plantage au lancement avec un double pop-up (qui parle d'adresse mémoire) sans même que j'ai la main dans la fenêtre me fait penser que ce qui pose problème, c'est ce que met en place Cygwin au moment de l'install pour pouvoir << cohabiter >> avec Windows.
Je sens que la seule façon de régler le problème (sans comprendre !) se sera de réinstaller Cygwin (ailleurs) (et ça, je sens que je vais bientôt le faire).
moe : Pour la date de création de bash.exe, sincèrement je crois pas gail.
=> C'était la date de modif dont je parlais.
moe : Si ce fichier a été cleané, (ce qui me semble, sauf bétise da ma part, être aussi le cas pour le backup sur F:)
=> non, non, t'as raison.
moe : c'est sa date de modification qui a plus de chances de bouger que la date de création.
=> On est d'accord, mais justement ni les virus, ni les nettoyeurs n'ont bougé cette date de modification. Autrement dit, il est censé être intact : les dates de création correspondent aux différents moments où il a été copié sur le disque (2004 pour l'install et 2007 pour la sauvegarde) et les dates de modif, toutes identiques (2001), correspondent à la dernière fois où le binaire a été << retouché >> pendant son développement, avant qu'ils le mettent dans un << package >> et que je le downloade ...
moe : J'ai eu comme je te le disais dans un autre message, exactement le même problème (double pop up mentionnant l'adresse mémoire) avec un *.exe et le problème est survenu après son nettoyage uniquement (pendant l'infection il fonctionnait toujours).
=> Aie ! Je crois pas que t'avais précisé que toi aussi t'avais eu le double pop-up ; mouais, donc on a eu exactement le même comportement, à part que moi, c'était au 2ème passage de rmsality, bien qu'apparemment il était infecté d'avant (je revérifierai).
Bon, ouais, je crois vraiment que je vais aller dormir, je m'excuse de pas répondre à tout maintenant, mais, tu perds rien, m'est avis que j'aurais écrit un peu n'importe quoi.
+ PS : J'espère que je suis à peu près claire parce que j'arrive même pas trop à me relire => dodo !
Bon journée,
Gail.
J'avais été mauvaises langue, apparemment, il [Kaspersky] avait été jusqu'à system32 puisqu'il a dit que les *.LOG étaient locked.
Je reboote, je relance le scan et, en 2 min., il m'avait déjà scanné 3000 fichiers !!! Pff !!
moe : Mieux vaut attendre que le ventilo se soit levé de la bonne pale lol ! Effectivement.
=> Je te confirme que, maintenant, c'est tout de suite plus confortable ...
Bon, je vais essayer de répondre en vrac et à (presque ?) tout.
Rem. :
1) Moi aussi, j'ai bien rigolé 2 fois en te lisant (surtout une) et j'en souris encore, même si j'ai oublié pourquoi, merci ! (à moins que çe soit un fou-rire nerveux, parce que fatiguée et ventilo du cerveau qui marche pas non plus ???)
2) Je crois qu'on a quand même oublié un truc (que j'y ai pensé en essayant de m'endormir, mais que j'ai oublié de signaler tout à l'heure).
Quand moK' s@ m'avait fait la procédure pour rmsality puis mwav, il devait finir, si je me trompe pas, par VundoFix. Et j'aurais peut-être dû le passer avant : ça aurait (je pense) viré plein de trucs (que mwav signale mais ne traite pas) et, surtout, même si ça avait fait 2 logs, en fait, ils auraient été scindés en 2, d'un côté, les méchants << vaudous >> et, de l'autre, les autres méchants, ce qui aurait sûrement été plus simple à éplucher. Tant pis : je suis partie et, maintenant que le ventilo est, comme tu dis, << levé de la bonne pale >>, j'ai des lignes rouges dans Kaspersky (celles qui t'indiquent les nombre de virus et d'objets infectés trouvés et y'en a quand même beaucoup, surtout que les 2 nombres ne se correspondent pas : 25 et 227), mais je m'inquète pas, je me dis que ça correspond à des trucs renommés par mwav (sauf si 25 est le nombre distinct de virus trouvés ... !!).
3) Non, j'ai laissé I386 : quitte à faire un scan online, autant le faire complet complet, sinon << certains risquent de hurler intérieurement >>.
rmsality, écran bleu, mwav :
moe : Je viens de tester pour rmsality en mode normal, une fois avec pc infecté et l'autre pc clean, résultat, dans les deux cas l'outil n'a pas généré d'écran bleu.
=> Je pensais que plus ou moins tu connaîtrais la réponse ou que tu saurais où la trouver. J'aurais pas crû que t'aurais fait le test (parce que, même si j'ai peur des écrans bleus, c'est plus à moi de le faire !), sinon j'aurais sûrement pas insisté et posé la question x fois.
moe : J'ai donc réessayé une seconde fois, histoire d'être sur, toujours avec les deux cas de figure et bien là et je ne sais pas pourquoi, pc infecté, j'ai eu droit au fameux blue screen...
=> Moi, je me serais arrêtée au 1er test, à ta place ...
moe : Donc j'ai encore refait tourner le tool 3 fois de suite pour voir s'il s'agissait d'un hasard ou pas... et conclusion en 10 utilisations, un seul écran bleu, pc infecté.
Je crois que tu feras surement la même déduction que moi, le risque d'écran bleu existe bel et bien en mode normal pour rmsality, même s'il n'est pas systématique.
=> C'est étrange. Moi, je fais une autre conclusion : en un seul essai, j'ai pas eu de chance !!!
Le pire, c'est que maintenant, on a zappé cette manip (enfin, j'ai pas encore les résultats de Kapsersky), donc je te remercie et je suis désolée que tu aies fait tout ça pour rien ... (je sais comme ça peut être énervant).
moe : Au fait petite précision, rmsality scanne bien la mémoire comme tu le précisais et pour ma part j'ai eu droit à un joli:
The virus is active in memory and keeps spreading.
It is necessary to run the remover after system reboot.
et
D'une demande d'acceptation pour un redemarrage.
=> Effectivement, joli message, moi, je l'ai jamais vu ou alors, au tout début et je m'en rappelle plus.
Par contre, pour moi, c'est systématique : il me demande de rebooter à la fin pour finir le boulot (et je pense que c'est valable également pour le dernier << scan de contrôle >> censé être (fait sur un pc) clean (en ce qui concerne Sality).
moe : Pour mwav, c'est différent et je te donnerais plutôt une réponse de normand :-), oui et non.
[...]
Car en mode normal et lorsque l'infection est active, les fichiers *.avc qui constituent la base de donnée virale d'mwav se font presque systématiquement shooter (supprimer) par sality.
=> Oh ! Le méchant !
Voilà pourquoi je me suis permise de poser la question pour rmsality : pour mwav, t'avais la réponse ... !!!
moe : 2) Concernant l'infection de *.exe, quand je vois rmsality cleaner une floppée d'exe dans un répertoire et dire qu'une autre floppée est OK, j'ai l'impression que l'infection se propage par inodes voisins (ça, je sais pas si c'est très Windows et, à y réfléchir, pas sûre du tout que ce soit une histoire d'inodes), alors disons plutôt, par clusters voisins, mais c'est juste une supposition.
J'avoue que j'ai pas essayé de tracer avec précision l'ordre d'infection, mais une chose me semble sure, les premiers visés sont les programmes qui sont sensés se lancer au demarrage de windows, et ensuite c'est au tour des *.exe utilisés en cours de session.
=> J'ai dit ça parce que j'ai vu des pans entiers de l'install de Cygwin touchés et des pans entiers qui étaient OK + le fait que j'ai vu des trucs infectés alors que j'avais pas eu l'impression de les avoir utilisés. Ben, oui, c'est clair, j'ai utilisé aucun jeu (à part Simple Sudoku (...!!!)) depuis Juin et pourtant (pratiquement ?) tous leurs exe ont été infectés sur C: et D:. Et aussi, l'infection s'est à un moment propagée au répertoire de Sauvegarde sur F: et là, dedans, je m'y suis peut-être baladée (Windows Explorer, cmd.exe ou Cygwin), mais jamais j'ai exécuté des trucs en direct de là.
[virus :]
moe : C'est gentil d'y penser et je serais peut-être intéressé, mais tout dépend de quoi traitent exactement ceux sur les virus ?
Tu sais, on trouve facilement beaucoup de codes source sur le net, de samples pour les tests, et de bases de données pour se faire plus qu'une idée sur les diverses méthodes d'infection, mais tu viens d'éveiller ma curiosité... :-)
=> Comme je te l'ai dit, ils doivent pas être tous téléchargés, donc il faudrait que j'ouvre eMule. Mais y'a déjà ça qui y arrivé :
* (eBook) Hacking - How to Crack Any Software Protection.PDF (22 Ko) [à côté de la plaque]
* (eBook) Spy Destroy Spyware adware Site.pdf (67 Ko) [je ne sais pas trop comment interpréter le titre]
* (ebook) VMWare - VMWare Guest Operating System Installation Guide - From The O'Reilly Anthology.pdf (1046 Ko) [Absolument rien à voir, mais, si t'es pas trop à cheval sur ..., ça peut peut-être t'intéresser aussi]
* (EBOOK-DOC)_Hacking Password Protected Websites.doc (10 Ko) [encore à côté de la plaque]
* Ebook - Hackers Survival Guide.rtf (396 Ko) [ça, normalement, ça veut dire : << Comment survivre quand on est un hacker >> et non pas << Comment survivre à un hacker >>]
* ebook - Programming - hack - hackers black book.doc (635 Ko) [Moi, je connaissais plutôt les livres blancs, encore << je ne sais pas trop comment interpréterle titre >>]
* Ebook_-Coding-_Virus_Programming_Basics.zip (34 Ko) [Mais si c'est << basique >>, tu sais peut-être déjà tout.]
* Wrox.Professional.Rootkits.Mar.2007.eBook-BBL.chm (8 026 Ko) [Entre le format, qui doit être autre chose que du << HTML compilé >>, et Rootkit, que je sais pas trop ce que c'est, ...]
[autre ! :]
moe : Bah, le facteur sonne toujours deux fois, nan ?, lol
=> Bien vu (Ca fait 3, mais c'est un autre compte si tu suis ... ! ?)
moe : T'inquiètes pas pour çà, je perds pas de vue le stress qui peut y avoir quand son pc est infecté car peut-être travailles-tu avec ou t'en sers pour tes études,
=> Ni l'un, ni l'autre, par contre, je passe mon temps sur le PC (sauf que, en temps normal, c'est pas pour me battre avec des virus), en plus, ici, j'ai pas de télé et je suis téléphage, ni même de radio (en vrai, si, on m'en a prêté une vieille radio pourrie et la fréquence de la radio que j'écoute est voisine avec plein d'autres, donc c'est plein de parasites + ça change de fréquence tout seul, mais, après 2 semaines de virus et de silence (à part le ventilo), je l'ai quand même rallumée), donc les 3 semaines de virus, je les ai bien senties passer ... !!!
Mais c'est sûr que si il meurt, je vais être mal (et ça va finir par arriver). Exemple, si je voulais chercher du boulot, faut d'abord que je m'update !!! [Et, là, il suffit pas de cliquer sur kavupd.exe !]
[une histoire de clavier !:]
moe : En fait la manip exacte avec les Options Régionales et Linguistiques, que j'avais trouvé sur le net était celle-ci:
[...]
Je sais pas si c'est ce que tu as fait, mais ça coute rien d'y rejetter un oeil, non ?
=> Merci [Fais gaffe, si t'es trop gentil, je vais te poser encore plus de questions].
Oui, c'était par là que j'avais été et je viens d'y retourner avec tes infos : en fait, j'ai le Français qui est sélectionné, mais j'ai aussi l'Anglais et j'ose pas le supprimer, même si je vois pas trop à quoi ça pourrait me servir, parce que, si jamais j'avais besoin de le remettre, je suis sûre qu'il me demanderait d'insérer un CD et moi, je peux ni << insérer >>, ni << CD >> ... !!!
antivirus :
moe : 3) Quand j'ai vu au début qu'AVast voulait me mettre tous mes *.exe en quarantaine, je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? [J'ai vu un autre post : une fille qui a accepté que son antivirus supprime un fichier : je sais pas à quoi sert wininet*.*, mais j'aimerais pas être dans sa galère !] J'ai même été jusqu'à supposer que les éditeurs d'anti-virus payants et les créateurs de virus ... [tu finis la phrase comme tu le sens ... !!]
Tout à fait d'accord avec toi sauf pour le 3) ou c'est pas aussi simple.
Un AV quel qu'il soit a des paramètres de configuration concernant les actions à entreprendre lors d'une détection positive, non ?
=> Mouais, justement, j'ai l'impression qu'elle [la config] est un peu trop basique/binaire/systématique.
a) J'ai eu un peu l'impression qu'ils se posaient pas trop de question
Infection => Suppression ou au mieux quarantaine.
D'accord, 1) je suis mauvaise langue, 2) j'ai pas assez pratiqué les AV pour parler/juger 3) apparemment, j'ai vu AVG ou antivir (je sais plus) me signaler le risque associé
b) Ils pourraient adapter l'action au risque.
Mais je crois que j'ai dit plus haut ... (ben, j'arrive pas à retrouver ; en tout cas, je crois que ça concernait un fichier que m'avait fait scanner en ligne moK' s@ sur un autre site que Virustotal.com) : bref, ils m'affichaient Low Risk et, vu ma situation, j'étais pas du tout d'accord et je pense que ça concernait Sality (ou pas, mais je crois pas me tromper en disant que le risque n'avait clairement pas été << Low >> pour moi) ... !!!
moe : Je sais...ça necessite un minimum de se documenter sur le fonctionnement d'un AV et plus généralement sur ce qu'est un virus, un ver, un adware, un rootkit, un spyware...etc, et donc savoir qui tu peux éventuellement croiser sur ton pc.
=> Effectivement, j'y connais rien ; justement, si tu connais un lien qui explique la différence entre tout ce que tu viens de citer, je suis très intéressée, sinon, j'irai sur Wikipedia.
Si pour certains, les supprimer suffit, pour d'autre il y a en plus le facteur "contamination" qui entre en jeu et change la donne.
=> D'accord, je crois que ça, c'est en phase avec mon b). Donc, je continue ...
moe [dans le désordre] : Malheureusement c'est pas tout le temps le cas et notemment lorsqu'il s'agit de fichiers vitaux à windows comme tu as pu le remarquer avec le post sur wininet.dll...
=> c) Ils pourraient adapter l'action au risque qu'implique l'action/à l'importance du fichier infecté. Si ton OS marche plus, tu t'en fous un peu qu'il soit propre ou pas !!! Mais, c'est aussi valable pour (au moins) une partie de tes applis ... (D'accord, j'en veux toujours plus.)
N'empêche que, s'ils te demandent régulièrement de mettre ta base de définitions de virus à jour, ils pourraient bien en profiter pour mettre en place et à jour une base de données de l'importance stratégique des fichiers.
Autrement dit, un petit peu d'intelligence (au sens commun) là-dedans ou d'intelligence artificielle (si y'en a pas, mais si y'en a, y'en a pas assez) ferait pas de mal ...
moe : Le problème que tu soulèves c'est plutôt le fait que beaucoup de personnes sont conscientes de l'utilité d'une protection en temps réel, mais pensent à tort que l'av fera le reste et saura s'adapter à la situation à leur place.
=> C'est vrai et j'en ai fait partie : j'ai crû que si les antivirus ne nettoyaient pas, c'est parce que c'était des gratuits ou des pas bien, j'ai vite compris que non, c'était pas ça (D'où mon << je me suis dit que les antivirus étaient débiles et je me suis demandée à quoi ils servaient ? >>.)
+ cf. c) juste au-dessus.
Je crois que les éditeurs d'antivirus ont encore du boulot ; je devrais peut-être leur vendre mes idées ... !!! ???
Après tout ça, j'espère que tu travailles pas chez un éditeur d'ani-virus ... !!!
wuauapl.exe :
moe : Ce fichier est toujours présent ?
Si oui, j'aimerais bien que tu m'en fasse passer un exemplaire car il y a peu d'infos sur cet exe, le cas échéant je te ferais passer une adresse ou l'envoyer.
=> Tu pouvais pas me le dire avant !! ???
Il est pas dans sytem32\ (normal, il y a jamais été, mais il est pas non plus dans C:\WINDOWS), il est pas dans le backup de Avenger (super intelligent de dézipper ça pendant le scan de Kaspersky !!!), il est pas dans C:\VundoFix Backups, il est pas dans F:\_OTMoveIt\MovedFiles\, tu vois un autre endroit où je peux chercher ???
Ton script a dû avoir raison de lui ... !!! T'as trop bien fait !!
moe - 95 : Local Service;"C:\WINDOWS\wuauapl.exe"
Perso je le virerais sans état d'âme.
=> J'ai fait qu'est-ce que tu m'as dit ... !!
Je pense que ton script l'a viré avant le passage de mwav (qui peut-être l'aurait juste renommé), mais si un tool a pu faire un backup, dis-moi où j'ai oublié de regarder.
Il est pas non plus ici : F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups
et C:\ComboFix est vide.
Bon, j'ai envoyé un recherche par Windows des *wuau*.*, non, plutôt les *wuau* : on verra, mais j'ai bien peur que ce soit foutu ... !!! (Résultat : Néant)
Et, je suppose que celui-là t'intéresse parce qu'il ne fait pas partie de tous ceux qui ont des noms moches qui, à mon avis, sont générés (les noms) aléatoirement ???
Parce que, sinon, j'en ai d'autres à la place, si tu veux ... ! ???
moe : Date de création, modification ou dernier accès... ?
=> La date d'accès, l'impression que j'ai, avec Windows, c'est qu'il suffit que tu la regardes, pour qu'elle soit du jour ... ! Donc celle-là, je la zappe.
En Mode Sans Echec, j'ai tendance à perdre mes configs (Détails affichés, par ex.), donc la date de création, je pense pas à aller la regarder.
Donc, à chaque fois, je parle de la date de dernière modif (inclus les fichiers de cygwin et les fichiers de virus).
[J'ai un coup de barre, je vais peut-être en profiter pour aller me coucher.
+ Kaspersky vient de finir (5h18) : lui, son coup de barre a eu lieu quand il a commencé à scanner F:. Je devrais peut-être mettre des drivers (???) parce que mon PC est que USB 1.1 et mon disque est USB 2 ; là, si tu veux me dire comment je fais, je suis pas contre ou me dire comment je me débrouille pour le faire toute seule et bien !!! ...
Bon, mais toi, t'auras pas la réponse de Kaspersky : j'ai pas fini de répondre à tes posts ... !! hi hi ! Un indice : 30 et 265]
moe : => Maintenant, je ne peux plus jurer exactement de ce que j'ai fait (copie/écrasement ???), mais les 3 fichiers (sauvegarde, copie de la sauvegarde à la mauvaise place et bash.exe initial (ou écrasé ???)) sont identiques. Et ils ont tous la même date (2001), donc devraient correspondre au moment où j'avais downloadé les packages/sources (?) pour install ultérieure et être les *.exe d'origine : je sais que c'est contradictoire avec ce qui disent les anti-virus, mais ça plus le plantage au lancement avec un double pop-up (qui parle d'adresse mémoire) sans même que j'ai la main dans la fenêtre me fait penser que ce qui pose problème, c'est ce que met en place Cygwin au moment de l'install pour pouvoir << cohabiter >> avec Windows.
Je sens que la seule façon de régler le problème (sans comprendre !) se sera de réinstaller Cygwin (ailleurs) (et ça, je sens que je vais bientôt le faire).
moe : Pour la date de création de bash.exe, sincèrement je crois pas gail.
=> C'était la date de modif dont je parlais.
moe : Si ce fichier a été cleané, (ce qui me semble, sauf bétise da ma part, être aussi le cas pour le backup sur F:)
=> non, non, t'as raison.
moe : c'est sa date de modification qui a plus de chances de bouger que la date de création.
=> On est d'accord, mais justement ni les virus, ni les nettoyeurs n'ont bougé cette date de modification. Autrement dit, il est censé être intact : les dates de création correspondent aux différents moments où il a été copié sur le disque (2004 pour l'install et 2007 pour la sauvegarde) et les dates de modif, toutes identiques (2001), correspondent à la dernière fois où le binaire a été << retouché >> pendant son développement, avant qu'ils le mettent dans un << package >> et que je le downloade ...
moe : J'ai eu comme je te le disais dans un autre message, exactement le même problème (double pop up mentionnant l'adresse mémoire) avec un *.exe et le problème est survenu après son nettoyage uniquement (pendant l'infection il fonctionnait toujours).
=> Aie ! Je crois pas que t'avais précisé que toi aussi t'avais eu le double pop-up ; mouais, donc on a eu exactement le même comportement, à part que moi, c'était au 2ème passage de rmsality, bien qu'apparemment il était infecté d'avant (je revérifierai).
Bon, ouais, je crois vraiment que je vais aller dormir, je m'excuse de pas répondre à tout maintenant, mais, tu perds rien, m'est avis que j'aurais écrit un peu n'importe quoi.
+ PS : J'espère que je suis à peu près claire parce que j'arrive même pas trop à me relire => dodo !
Bon journée,
Gail.
Bon allez, parce que je suis gentille et que ça fait longtemps que tu l'attends + au cas où tu t'ennuierais ...
PS : J'ai pas pris le temps de trop le regarder/de le résumer, sinon tu l'aurais pas eu maintenant ...
Amuse-toi bien ... !!!
Log de Scan Online de Kaspersky
===========================================
PS : J'ai pas pris le temps de trop le regarder/de le résumer, sinon tu l'aurais pas eu maintenant ...
Amuse-toi bien ... !!!
Log de Scan Online de Kaspersky
===========================================
------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT Wednesday, August 29, 2007 4:10:31 AM Operating System: Microsoft Windows XP Home Edition, (Build 2600) Kaspersky Online Scanner version: 5.0.93.0 Kaspersky Anti-Virus database last update: 28/08/2007 Kaspersky Anti-Virus database records: 395339 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: extended Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ F:\ Scan Statistics: Total number of scanned objects: 195721 Number of viruses found: 30 Number of infected objects: 265 Number of suspicious objects: 0 Duration of the scan process: 05:18:22 Infected Object Name / Virus Name / Last Action C:\WINDOWS\system32\config\system.LOG Object is locked skipped C:\WINDOWS\system32\config\software.LOG Object is locked skipped C:\WINDOWS\system32\config\default.LOG Object is locked skipped C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped C:\WINDOWS\system32\config\SYSTEM Object is locked skipped C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped C:\WINDOWS\system32\config\SECURITY Object is locked skipped C:\WINDOWS\system32\config\DEFAULT Object is locked skipped C:\WINDOWS\system32\config\SAM Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped C:\WINDOWS\system32\tuvssro.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\wzfmwz.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\WINDOWS\system32\irw.exe Infected: Backdoor.Win32.SdBot.bly skipped C:\WINDOWS\system32\yayabcc.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\iifcaxy.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\mljjjjj.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\lssas.exe.mwt Infected: Backdoor.Win32.PoeBot.j skipped C:\WINDOWS\system32\mljiiii.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\lgnagpk.exe Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\zhmu.exe Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\nfj.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\jkkkjgg.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\pze.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\rqrspmj.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\nnnoomm.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\urqnnml.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\dtt.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\xcyv.exe Infected: Backdoor.Win32.VB.bco skipped C:\WINDOWS\system32\wvuurrp.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\yylzbl.exe Infected: Backdoor.Win32.VB.bco skipped C:\WINDOWS\system32\hzis.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\tgeukgrdagz.exe Infected: Net-Worm.Win32.Bobic.n skipped C:\WINDOWS\system32\wzaie.exe Infected: Backdoor.Win32.VanBot.dt skipped C:\WINDOWS\system32\gmifp.exe Infected: Backdoor.Win32.VB.bco skipped C:\WINDOWS\system32\xbftr.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\bsaz.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\zkddn.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\tsre.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\zomqcxm.exe Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\cotf.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\psm.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\cid.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\wvuuvur.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\pjolsd.exe Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\sebenktn.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\explorer.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\meb.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\iiffgef.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\winamp.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\xsisy.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\WINDOWS\system32\gjrqkgtx.exe Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\opnlkjj.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\htnl.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\bvxzt.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\abffdfz.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\yjbyhbr.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\K1\chkq22011.exe/data0004 Infected: not-a-virus:AdWare.Win32.TTC.c skipped C:\WINDOWS\system32\K1\chkq22011.exe NSIS: infected - 1 skipped C:\WINDOWS\system32\azur.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\rozncpvy.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\cnelbgu.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\dfbjsqs.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\thaglskw.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\npwi.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\iqwfouf.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\tczth.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\spooIsv.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped C:\WINDOWS\system32\xrfyz.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped C:\WINDOWS\system32\tkzg.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\yov.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\mbmw.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\gin.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\qrd.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\ouxxhru.exe.mwt Infected: Backdoor.Win32.VanBot.ax skipped C:\WINDOWS\system32\dgqq.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\col.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\rsi.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\pmnnoll.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\WINDOWS\system32\zvox.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\arf.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\iooit.exe.mwt Infected: Backdoor.Win32.VanBot.dm skipped C:\WINDOWS\system32\vmj.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\shu.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\sng.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\mtmeqc.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\yefro.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\bofcwvf.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\iexplore.exe.mwt Infected: Backdoor.Win32.IRCBot.aby skipped C:\WINDOWS\system32\qzpcpkzp.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\eig.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\cvx.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\jwvspnlv.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\vcz.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\zndhoau.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\ratl.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\eopfaq.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\sjaoeitz.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\rrksnua.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\xlwccl.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\ned.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\rja.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\rfg.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\cox.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\dzg.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\rpqh.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\eseeasj.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\lao.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\wyyjgw.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\WINDOWS\system32\xlnpmob.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\ztj.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\nyl.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\dftfkso.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\bbawyehf.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\pyckozxu.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\ilramwgr.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\dfen.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\roxxbtfa.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\mazlixdp.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\hjwfvap.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped C:\WINDOWS\system32\dzk.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\mzx.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\mou.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\pri.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\brlbbwlr.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\awcxfb.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\lunbt.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\vwuiqbck.exe.mwt Infected: Backdoor.Win32.VanBot.ax skipped C:\WINDOWS\system32\tldtjjvc.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\peogmna.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\kyvj.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped C:\WINDOWS\system32\onb.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\icjbl.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\mdmknpjl.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\vfnoithx.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped C:\WINDOWS\system32\utgiqm.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\dlrfmt.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\xswz.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\wiljye.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\rmwiprfs.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\xeycfz.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\wvtirf.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\cjhkwdm.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\aysoeowh.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\bgrojkun.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\xaivcbsb.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\answs.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\plpqlw.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\qkl.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\oxfwzj.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\qfo.exe.mwt Infected: Backdoor.Win32.SdBot.bhk skipped C:\WINDOWS\system32\firewall.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\cnrnter.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\jkawzpv.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\ajwbctn.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\spoolsvc.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\WINDOWS\system32\geeeeca.dll.mwt Infected: Packed.Win32.Klone.k skipped C:\WINDOWS\system32\qopqnnn.dll.mwt Infected: Packed.Win32.Klone.k skipped C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\0CD66B26.exe.mwt Infected: Backdoor.Win32.Bifrose.dx skipped C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped C:\Documents and Settings\xxx\NTUSER.DAT Object is locked skipped C:\Documents and Settings\xxx\ntuser.dat.LOG Object is locked skipped C:\Documents and Settings\xxx\Local Settings\Historique\History.IE5\index.dat Object is locked skipped C:\Documents and Settings\xxx\Local Settings\Historique\History.IE5\MSHist012007082820070829\index.dat Object is locked skipped C:\Documents and Settings\xxx\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped C:\Documents and Settings\xxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\xxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\xxx\Local Settings\Temp\~DF9155.tmp Object is locked skipped C:\Documents and Settings\xxx\Cookies\index.dat Object is locked skipped C:\Program Files\MSN Gaming Zone\mewejezis22011.exe Infected: not-a-virus:AdWare.Win32.TTC.c skipped C:\Program Files\JoWooD\SpellForce\Support\SFGold_Support.exe.mwt Infected: Virus.Win32.Sality.l skipped C:\Program Files\JoWooD\SpellForce\SpellForce.exe Infected: Virus.Win32.Sality.l skipped C:\VundoFix Backups\awtsspp.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\byxvttu.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\byxywur.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\jkkjiff.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\mllji.exe.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.af skipped C:\VundoFix Backups\pmnkljj.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\qomlkji.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\rqrronn.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\urqrqrr.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\wvurqno.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\wvuussr.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\xxyxvtr.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\xxyxxuv.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\xxyyvst.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\urqomkj.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\awvtrss.dll.bad.mwt Infected: Packed.Win32.Klone.k skipped C:\VundoFix Backups\spooIsv.exe.bad.mwt Infected: Backdoor.Win32.PoeBot.j skipped C:\VundoFix Backups\winIogon.exe.bad.mwt Infected: Backdoor.Win32.Agent.apf skipped C:\VundoFix Backups\cbxywxu.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\ddcbcca.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\gebabcd.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\gebcdcc.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\khfdabb.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\qommkkj.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\rqrppqn.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\rqrqnnm.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\urqrpom.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\xxyvwwx.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\VundoFix Backups\algs.exe.bad.mwt Infected: Backdoor.Win32.VanBot.dl skipped C:\dc.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/wvurqno.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/foreng.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ke skipped C:\avenger\backup.zip/avenger/awvtrss.dll.mwt Infected: Packed.Win32.Klone.k skipped C:\avenger\backup.zip/avenger/Rtsecar.exe.mwt Infected: Backdoor.Win32.IRCBot.wd skipped C:\avenger\backup.zip/avenger/ssqrppq.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/wmimgr32.dll Infected: Virus.Win32.Sality.k skipped C:\avenger\backup.zip/avenger/wmimgr32.dll.mwt Infected: Virus.Win32.Sality.k skipped C:\avenger\backup.zip/avenger/khfebcc.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/yvplv.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/fsox.exe.mwt Infected: Backdoor.Win32.PoeBot.j skipped C:\avenger\backup.zip/avenger/hujcucy.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/nihiwirh.exe.mwt Infected: Backdoor.Win32.PoeBot.j skipped C:\avenger\backup.zip/avenger/fccayww.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/urstutr.dll.mwt Infected: Packed.Win32.Klone.k skipped C:\avenger\backup.zip/avenger/opnklmn.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/gebabcd.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/pmnmlig.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/otzznm.exe.mwt Infected: Backdoor.Win32.Nepoe.c skipped C:\avenger\backup.zip/avenger/nlfbz.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/tuspppp.dll.mwt Infected: Packed.Win32.Klone.k skipped C:\avenger\backup.zip/avenger/ljjjiig.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/jkdxs.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/wquyt.exe.mwt Infected: Virus.Win32.Sality.l skipped C:\avenger\backup.zip/avenger/khffebc.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/ljjhecy.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/qomnkll.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/wcaic.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/uloba.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped C:\avenger\backup.zip/avenger/mljghfg.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip/avenger/ssqpmjg.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped C:\avenger\backup.zip ZIP: infected - 30 skipped C:\Download_Internet\Contenu Clé USB\Corrompus\CubicleChaos.exe.mwt Infected: Virus.Win32.Sality.l skipped C:\Download_Internet\Contenu Clé USB\Corrompus\dxwebsetup.exe.mwt Infected: Virus.Win32.Sality.l skipped C:\Download_Internet\Contenu Clé USB\Corrompus\MSpuzzle.exe.mwt Infected: Virus.Win32.Sality.l skipped C:\Download_Internet\Contenu Clé USB\Modifiés par CHKDSK - A Rerécupérer\Alcohol120_trial_1_9_2_1705.exe.mwt Infected: Virus.Win32.Sality.l skipped C:\Download_Internet\Contenu Clé USB\Modifiés par CHKDSK - A Rerécupérer\DSX_BonusPackXP.exe.mwt Infected: Virus.Win32.Sality.l skipped D:\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe/stream/data0040 Infected: not-a-virus:AdWare.Win32.NewDotNet skipped D:\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe/stream/data0041 Infected: not-a-virus:AdWare.Win32.Lop.ai skipped D:\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe/stream Infected: not-a-virus:AdWare.Win32.Lop.ai skipped D:\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe NSIS: infected - 3 skipped D:\Securite\Trend Micro\mon_HJT2\backups\backup-20070823-192436-447.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped D:\Securite\Trend Micro\mon_HJT2\backups\backup-20070823-192436-240.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ke skipped D:\Securite\Trend Micro\mon_HJT2\backups\backup-20070823-192643-547.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped D:\Securite\Trend Micro\mon_HJT2\backups\backup-20070823-192643-625.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ke skipped D:\Securite\Trend Micro\mon_HJT2\backups\backup-20070823-192728-607.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped D:\Securite\Trend Micro\mon_HJT2\backups\backup-20070823-192728-549.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ke skipped F:\A_trier\Depot_NetTransport\clean.zip/clean/pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k skipped F:\A_trier\Depot_NetTransport\clean.zip ZIP: infected - 1 skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Download_Internet\Contenu Clé USB\Corrompus\CubicleChaos.exe.mwt Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Download_Internet\Contenu Clé USB\Corrompus\dxwebsetup.exe.mwt Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Download_Internet\Contenu Clé USB\Corrompus\MSpuzzle.exe.mwt Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Download_Internet\Contenu Clé USB\Modifiés par CHKDSK - A Rerécupérer\Alcohol120_trial_1_9_2_1705.exe.mwt Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Download_Internet\Contenu Clé USB\Modifiés par CHKDSK - A Rerécupérer\DSX_BonusPackXP.exe.mwt Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Program Files\JoWooD\SpellForce\SpellForce.exe Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (C)\Program Files\JoWooD\SpellForce\Support\SFGold_Support.exe.mwt Infected: Virus.Win32.Sality.l skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (D)\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe/stream/data0040 Infected: not-a-virus:AdWare.Win32.NewDotNet skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (D)\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe/stream/data0041 Infected: not-a-virus:AdWare.Win32.Lop.ai skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (D)\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe/stream Infected: not-a-virus:AdWare.Win32.Lop.ai skipped F:\Sauvegardes\Copie_Du_PC_XP\Disque local (D)\Download Internet\Contenu_Clé_USB_6\WarezP2P_TDL.exe NSIS: infected - 3 skipped F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups\lssas.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups\spooIsv.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups\spoolsvc.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups\UERSV_0001_N91M2704NetInstaller.exe Infected: not-a-virus:Downloader.Win32.WinFixer.o skipped F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups\winamp.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups\winIogon.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped F:\Stockage\Logiciels\Virus\siri.urz.free.fr\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped F:\Stockage\Logiciels\Virus\siri.urz.free.fr\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped F:\Stockage\Logiciels\Virus\siri.urz.free.fr\SmitfraudFix.zip ZIP: infected - 1 skipped F:\Stockage\Logiciels\Virus\www.malekal.com\clean\pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k skipped F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped F:\_OTMoveIt\MovedFiles\Program Files\ErrorSafe Free\uers.exe Infected: not-a-virus:Downloader.Win32.WinFixer.j skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\algs.exe.mwt Infected: Backdoor.Win32.VanBot.dl skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\awvtrss.dll.mwt Infected: Packed.Win32.Klone.k skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\csrs.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\ddcccdd.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\ddcyaxx.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\dllcache\ivchost.exe.mwt Infected: Backdoor.Win32.SdBot.aad skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\Isass.exe.mwt Infected: Backdoor.Win32.PoeBot.c skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\lssas.exe.mwt Infected: Backdoor.Win32.Agent.apf skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\mljjghg.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\pmnmnop.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\ssqropn.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\tuvwuuu.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\winIogon.exe.mwt Infected: Backdoor.Win32.PoeBot.j skipped F:\_OTMoveIt\MovedFiles\WINDOWS\system32\wmimgr32.dll.mwt Infected: Virus.Win32.Sality.k skipped Scan process completed.===========================================
Coucou Gail
Ahhh ! Enfin le voilà :-) ! (<- parce que tu es gentille et que je fais comme si j'avais pas lu que tu trépignais d'impatience à l'idée d'avoir ce rapport toi aussi ! :-p)
Franchement Gail, ne te fies pas aux chiffres, le rapport est très très positif.
La majorité des fichiers infectieux, ont déjà été renommés (et donc rendus inactifs) par mwav et si j'ai pas lu en diagonale, Sality est désormais inactif, même si le jeu Speelforce est encore infecté. (surtout ne le lances pas lol !)
Les autres se situant dans les backups des divers outils que tu as utilisé jusqu'à maintenant et qu'il te sera très facile de supprimer.
A partir de ce rapport, on peut procéder de deux façons, mais j'attendrais ton avis avant de te proposer quoi que ce soit.
(Bien que j'ai déjà commencé ce midi à mettre en place un script pour la majorité des fichiers détectés, pour The Avenger .)
Donc:
1/
Tu décides que Speelforce n'est pas un prog que tu souhaites spécialement garder ou que tu pourras retélécharger (les backups sur F: sont touchées aussi) plus tard.
Et du coup je l'inclus dans le script Avenger.
2/
Tu souhaites tenter une dernière fois une désinfection Sality pour essayer de cleaner Speelforce et donc je ne l'inclus pas dans le script.
En fonction de ta réponse et du rapport hijackthis que je t'avais aussi demandé, j'adapterais ma manip à te proposer.
Ce que tu peux faire en attendant, c'est :
1/
De supprimer les backups des divers fix utilisés (sauf celles d'hijacthis, se sera pour plus tard):
C:\VundoFix Backups
F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups
F:\_OTMoveIt
C:\avenger\backup.zip
2/
De te féliciter (si, si, tu peux !) pour n'avoir rien laché depuis trois semaines, ta persévérance commence à porter ses fruits, doucement, mais surement :-)
Hé... un pied de nez au facteur !!
A plus tard, et douce "nuit".
Ahhh ! Enfin le voilà :-) ! (<- parce que tu es gentille et que je fais comme si j'avais pas lu que tu trépignais d'impatience à l'idée d'avoir ce rapport toi aussi ! :-p)
Franchement Gail, ne te fies pas aux chiffres, le rapport est très très positif.
La majorité des fichiers infectieux, ont déjà été renommés (et donc rendus inactifs) par mwav et si j'ai pas lu en diagonale, Sality est désormais inactif, même si le jeu Speelforce est encore infecté. (surtout ne le lances pas lol !)
Les autres se situant dans les backups des divers outils que tu as utilisé jusqu'à maintenant et qu'il te sera très facile de supprimer.
A partir de ce rapport, on peut procéder de deux façons, mais j'attendrais ton avis avant de te proposer quoi que ce soit.
(Bien que j'ai déjà commencé ce midi à mettre en place un script pour la majorité des fichiers détectés, pour The Avenger .)
Donc:
1/
Tu décides que Speelforce n'est pas un prog que tu souhaites spécialement garder ou que tu pourras retélécharger (les backups sur F: sont touchées aussi) plus tard.
Et du coup je l'inclus dans le script Avenger.
2/
Tu souhaites tenter une dernière fois une désinfection Sality pour essayer de cleaner Speelforce et donc je ne l'inclus pas dans le script.
En fonction de ta réponse et du rapport hijackthis que je t'avais aussi demandé, j'adapterais ma manip à te proposer.
Ce que tu peux faire en attendant, c'est :
1/
De supprimer les backups des divers fix utilisés (sauf celles d'hijacthis, se sera pour plus tard):
C:\VundoFix Backups
F:\Stockage\Logiciels\Virus\downloads.AndyManchesta.com\SDFix\backups
F:\_OTMoveIt
C:\avenger\backup.zip
2/
De te féliciter (si, si, tu peux !) pour n'avoir rien laché depuis trois semaines, ta persévérance commence à porter ses fruits, doucement, mais surement :-)
Hé... un pied de nez au facteur !!
A plus tard, et douce "nuit".
Bonjour moe,
Pour les posts, je continuerai plus tard.
Pour les logs,
* Rem. : Kaspersky contient encore du Sality (et je suis étonnée) que je considère comme non actif, puisque c'est dans mon répertoire de sauvegarde et que de là, je n'exécute rien ;
* HJT : j'ai fait la startup-list, j'avais fait aussi un scan avant (comme toujours au démarrage), je te poste (tu m'as pas dit de pas poster !) juste la start-up list parce que c'est déjà super-long ; dans le HJT normal, y'a des vieux trucs moches et pas actifs qui traînent (la dll correspondante n'existe plus ou a été renommée), mais je les enlève pas (i.e. je les fixe pas), parce que je veux qu'ils soient virés proprement et définitivement (i.e. qu'ils n'apparaissent pas non plus en décoché dans autoruns).
Bonne journée,
Gail.
PS : Maintenant, je rescanne les fichiers d'antivir (ou Kaspersky m'a suffit ???) - bon, juste quelques-uns pour être sûre -, je le remets à jour et je refais un scan complet.
Log (Start-up List) [super-long] de HijackThis :
========================================
========================================
Pour les posts, je continuerai plus tard.
Pour les logs,
* Rem. : Kaspersky contient encore du Sality (et je suis étonnée) que je considère comme non actif, puisque c'est dans mon répertoire de sauvegarde et que de là, je n'exécute rien ;
* HJT : j'ai fait la startup-list, j'avais fait aussi un scan avant (comme toujours au démarrage), je te poste (tu m'as pas dit de pas poster !) juste la start-up list parce que c'est déjà super-long ; dans le HJT normal, y'a des vieux trucs moches et pas actifs qui traînent (la dll correspondante n'existe plus ou a été renommée), mais je les enlève pas (i.e. je les fixe pas), parce que je veux qu'ils soient virés proprement et définitivement (i.e. qu'ils n'apparaissent pas non plus en décoché dans autoruns).
Bonne journée,
Gail.
PS : Maintenant, je rescanne les fichiers d'antivir (ou Kaspersky m'a suffit ???) - bon, juste quelques-uns pour être sûre -, je le remets à jour et je refais un scan complet.
Log (Start-up List) [super-long] de HijackThis :
========================================
StartupList report, 29/08/2007, 13:23:44
StartupList version: 1.52.2
Started from : D:\Securite\Trend Micro\mon_HJT2\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Securite\Trend Micro\mon_HJT2\mon_slclalnlnlelr.exe
C:\Program Files\Freewares\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\NOTEPAD.EXE /* J'allège un peu : il y en avait 11 !!! */
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Securite\Trend Micro\mon_HJT2\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[C:\Documents and Settings\Xantopoulos\Menu Démarrer\Programmes\Démarrage]
*No files*
Shell folders AltStartup:
*Folder not found*
User shell folders Startup:
*Folder not found*
User shell folders AltStartup:
*Folder not found*
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
*No files*
Shell folders Common AltStartup:
*Folder not found*
User shell folders Common Startup:
*Folder not found*
User shell folders Alternate Common Startup:
*Folder not found*
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*
[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[AutorunsDisabled]
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
nwiz = nwiz.exe /installquiet
00THotkey = C:\WINDOWS\System32\00THotkey.exe
000StTHK = 000StTHK.exe
Tpwrtray = TPWRTRAY.EXE
TosHKCW.exe = "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
TFNF5 = TFNF5.exe
QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime
DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033
WLANSTA.EXE = WLANSTA.EXE START
TkBellExe = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
Norton Ghost 9.0 = D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe
ccApp = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
SSC_UserPrompt = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
avast! = D:\Securite\ALWILS~1\Avast4\ashDisp.exe
avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
!AVG Anti-Spyware = "D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
xMbZYI\wavVaYJ`IaatLx = C:\WINDOWS\System32\dvnfujbyj.exe
Service Host = C:\DOCUME~1\XANTOP~1\LOCALS~1\Temp\winghocu¥.exe
TouchED = C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
Apoint = C:\Program Files\Apoint2K\Apoint.exe
[OptionalComponents]
*No values found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[AutorunsDisabled]
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
[nView]
NVIEW = rundll32.exe nview.dll,nViewLoadHook
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Default) = "%1" /S
--------------------------------------------------
File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command
(Default) = C:\WINDOWS\system32\mshta.exe "%1" %*
--------------------------------------------------
File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\msmsgs.inf,BLC.Install.PerUser
[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install
[{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}] *
StubPath = rundll32 iesetup.dll,IEAccessUserInst
--------------------------------------------------
Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps
*Registry key not found*
--------------------------------------------------
Load/Run keys from C:\WINDOWS\WIN.INI:
load=*INI section not found*
run=*INI section not found*
Load/Run keys from Registry:
HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINDOWS\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Regedit.exe has no CompanyName property! It is either missing or named something else.
- Regedit.exe has no OriginalFilename property! It is either missing or named something else.
- Regedit.exe has no FileDescription property! It is either missing or named something else.
Registry check failed!
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\WINDOWS\system32\wvurqno.dll (file missing) - {3964D8D6-86D0-493A-B460-A805B5401114}
NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXIEHelper.dll - {83B80A9C-D91A-4F22-8DCF-EA7204039F79}
(no name) - C:\WINDOWS\system32\foreng.dll (file missing) - {96ba25f3-c763-4d8e-9cf2-de6270a55345}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD}
(no name) - C:\WINDOWS\System32\tuspm.dll (file missing) - {D6AE4EE5-4E9B-42A6-98E6-72EDC114725F}
--------------------------------------------------
Enumerating Task Scheduler jobs:
Lecteur Windows Media.job
Symantec NetDetect.job
Norton AntiVirus - Run Full System Scan - Xantopoulos.job
--------------------------------------------------
Enumerating Download Program Files:
[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab
OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
[CKAVWebScan Object]
InProcServer32 = C:\WINDOWS\System32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
CODEBASE = http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://www.update.microsoft.com/...
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash9d.ocx
CODEBASE = http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32\mswsock.dll
Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
Protocol #6: C:\WINDOWS\system32\rsvpsp.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll
Protocol #12: C:\WINDOWS\system32\mswsock.dll
Protocol #13: C:\WINDOWS\system32\mswsock.dll
Protocol #14: C:\WINDOWS\system32\mswsock.dll
Protocol #15: C:\WINDOWS\system32\mswsock.dll
Protocol #16: C:\WINDOWS\system32\mswsock.dll
--------------------------------------------------
Enumerating Windows NT/2000/XP services
Service d'installation du pilote audio Intel(r) 82801 (WDM): system32\drivers\ac97intc.sys (manual start)
accwiz: "C:\WINDOWS\accwiz.exe" (disabled)
Pilote ACPI Microsoft: System32\DRIVERS\ACPI.sys (system)
Suppresseur d'écho acoustique (Noyau Microsoft): system32\drivers\aec.sys (manual start)
Environnement de prise en charge de réseau AFD: \SystemRoot\System32\drivers\afd.sys (autostart)
Filtre de bus AGP Intel: System32\DRIVERS\agp440.sys (system)
Avertissement: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Service de la passerelle de la couche Application: %SystemRoot%\System32\alg.exe (manual start)
AntiVir PersonalEdition Classic Scheduler: "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" (disabled)
AntiVir PersonalEdition Classic Guard: "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" (disabled)
Alps Pointing-device Filter Driver: System32\DRIVERS\Apfiltr.sys (manual start)
Gestion d'applications: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Protocole client ARP 1394: System32\DRIVERS\arp1394.sys (manual start)
ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)
avast! iAVS4 Control Service: "D:\Securite\Alwil Software\Avast4\aswUpdSv.exe" (disabled)
Pilote de média asynchrone RAS: System32\DRIVERS\asyncmac.sys (manual start)
Contrôleur de disque dur IDE/ESDI standard: System32\DRIVERS\atapi.sys (system)
Protocole client ATM ARP: System32\DRIVERS\atmarpc.sys (manual start)
Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote audio Stub: System32\DRIVERS\audstub.sys (manual start)
avast! Antivirus: "D:\Securite\Alwil Software\Avast4\ashServ.exe" (disabled)
avast! Mail Scanner: "D:\Securite\Alwil Software\Avast4\ashMaiSv.exe" /service (manual start)
avast! Web Scanner: "D:\Securite\Alwil Software\Avast4\ashWebSv.exe" /service (manual start)
AVG Anti-Spyware Driver: \??\D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.sys (system)
AVG Anti-Spyware Guard: D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe (disabled)
AVG Anti-Spyware Clean Driver: System32\DRIVERS\AvgAsCln.sys (system)
avgntdd: SYSTEM32\DRIVERS\avgntdd.sys (system)
avgntmgr: SYSTEM32\DRIVERS\avgntmgr.sys (system)
avipbb: System32\DRIVERS\avipbb.sys (system)
Service de transfert intelligent en arrière-plan: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pont MAC: System32\DRIVERS\bridge.sys (manual start)
Miniport de pont MAC: System32\DRIVERS\bridge.sys (manual start)
Explorateur d'ordinateur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
catchme: \??\C:\DOCUME~1\XANTOP~1\LOCALS~1\Temp\catchme.sys (manual start)
Symantec Event Manager: "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" (disabled)
Symantec Settings Manager: "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe" (disabled)
Pilote de CD-ROM: System32\DRIVERS\cdrom.sys (system)
Indexing Service: %SystemRoot%\system32\cisvc.exe (manual start)
Gestionnaire de l'Album: %SystemRoot%\system32\clipsrv.exe (manual start)
Pilote d'adaptateur secteur Microsoft: System32\DRIVERS\CmBatt.sys (manual start)
Pilote de batterie composite Microsoft: System32\DRIVERS\compbatt.sys (system)
Application système COM+: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Services de cryptographie: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
d347bus: System32\DRIVERS\d347bus.sys (system)
d347prt: System32\Drivers\d347prt.sys (system)
Client DHCP: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote de disque: System32\DRIVERS\disk.sys (system)
Service d'administration du Gestionnaire de disque logique: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
dmio: System32\drivers\dmio.sys (disabled)
dmload: System32\drivers\dmload.sys (disabled)
Gestionnaire de disque logique: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Synthétiseur DLS du noyau Microsoft: system32\drivers\DMusic.sys (manual start)
Client DNS: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
DomainService: C:\WINDOWS\System32\qcjrswto.exe /service (disabled)
Filtre de décodeur DRM (Noyau Microsoft): system32\drivers\drmkaud.sys (manual start)
Intel(R) PRO Adapter Driver: System32\DRIVERS\e100b325.sys (manual start)
Error Reporting Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Journal des événements: %SystemRoot%\system32\services.exe (autostart)
Système d'événements de COM+: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Compatibilité avec le Changement rapide d'utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Freecom Cable II PCMCIA Driver: System32\Drivers\FCPCMCIA.sys (manual start)
Pilote de contrôleur de lecteur de disquettes: System32\DRIVERS\fdc.sys (manual start)
Pilote de lecteur de disquettes: System32\DRIVERS\flpydisk.sys (manual start)
Pilote du Gestionnaire de volume: System32\DRIVERS\ftdisk.sys (system)
GEARSecurity: %SystemRoot%\System32\GEARSec.exe (disabled)
Classificateur de paquets générique: System32\DRIVERS\msgpc.sys (manual start)
Aide et support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Accès du périphérique d'interface utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Pilote pour clavier i8042 et souris sur port PS/2: System32\DRIVERS\i8042prt.sys (system)
Service COM de gravage de CD IMAPI: C:\WINDOWS\System32\imapi.exe (manual start)
IntelIde: System32\DRIVERS\intelide.sys (system)
Pilote de filtre de trafic IP: System32\DRIVERS\ipfltdrv.sys (manual start)
Pilote de tunnelage IP dans IP: System32\DRIVERS\ipinip.sys (manual start)
Traducteur d'adresses réseau IP: System32\DRIVERS\ipnat.sys (manual start)
Pilote IPSEC: System32\DRIVERS\ipsec.sys (system)
Protocole IrDA: System32\DRIVERS\irda.sys (autostart)
Service énumérateur IR: System32\DRIVERS\irenum.sys (manual start)
Moniteur infrarouge: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote de bus Plug-and-Play ISA/EISA: System32\DRIVERS\isapnp.sys (system)
Pilote de la classe Clavier: System32\DRIVERS\kbdclass.sys (system)
Mélangeur audio Wave de noyau Microsoft: system32\drivers\kmixer.sys (manual start)
Serveur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Station de travail: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Assistance TCP/IP NetBIOS: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Local Service: "C:\WINDOWS\wuauapl.exe" (disabled)
Affichage des messages: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Partage de Bureau à distance NetMeeting: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
Pilote de la classe Souris: System32\DRIVERS\mouclass.sys (system)
Redirecteur client WebDav: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: C:\WINDOWS\System32\msiexec.exe /V (manual start)
Proxy de service de répartition Microsoft: system32\drivers\MSKSSRV.sys (manual start)
Proxy d'horloge de répartition Microsoft: system32\drivers\MSPCLOCK.sys (manual start)
Proxy de gestion de qualité de répartition Microsoft: system32\drivers\MSPQM.sys (manual start)
Norton AntiVirus Auto-Protect Service: "C:\Program Files\Norton AntiVirus\navapsvc.exe" (disabled)
NAVENG: \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20050912.024\NAVENG.SYS (manual start)
NAVEX15: \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20050912.024\NAVEX15.SYS (manual start)
Pilote TAPI NDIS d'accès distant: System32\DRIVERS\ndistapi.sys (manual start)
NDIS mode utilisateur E/S Protocole: System32\DRIVERS\ndisuio.sys (manual start)
Pilote réseau étendu NDIS d'accès distant: System32\DRIVERS\ndiswan.sys (manual start)
Interface NetBIOS: System32\DRIVERS\netbios.sys (system)
NetBIOS sur TCP/IP: System32\DRIVERS\netbt.sys (system)
DDE réseau: %SystemRoot%\system32\netdde.exe (manual start)
DSDM DDE réseau: %SystemRoot%\system32\netdde.exe (manual start)
Ouverture de session réseau: %SystemRoot%\System32\lsass.exe (manual start)
Connexions réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pilote réseau 1394: System32\DRIVERS\nic1394.sys (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Norton Ghost: D:\Securite\Symantec\Norton Ghost\Agent\PQV2iSvc.exe (disabled)
Norton AntiVirus Firewall Monitor Service: "C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe" (disabled)
Norton Protection Center Service: "C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE" (manual start)
Fournisseur de la prise en charge de sécurité LM NT: %SystemRoot%\System32\lsass.exe (manual start)
Stockage amovible: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
nv: System32\DRIVERS\nv4_mini.sys (manual start)
NVIDIA Driver Helper Service: %SystemRoot%\System32\nvsvc32.exe (disabled)
Pilote de filtre de trafic IPX: System32\DRIVERS\nwlnkflt.sys (manual start)
Pilote de transfert de trafic IPX: System32\DRIVERS\nwlnkfwd.sys (manual start)
Contrôleur hôte Texas Instruments IEEE 1394 compatible OHCI (Open Host Controller Interface): System32\DRIVERS\ohci1394.sys (system)
Pilote de port parallèle: System32\DRIVERS\parport.sys (manual start)
Pilote de bus PCI: System32\DRIVERS\pci.sys (system)
pciSd: System32\DRIVERS\tossdpci.sys (manual start)
Pcmcia: System32\DRIVERS\pcmcia.sys (system)
Plug-and-Play: %SystemRoot%\system32\services.exe (autostart)
Services IPSEC: %SystemRoot%\System32\lsass.exe (autostart)
Miniport réseau étendu (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Pilote processeur: System32\DRIVERS\processr.sys (system)
Emplacement protégé: %SystemRoot%\system32\lsass.exe (autostart)
Planificateur de paquets QoS: System32\DRIVERS\psched.sys (manual start)
Pilote de liaison parallèle directe: System32\DRIVERS\ptilink.sys (manual start)
Pilote de connexion automatique d'accès distant: System32\DRIVERS\rasacd.sys (system)
Gestionnaire de connexion automatique d'accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Miniport réseau étendu (IrDA): System32\DRIVERS\rasirda.sys (manual start)
Miniport réseau étendu (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
Gestionnaire de connexions d'accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pilote PPPOE d'accès à distance: System32\DRIVERS\raspppoe.sys (manual start)
Parallèle direct: System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Gestionnaire de session d'aide sur le Bureau à distance: C:\WINDOWS\system32\sessmgr.exe (manual start)
Pilote de filtre de lecture digitale de CD audio: System32\DRIVERS\redbook.sys (system)
Routage et accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Localisateur d'appels de procédure distante (RPC): %SystemRoot%\System32\locator.exe (manual start)
Appel de procédure distante (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
Gestionnaire de comptes de sécurité: %SystemRoot%\system32\lsass.exe (autostart)
SAVRT: \??\C:\Program Files\Norton AntiVirus\SAVRT.SYS (manual start)
SAVRTPEL: \??\C:\Program Files\Norton AntiVirus\SAVRTPEL.SYS (system)
Symantec AVScan: "C:\Program Files\Norton AntiVirus\SAVScan.exe" (manual start)
Prise en charge des cartes à puces: %SystemRoot%\System32\SCardSvr.exe (manual start)
Carte à puce: %SystemRoot%\System32\SCardSvr.exe (manual start)
Planificateur de tâches: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Connexion secondaire: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Notification d'événement système: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Internet Connection Sharing: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Détection matériel noyau: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Smart Card Client : "C:\WINDOWS\SCardClnt.exe" (disabled)
SMC IrCC Miniport Device Driver: System32\DRIVERS\smcirda.sys (manual start)
Symantec Network Drivers Service: "C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe" (manual start)
SPBBCDrv: \??\C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys (manual start)
SPBBCSvc: "C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe" (disabled)
Splitter audio du noyau Microsoft: system32\drivers\splitter.sys (manual start)
Spouleur d'impression: %SystemRoot%\system32\spoolsv.exe (autostart)
Pilote de filtre de restauration système: System32\DRIVERS\sr.sys (system)
Service de restauration système: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
Service de découvertes SSDP: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
SSHDRV52: \??\C:\WINDOWS\System32\drivers\SSHDRV52.sys (system)
ssmdrv: System32\DRIVERS\ssmdrv.sys (system)
Acquisition d'image Windows (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (manual start)
Pilote de bus logiciel: System32\DRIVERS\swenum.sys (manual start)
Synthétiseur de table de sons GC noyau Microsoft: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{9AB82752-AD8C-4FFC-8886-776CC7D95B25} (manual start)
Symantec Core LC: "C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe" (disabled)
SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start)
SymEvent: \??\C:\Program Files\Symantec\SYMEVENT.SYS (manual start)
SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start)
SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start)
SYMIDSCO: \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\IDS-DI~1\20070809.002\symidsco.sys (manual start)
symlcbrd: \??\C:\WINDOWS\System32\drivers\symlcbrd.sys (autostart)
SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start)
SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start)
SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system)
Périphérique audio système du noyau Microsoft: system32\drivers\sysaudio.sys (manual start)
Journaux et alertes de performance: %SystemRoot%\system32\smlogsvc.exe (manual start)
Téléphonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pilote du protocole TCP/IP: System32\DRIVERS\tcpip.sys (system)
Pilote de périphérique terminal: System32\DRIVERS\termdd.sys (system)
Services Terminal Server: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Thèmes: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TOSHIBA Software Modem: System32\DRIVERS\LTSM.sys (manual start)
Client de suivi de lien distribué: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TOSHIBA SD Card Host Controller Driver: System32\DRIVERS\tsdhd.sys (manual start)
Toshiba ACPI-Based Value Added Logical Device Driver: System32\DRIVERS\TVALD.SYS (system)
Toshiba Value Added Logical and General Purpose Device Driver: System32\DRIVERS\TVALG.SYS (system)
Pilote de mise à jour microcode: System32\DRIVERS\update.sys (manual start)
Gestionnaire de téléchargement: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Hôte de périphérique universel Plug-and-Play: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Uninterruptible Power Supply: %SystemRoot%\System32\ups.exe (manual start)
Concentrateur USB2: System32\DRIVERS\usbhub.sys (manual start)
Pilote de stockage de masse USB: System32\DRIVERS\USBSTOR.SYS (manual start)
Pilote miniport de contrôleur hôte universel USB Microsoft: System32\DRIVERS\usbuhci.sys (manual start)
Virtual CD-ROM Device Driver: \??\D:\Download Internet\Tempo\Nouveau dossier (2)\winxpvirtualcdcontrolpanel_21\VCdRom.sys (system)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
Cliché instantané de volume: %SystemRoot%\System32\vssvc.exe (manual start)
Horloge Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote ARP IP d'accès distant: System32\DRIVERS\wanarp.sys (manual start)
Pilote WINMM de compatibilité audio WDM Microsoft: system32\drivers\wdmaud.sys (manual start)
YAMAHA AC-XG Audio Device: system32\drivers\yacxgc.sys (manual start)
WebClient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Infrastructure de gestion Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
NETGEAR Wireless 802.11b LAN RB Driver: System32\DRIVERS\MA401RB.sys (manual start)
Numéro de série du média portable: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Carte de performance WMI: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Mises à jour automatiques: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Configuration automatique sans fil: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
UPnPMonitor: C:\WINDOWS\System32\upnpui.dll
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*No values found*
--------------------------------------------------
End of report, 36 031 bytes
Report generated in 0,191 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
========================================
Contente de te lire.
moe : Lol, Afideg, t'inquiètes pas pour ma survie, d'autant plus que c'est moi qui ait demandé ces rapports :-)
=> Tant mieux et merci de me défendre !
moe : Merci pour la synthèse en tout cas !
=> J'ai même pas compris ce qu'il a viré parce que peut-être que je pouvais le faire (si je peux vous faciliter le travail, c'est la moindre des choses !).
moe : Bah non je ne suis pas encore mort,
=> Tout va bien, alors !
moe : mais bordélique seulement
=> C'est pas moi qui me permettrais de faire des commentaires là-dessus ... !!
moe : continuer les tests en VM avec plusieurs variantes de sality,
=> Je sais pas ce que c'est qu'une Virtual Machine, et je me demandais si vous étiez assez << fous >> pour injecter des virus sur un PC de test, vu tous les problèmes que j'ai (j'aurais préféré tomber dans le bain des virus un peu moins fort pour un début !!!), je me disais que vous aviez vraiment pas peur, mais là, je comprends un peu mieux ...
moe : désolé par avance pour les (très, très...) grand coups de canifs aux réponses à tes questions Gail, ce n'est pas faute de vouloir mais de pouvoir surtout.
=> C'est bon, je comprends très bien, en plus, t'as répondu aux 2 principales (FireWall et Cygwin), mais attends ! : j'en ai des nouvelles ... !!!
+ éventuellement, le fait que svchost (SERVICE RESEAU) continue à me bouffer beaucoup de CPU (inclus non connectée).
IceSword.com, Filereg.icp et autorun.com : téléchargés.
moe : b) S'il ne marche pas...Baffes-le de ma part lol
=> J'y manquerai pas !
moe : Par exemple, saches que si un seul processus actif a wmimgr32.dll en mémoire :
rmsality et sauf erreur de ma part, ne scanne pas la mémoire des progs actifs et donc n'empêchera pas ensuite si par un excès de confiance tu vois que tel ou tel processus a été cleané et le lance, de réinfecter l'exe en question et donc de reprovoquer une infection en cascade.
Le problème étant que les *.exe déjà scannés une fois, ne pourront être désinfectés qu'au scan suivant...et le serpent se mord la queue...
D'ou mes "Grrr !!!" quand je te lis avoir lancé tel ou tel progs pour voir s'il fonctionnait... Bah je comprend... :-)
=> Au début, j'ai eu l'impression que rmsality commençait par scanner la mémoire, mais depuis, c'est plus trop l'impression que j'avais et donc c'est toi qui doit avoir raison et ça explique qu'il dit des trucs OK, alors qu'après mwav les dit infectés ...
Désolée pour les Grrr !!!
moe : 7/
Dans l'absolu, l'idéal serait que tu puisses si tu as accès au bureau:
Ne pas passer par un programme tiers pour en lancer un autre. (exemple: le taskmanager; laisses les tools que tu utilises pour l'instant sur le bureau pour plus de facilité d'accès).
=> OK, normalement, en ce moment, (explorer et) le Bureau fonctionne ; par contre, le Bureau en mode sans échec est plus petit (résolution ou un truc dans le genre), donc je vois pas toutes les icônes (surtout que celles que je rajoute sont à la fin, donc s'affichent, je crois, les unes sur les autres sur la 1ère en haut à gauche) ; mais puisque explorer.exe tourne déjà, je pense que je dois pouvoir utiliser Windows Explorer ou Exécuter -> Parcourir ???
moe : Passer ensuite rmsality autant de fois que nécessaire (ne sauvegarde pas les rapports, pour ne pas ouvrir notepad ou wordpad), jusqu'à ce qu'il ne trouve plus rien.
Celon que tu aies pu faire l'étape 6 ou pas, ça prendra de 2 à X scans...
Une fois les scan terminés, ne lancer aucuns processus ou programme, mais juste redemarrer le pc (toujours en mode sans echec et sans l'accès au net).
=> J'ai pas compris comment je fais : je sais que rmsality ne fournit pas de log si on ne le lui demande pas et si on clique, je crois qu'il vous ouvre un Notepad, mais si pas de Notepad et pas de log sauvegardé, alors comment je fais pour savoir que tout est OK (ou cleaned) ??? Ca défile vite dans la fenêtre de rmsality et ça dure 1h30, sûre que si je reste devant à attendre, je vais en louper et si j'attends la fin, je suis pas sûre de pouvoir remonter la barre de scrolling jusqu'au début ... !!! ???
Ou alors je peux faire min 2 (à 3) scans, puis passer au reboot et à la suite ... ???
=> En plus, j'ai pas non plus le droit d'ouvrir Notepad pour regarder ton anti-sèche (le post que j'ai sauvegardé) ... !!!
Question générale : Quand tu parles de << sans accès au net >>, j'ai le droit de rebooter en << Mode Sans Echec avec accès réseau >> mais en ne branchant pas le câble réseau ou c'est l'autre option plus minimale de << Mode Sans Echec >> ??? (En ce moment, je branche le câble que pour poster ...)
moe : Tout va dépendre en fait du nombre de fois ou il va falloir botter le cul à Sality et bobax (et surtout d'y arriver une bonne fois pour toute lol) avant de pouvoir pousser un grand ouf et envisager sereinement l'installation de programmes.
Maintenant si tu y tiens vraiment par rapport aux menaces de free, oublies ce que je viens de dire, t'inquiètes je comprendrais très bien que tu le fasses.
=> Ouais, ouais, Free, ça me fait flipper !
Mais ce que je vais faire, c'est que je le ferais que si j'ai rien de mieux à faire (cf. le post auquel je réponds : je pense que j'en ai pour un bout de temps !!! ...).
moe : Pour Cygwin, est-ce que tu as essayé de remplacer absolument tous les exe du dossier Cygwin et de ses sous-dossiers, par ceux de ta sauvegarde ?
Lors de tests j'ai eu le même problème avec un ou deux programmes que j'avais été obligé de réinstaller n'ayant pas de backups à disposition, apparement et dans mon cas le nettoyage de certains *.exe n'avait pas complètement fonctionné pour je ne sais quelle raison, et donc l'exe même après nettoyage est resté corrompu.
Au fait, qu'est-ce qui te poses problème avec la commande find ?
=> Tous les exe ? Non, parce qu'il y en a une tonne, mais surtout, parce que le programme était à peine lancé (il avait juste ouvert la fenêtre), alors j'ai essayé de remplacer que ceux que je voyais tourner dans le Task Manager (y'en a que 2 : bash.exe et cmd.exe), donc j'ai essayé de remplacer que bash.exe et cywin.bat, mais en fait, comp me dit qu'ils sont identiques, donc je me dis que ce problème n'est pas au niveau des *.exe ... !!! ???
=> find : Lequel ? Parc eque j'ai, à un moment ou à un autre, parlé des 2 !
Celui de DOS, il est pas assez développé et, quand j'avais voulu virer du rapport de mwav toutes les lignes où il disait juste ce qu'il faisait (Scanning File ou Scanning Folder), il m'avait pas comprise et avait viré toutes les lignes qui contenaient soit File, soit Folder, soit Scanning et ça avait duré longtemps et j'ai plus qu'à recommencer, mais je sais que je me suis un peu emmêlé les pinceaux entre la syntaxe de find, de findstr et qu'ils ne traitent pas les espaces dans les chaînes de la même façon.
Le find de Cygwin : Il utilise pas exactement la même syntaxe qu'Unix et, quand on veut utiliser "{}\;", il faut escaper les caractères de manière différente (normalement, je m'étais écrit une anti-sèche sur ce que j'avais testé et qui marchait ou pas : elle est dans un notepad !!!). Y'a le "-print" qui doit pas marcher pareil aussi, d'ailleurs y'en a même pas besoin, mais, quand on veut qu'il affiche les résultats d'une certaine façon, du genre équivalent à un "ls -l" plutôt qu'un "ls", je me retrouve toujours à pas obtenir ce que je veux.
Par contre, récemment, j'ai voulu regarder (avant que Cygwin ne marche plus) et je savais pas comment lui entrer l'argument pour -ctime/-mtime/-atime, je crois qu'il veut un fichier pour comparer les dates 2 à 2 (donc il faut se trouver le fichier qui convient), alors que ça serait vachement plus simple de lui filer une date (mais ça, c'est pas la faute à cygwin).
moe : Bon appétit à vous deux, je file manger un bout de je-sais-pas-quoi-encore.
Je repasserais dans la soirée voir ce qu'à donné le rapport Avenger.
=> Bon appétit, j'espère que le je-ne-sais-pas-quoi sera à ton goût ...
Pour Avenger, tu peux le lire si tu veux, mais je crois qu'il a tout fait ce qu'il fallait.
moe : Tss ... D'habitude la nuit porte sommeil juste avant de porter conseil, non ?... :-)
=> Aie ! Chez moi, sommeil et nuit sont pas très souvent compatibles ... !!!
A plus tard et merci pour la manip (j'ai du boulot ... !),
Gail.