poker.exe application win32 non valideFermé

Question

Bonjour,
voila j ai poker770 sur mon ordi,tout allais bien mais depuis hier quand je le lance il me dit poker.exe application win32non valide, bizarre donc j ai voulu le retelecharger mais idem, au moment de faire executer il m inscrit la meme chose application win32 non valide, j ai lu que plusieurs personnes parlaient d un virus bagle, pourtant j ai spybot et panda et ils ne detectent rien, y a t il une manip en particulier a faire? quelqu un peut il m aider svp??
merci

papimarcel · Accepted Answer

oui c'est du baagle.... a plein nez.... ton poker a-t-il déja marché auparavant ou jamais? car il est possible qu'il soit la source de l'infection...... SI l'infection est là depuis que tu as téléchargé poker suprime le. C'était un virus Panda et ce que tu veux n'ont rien trouvé parce que bagle a la faculté d'inhbier els antivirus et ils riskent de devenir HS....... FIn ca c'est le futur qui nous le dirra? Pour supprimer bagle je te propose de proceder comme cela IMPRIMES CECI TU EN AURAS PLUS ACCES DURANT LA MANIPULATION (Internet devra en effet être coupé à partir de l’étape 5) 1 tu es infecté par beagle Souvent c'est du a un téléchargement de crack.... donc première chose à faire supprimer le crack et désinstaller le programme craké(si ce n’était pas un faux crack). Et supprimer le répertoire d’installation du crack. Ou un maximum de son contenu 2 Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp > • Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau. NE PAS LE LANCER 3 Télécharge ComboFix.exe (par sUBs) sur ton Bureau comme ceci strictement : Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Puis choisis "Enregistrer sous .." ==> vers le 'bureau" ==> Attention : renomme-le sous le nom Antibagle (très important). Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. Puis clic sur [Enregistrer] NE PAS LE LANCER 4 Télécharge. F-Secure Blacklight ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe NE PAS LE LANCER 5 Débranches internet (hyper important !!!) car internet est source de réinfection l’ordinateur est actuellement relié à une IP pirate qui permet sa réinfection tant que tout n’est pas supprimé NE PLUS LE REBRANCHER jusqu’à la fin de l’étape 10. L’idéal est de débrancher le modem surtotu pour ceux qui sont en wifi. 6 Clic droit sur Iexplore 7/ propriétés/ supprimer... ; / tout supprimer/ et cocher la case supprimer dans les modules complémentaires. En effet bagle est présent ds les fichiers temporaires . Cela permet de gagner un temps précieux lors du scan. 7 Double-clique sur elibagla pour l'ouvrir. • Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\ • Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée. • Clique sur le bouton Explorar pour lancer l'analyse. Fais la même chose avec le D : 8 - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. Tape 1 (ou Yes) puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse). - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\ recherche, laisse-le faire. - Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau. 9 Fais de même avec f Secure back light : choisir scan et attendre la fin du nettoyage. 10 une fois terminé il faut purger les restauration système démarrer/panneau de config/système/restauration système/ et âpres sélectionne désactivez la restauration ca va chargé une fois le chargement terminé (30 sec environ) tu désactive l’option. EN théorie l’infection est terminée. Noter que certains antivirus sont encore inactif, il est alors nécessaire de les désinstaller et de les réinstaller. Proceder de manière analogue avec les antispywares, si vous avez toujours « win 32 non valide ». Mais la connexion wifi est désactivé, pour ceux qui sont en wifi procéder comme suit : 1. Demarrer > executer > Tapez : "regedit" et ok 2. Allez sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio 3. Dans cette clé il y a une entrée nommée "START", double cliquez dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement. 4. doivent aussi intervenir sur les clés HKEY Local Machine > system > ControlSet001 > Services > Ndisuio 5. ainsi que tous les autres Controlset002, 003, ... Ne pas hésiter à faire un scan complet de l’ordinateur avec votre antivirus, ou vos antispywares. Sinon et bien redémarres en mode sans échec SI le problème est résolu merci de mettre ce topic comme résolu MERCI

moe · Answer

Salut Crazybabe

Tu es toujours là ?

@++

moe · Answer

Salut Crazybabe

Parfait, du coup il a l'air tout à fait encourageant ce rapport :-)

Néanmoins avant de crier victoire, je te conseille de retélécharger Elibagla (v11.23) et de refaire un scan car il vient d'être mis à jour ce soir même après l'apparition d'une nouvelle variante...

Eventuellement peux-tu faire ceci en attendant le retour de papimarcel :

Démarrer > executer et tape cmd puis valide.
Dans la fenêtre de l'invite copie et colle ceci et valide avec Entrée
findstr /S /I /M /L "Themida" C:\*.exe>>C:\Startvir.txt

Poste ensuite sur le forum le nouveau rapport généré par Elibagla ainsi que le contenu du fichier C:\Startvir.txt (<- sauf s'il devait être vide)

@++

moe · Answer

re,

Ca vaut mieux, ne serait-ce que par précaution, car Bagle a la particularité lorsqu'il est exécuté pour la première fois d'infecter et remplacer par une copie de lui même, un fichier sain sensé s'exécuter automatiquement au démarrage de windows, et donc que ce soit pour combofix ou elibagla, s'ils ne sont pas parfaitement à jour il y a un risque qu'ils n'aient rien vu de ce côté là.

Tous les programmes, qui génèrent le message "...n'est pas une application Win32 Valide" lorsque tu essayes de les exécuter, seront à désinstaller, à retélécharger et à réinstaller, car définitivement corrompus par Bagle :-\

Par pure curiosité, parmis les icones du lien ci-dessous à laquelle correspondait celle du crack que tu as exécuté au départ de l'infection ?:
https://www.cjoint.com/?eixOmCwqK0
l'avant dernière ?

@+

moe · Answer

Oui bien sur, avec plaisir.

Cette commande recherche une chaine de caractère spécifique dans tous les fichiers exe, du moins dans le disque C:\.
Cette chaine de caractère : "Themida" on la retrouve dans certains fichiers relatifs à Bagle et ça permet donc de pouvoir débusquer certains fichiers qui auraient pu passer outre la détection des outils que tu as employés jusqu'à présent. :-)
Themida est en fait un outil de protection qu'utilise le codeur de Bagle pour crypter et protéger ses fichiers et la version qu'il utilise laisse des traces identifiable à l'intérieur même de l'exécutable ce qui permet de le repérer assez facilement :-)
Tu comprend mieux le principe ?

Dans ton cas, la commande a détecté des fichiers situés dans le dossier C:\WINDOWS\system32\drivers\downld et ce fameux dossier downld fait partie intégrante de l'infection, donc tu peux le supprimer sans aucun problème.
L'essentiel est qu'elle n'ait pas détecté de fichiers apparement sain à la base, et surtout sensés s'exécuter automatiquement au démarrage du pc.

Par contre, peux-tu vérifier avant d'aller supprimer ce dossier, si l'option 'Afficher les fichiers et dossiers cachés' dans les options des dossiers est toujours présente ou si elle a disparue ?

@++

moe · Answer

Crazybabe, je vais devoir couper pour ce soir, donc bonne continuation à toi avec papymarcel s'il repasse par là et douce nuit.

@++

afideg · Answer

Up
Salut mOe
Toujours aussi précis et intéressant.  ;)

==> pas de réponse quant à l'icône du crack ?


Al.

moe · Answer

Salut Crazybabe, afideg :-)

De rien...

Crazybabe, puisque tu as l'air d'être partante pour essayer de comprendre ce qui c'est passé lorsque tu as exécuté ce crack pour la première fois et ce qui en a découlé après, tu trouveras ici (in english...) une décortication très détaillé de cette infection :
http://www.bluetack.co.uk/forums/index.php?showtopic=18336
Bonne lecture :-)

Enfin, depuis, j'ai pu réinstallé mon anti virus qui m'a trouvé 12 infectiosn Bagle, puis mon pare feu ;-) 
Bonne initiative :-)
Sous réserve du rapport d'analyse, il doit surement s'agir de fichiers trouvés soit dans la restauration système et/ou dans le dossier qui contient habituellement les fichiers internet temporaires, mais rien d'actif à mon avis.
Tu as conservé le rapport ?

Ensuite, concernant les fichiers cachés, il va falloir que tu passes par le registre pour réactiver le choix de cette option car Bagle a supprimé la clé qui correspond à l'affichage de ce choix dans les options des dossiers comme tu as pu le constater.

Ce sont ces deux clés qui ont été supprimés: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
Il va donc falloir les recréer en leur attribuant leurs valeurs et données d'origine pour que tu puisses à nouveau réavoir le choix d'afficher ou pas les fichiers cachés.

T'inquiète, rien de bien sorcier dans la manip à adopter et tu n'auras pas non plus à aller mettre les mains dans le cambouis :-)
Allez, trève de bla-bla, à toi de jouer !

Télécharge CrazyB.reg ici :
Clic droit sur le lien ci-dessous puis clic sur "Enregistrer la cible sous" ou "Enregistrer le lien sous"
http://perso.orange.fr/aeternum/CrazyB.reg
Choisis le bureau comme lieu d'enregistrement.
Ensuite, sur le bureau, double clic sur CrazyB.reg et accepte la fusion dans le registre au message qui te demandera de confirmer.

Normalement la modif est immédiate et en revenant dans les options des dossiers, onglet "Affichage" tu devrais pouvoir à nouveau avoir le choix de réafficher les fichiers cachés.

Voilà !, tiens moi au courant et n'hésite pas si tu as une question.

Bonne journée !

@++

crazybabe · Answer

Tu es super Moa !!

Je te remercie grandement...

Un petit détail, je me lève ;-)...

Oui, mon anti virus garde les rapports, est ce que cela peut être intéressant de le poster, sinon, je peux simplement écrire l'endroit où il a trouvé les fichiers infectés !?

En fait, j'utilise Antivir, et s'il n'arrive pas à réparer les fichiers, il les supprime, et m'en fait une copie dans le fichier Quarantaine. Penses-tu que je peux supprimer ce qu'il y a dans ce dossier, désactiver la restauration du système, et re scanner mon pc ?

Puis refaire un tour, une fois la réactivation de la restauration système ??!!

Merci pour le lien, ça va je me débrouille en anglais ;-) !

Bon, même si j'ai réussi à réinstaller mon anti virus et pare feu, j'imagine qu'il va falloir que je supprime tous les programmes de sécurités et les réinstaller !!? Bigre...

Je te remercie encore pour ton explication quant à la résolution des fichiers et dossiers cachés.

Tu crois qu'une fois tout cela fait, je n'aurais plus rien à faire avec ce virus de m.... !!!??

Ce serait génial !! Je me réveille un peu, et reviens te donner des nouvelles après avoir exécuter tout ça !


Bon début de soirée ;-) et merci, vraiment d'avoir pris de ton temps pour mes petits problèmes...

crazybabe · Answer

Salut Moa !

Le fichier CrazyB.reg a remédié immédiatement, comme tu l'as décrit, ci dessus, au problème d'incapacité d'afficher les fichiers cachés !! Génial !


Voici où Antivir a détecté le virus :


12 Virus ont été trouvés dans ce dossier :

C:\System Volume Information\_restore{....}\RP3\
      [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen
      [INFO]      A backup was created as '482bf97c.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!


12 Virus ont été trouvés dans ce dossier :

C:\WINDOWS\system32\drivers\downld\
      [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen
      [INFO]      The file was moved to '4832f3f2.qua'!

Donc, je vais pouvoir maintenant aller supprimer ce dossier : downld !

Aussi, je me rends compte qu'Antivir n'a pas scanné mon disque dur externe F, où bien souvent, il y a souvent quelques problèmes dans le dossier de restauration comme sur le disque C...

Je vais y aller faire un tour, par précaution !

Voilà, ce pourquoi je te demandais ci dessus, si cela pourrait être utile, de scanner en désactivant la restauration du système, ainsi qu'en la réactivant ensuite.

En tous cas, merci beaucoup Moa !

afideg · Answer

Coucou

Cit. « Voilà, ce pourquoi je te demandais ci dessus, si cela pourrait être utile, de scanner en désactivant la restauration du système, ainsi qu'en la réactivant ensuite. »

J'aurais tendance à être pour, mais pour l'étape de désinfection particulièrement.

Note: un point de restauration se crée à chaque arrrêt/redémarrage PC.
L'espace disque réservé à ces points de restauration est limité; donc ... ça déborde parfois.

J'écris cela pour être éventuellement contre-dit.

Bonne question.
MerciAl

crazybabe · Answer

Bonsoir Ben !

Je me demande si, finalement, toutes ces explications ont pu t'aider !!??

moe · Answer

Bonsoir Crazybabe...Enfin bonjour plutôt :-), salut Afideg.

Le fichier CrazyB.reg a remédié immédiatement, comme tu l'as décrit, ci dessus, au problème d'incapacité d'afficher les fichiers cachés !! Génial ! 

Bonne nouvelle !, tu va enfin pouvoir aller supprimer manuellement le dossier C:\WINDOWS\system32\drivers\downld
N'oublie pas juste avant de rendre visible les fichiers cachés et système (les deux) pour pouvoir y acceder.

Concernant le rapport d'antivir il n'y a rien de bien de bien méchant, car tout ce qui se trouve dans la restauration système est inactif, sauf bien sur si tu décidais subitement de restaurer le système à une date antérieure, auquel cas si une infection était active au moment ou windows à pris un "cliché" du système, en choisissant de restaurer ce cliché, elle serait de ce fait réactivé.
Antivir semble d'ailleur avoir supprimé ce point de restauration ou du moins l'avoir mis en quarantaine.
Tu peux donc commencer par vider la quarantaine d'antivir.
Désactiver la restau système sur tout les lecteurs, refaire un scan de contrôle et la réactiver si le rapport est clean.

Sur ce point je suis d'accord avec afideg, en général la manip qui consiste à désactiver puis réactiver la restau pour la purger, ne se fait que lorsque plus aucun virus actif n'est détecté, ceci afin de garder une porte de sortie en cas de plantage ou disfonctionnements.
Mais bon, dans ton cas il n'y a plus d'infection active, pas de fichiers sains corrompus et le risque de plantage est donc quasi nul, pour se permettre de faire une entorse à cette mesure de précaution :-)
De plus tu y gagneras aussi un peu en temps d'analyse !
Le fait de désactiver la restauration système, a pour effet de détruire (les dossiers C:\System Volume Information et F:\System Volume Information seront vidés de leur contenu) tous les points de restauration existant et donc par la même occasion les fichiers infectieux qui s'y étaient logés.
Regarde ici :
http://assiste.com.free.fr/...

Avant que j'oublis... ta connexion est en wifi ? Si oui marche t'elle correctement ?

Sinon, hormis ton Antivirus et ton pare feu que tu as déjà réinstallé après que l'infection ait été supprimé, bah oui il vaut mieux réinstaller tes autres programmes de sécurité dans la foulée et tant que tu as du temps à y consacrer lol, comme ton ou tes antispywares par exemple.
Dans un premier temps réinstalle en prorité ceux qui génèrent encore le message "bla, bla, bla n'est pas une application Win32 valide".
Une fois tout cela fait, ça devrait rouler si le scan de contrôle avec Antivir sur C:\ et F:\ est clean, ensuite tu pourras retourner à tes occupations :-)

... <- normalement là il y a d'habitude un petit speech limite moraliste sur les dangers du crack, un truc très bien fait, instructif et avec des liens et des captures d'écran qui vont bien, etc...etc...
Mais bon...Les dangers des cracks, je crois que tu en a eu un petit aperçu sans trops de conscéquences avec Bagle pour te rendre compte par toi même et estimer jusqu'à quel point le jeu en vallait la chandelle.
Le seul maître à bord qui décide, c'est toi !
Donc je vais plutôt te donner ce lien, le meilleur sur la prévention que je connaisse et le plus parlant :-)
Et celui là aussi au cas ou les bons réflexes mettraient un p'tit peu de temps avant de se mettre en place :-P
Lol, bonne lecture !

Bon début de journée et à plus tard pour le résultat final du scan.
Bonne soirée à toi aussi Afideg.

ps:
Moa... !? :-)

afideg · Answer

Re,
Bonne soirée à toi également moa (oh! pardon! ==> mOe)   ;)
Bravo pour le traitement de ce topic.
Quelques nouveautés effectivement (ils bossent chez "Beagle" !).
Respect et sympathie.
Albert

crazybabe · Answer

Bonjour vous deux !!

Alors, effectivement, j'ai pu supprimer le dossier Downld !

J'ai refait un tour avec Antivir sur tous mes disques sans désactiver la restauration et il n'a repéré aucun autre problème !

Alors, oui, j'ai désinstallé tous mes programmes de nettoyage (mouchards, spywares, clés de registres invalides, etc), et les ai réinstallés.

Tout semble fonctionner à présent, sauf quand j'utilise CCleaner, ainsi que Wise Registry Cleaner. A partir du moment où j'effectue un scan, dès que je vais pour nettoyer, l'ordinateur redémarre automatiquement :-( ! Donc, le nettoyage passe à l'As !

Aussi, quelque chose de nouveau depuis Bagle : mon disque dur externe s'allumait directement lors du démarrage du PC, si bien sur, lui même était déjà allumé. Hors, à présent, plus aucun logiciel le prend en compte, je suis obligée de l'éteindre et de le rallumer pour que l'ordinateur le prenne à nouveau en compte... ?!

Je me demande si cela n'a pas un rapport avec le Bios, qui reconnait en tant que :

Channel Master 1 : le graveur
Channel Slave 1 : None

Channel Master 2 : Disque Dur externe (F:)
Channel Slave 2 : None.


Merci pour tous ces liens instructifs, j'adore ça !!

Merci beaucoup à vous deux, vraiment !

moe · Answer

Bonjour Crazybabe,

Lorsque tu lances ccleaner et essaye de nettoyer après analyse, le pc redémarre sans aucun avertissement visible ou bien il y a d'abord un écran bleu + redémarrage dans la foulée ?

Retélécharge Elibagla et supprime ton ancienne version car il a été mis à jour depuis.
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Refais un scan de contrôle et poste le rapport s'il n'est pas vierge.

Le fait que ce soit deux programmes dont les exécutables contiennent le mot "cleaner" et qui plantent en même temps, me laisse je t'avoue un doute que j'aimerais lever avec Elibagla.
Bagle empêche l'exécution de certains programmes dont le nom contient certains mots-clé (dont cleaner), mais ce qui m'étonne c'est que dans le cas ou Bagle serait encore présent (ce dont je doute) l'ouverture d'un tel programme serait impossible, alors que ce n'est pas ton cas puisque tu peux l'utiliser en partie.
Eventuellement si le rapport d'Elibagla devait ne mentionner aucune trace de Bagle, désinstalle CCleaner et réinstalles-le pour voir si ça change quelque chose, puis dis nous ce qu'il en est.
Dans le cas contraire on se tournera vers d'autres hypothèses.
https://www.ccleaner.com/ccleaner/download

Pour ton disque externe, est-t'il quand même reconnu dans le poste de travail avant de devoir l'éteindre et le réallumer pour que les logiciels le prennent en compte ?

@ plus tard !

afideg · Answer

Bonsoir mOe et crazybabe,

Il y a aussi que CCleaner a évolué dans sa dernière version.
Crazybabe, quand tu vérifies la mise à jour de CCleaner, tu dois obtenir ce rapport:
« You are using version 2.06.567.
Congratulations, this is the very latest version! »

Bonne soirée
Al.

moe · Answer

Hello Crazybabe

Pour ma part, je ne serais pas là de la journée et j'espère donc qu'Afideg s'il en a le temps passera continuer les investigations.
Je relirais à tête reposée tes remarques et observations dans la soirée/nuit car là je dois filer...D'ailleurs chui à la bourre !!

Une très belle journée ou douce nuit à toi aussi.

@++

afideg · Answer

Bonjour crazybabe,

Bizarre l'écriture de cette clé:
H_KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 

Fais ceci, SVP:

1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

2°- Double-cliquer sur OTMoveIt.exe pour le lancer. 

3°- Dans le cadre de OTMoveIt2 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
faire un copier/coller de cette liste en gras, telle quelle:

HKLM\SYSTEM\ControlSet001\Services\srosa


4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression. 
-Le résultat apparaîtra dans le cadre "Results".
 
Note :  Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).

* Clique sur "Exit" pour fermer Fermer OTMoveIt2

5°- Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Nécessaire après toute action dans les registres, il te sera demandé de redémarrer le pc pour achever la suppression.

6°-  Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster. (fichier de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression)


Merci
Al.

moe · Answer

Salut Crazybabe, Afideg

Lol, merci pour la flatterie :-P et de la confiance surtout ...

Qu'en est t'il de ce qu'Afideg t'a demandé de faire ?
La clé a bien été supprimé par OtmoveIt ?
 
Il n'y a pas réinfection par Bagle d'après Elibagla apparement et le fait que tu puisses utiliser normalement Hijackthis ou ton AV sans problèmes confirme ce que je pensais hier.
Mais bon, c'est un doute et une piste qu'on peut définitivement écarter maintenant, concernant Ccleaner & co.

Te lisant dire avoir nettoyé le registre, j'avais aussi pensé à une corruption/suppression de certaines clés liées à ces logiciels, mais normalement une réinstallation aurait du résoudre ce problème en réinscrivant correctement les clés associées à ces programmes dans le registre.

Pourrais-tu vérifier au niveau de l'observateur des évenements s'il y a des traces de crash, de ces logiciels :

Démarrer > Exécuter puis copie/colle ou tape : eventvwr puis valide
Clique ensuite dans la partie gauche de la fenêtre qui s'ouvrira, clic sur les menus "Application" et "système"
Si tu te souviens de la date et grosso modo de l'heure des crashs, tu devrais pouvoir localiser dans la partie droite, l'icone d'une croix blanche dans un rond sur fond rouge qui signifie que le crash à été répertorié.
Pour récupérer le contenu du message d'erreur complet, double clic sur la ligne correspondante et clic sur le bouton qui représente deux feuillets côte à côte, ouvre le bloc-notes et fais un clic droit coller.

Eventuellement tu peux aussi vérifier si le DrWatson (lorsqu'un programme plante, ce debugger s'exécute et donne des informations sur la cause, ces infos sont stockées dans un rapport au format txt) mentionne par exemple un crash de C:\Program Files\CCleaner\ccleaner.exe
Le rapport se trouve ici :
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\Drwtsn32.log ou Drwtsn.log
Si jamais le rapport devait être trop long pour être posté ici, tu peux copier/coller la partie correspondante dans un fichier texte et l'uploader ici :https://www.cjoint.com/
Ensuite tu n'auras qu'à nous poster ici le lien généré.

On sait jamais, peut être que ça nous aidera à en savoir un peu plus sur les causes de ces crashs.
As-tu installé de nouveaux progs après avoir désinfecté le pc et avant de te resservir de Ccleaner, mis à part Antivir ?
Possible dans ce cas qu'il y ait eu incompatibilité ou conflit... ?

Pour ce qui est de ton DD :

Tu vas essayer cette manip :

Avant tout et comme on va toucher au registre, tu vas faire une sauvegarde de la clé en question.

Menu démarrer > exécuter > Tape regedit et valide.

Déploies la clé HKEY_CURRENT_USER à l'aide du signe '+' qui est juste devant puis déploies de la même manière et en suivant :
[-] Software
   [-] Microsoft
      [-] Windows
        [-] CurrentVersion
          [-] Explorer
            [+] MountPoints2
Clic sur MountPoints2 pour le mettre en surbrillance, puis fais un clic droit sur dessus.
Choisis dans le menu qui apparaîtra : Exporter.
Donne un nom à ta sauvegarde et éventuellement choisis le bureau comme lieu d'enregistrement.
Veille à ce que "Branche selectionné" soit bien selectionné, puis clic sur enregistrer.

- Ne referme pas encore l'éditeur du registre.
- Eteind ton DD externe, puis débranche-le du port USB.
Ensuite, dans l'éditeur du registre, fais un clic droit sur la clé MountPoints2 et clic sur "Supprimer".
(La clé sera automatiquement recréée par le système après un redémarrage du pc.)
- Referme l'éditeur du registre.
Eteinds ton pc, reconnecte ton DD sur un port USB2 en facade, puis rallume le DD.
Et pour terminer, rallume ton pc normalement en surveillant s'il y a bien le son système caractéristique de reconnaissance d'un périf USB et si ton DD est à nouveau reconnu ou pas dans le poste de travail.


Mais depuis il ne me le demande plus non plus, lorsque je le rebranche devant :-( ! Mais qu'en j'y pense un peu plus, il ne me le demande plus non plus, ni pour les CDs, ou lecteurs MP3 ! 
Avant, branché devant, il s'allumait automatiquement, me demandant à chaque fois le choix que je souhaitais faire. Sur la face arrière, il ne me le demande pas.

Je vois, tu parles de l'exécution automatique qui ouvre une fenêtre te demandant de choisir ce que tu veux faire en fonction du contenu.
Perso je ne pense pas que ça ait un rapport avec le port USB que tu utilises mais plutôt avec une modif du registre qui a désactivé cette fonction.
Pour le vérifier, il faudra que tu te serves à nouveau de l'éditeur du registre :

Menu démarrer > exécuter > Tape regedit et valide.
Déploies la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom
Clic sur Cdrom pour le mettre en surbrillance, puis dis moi quelle est la valeur de : AutoRun dans la partie droite.

Déploies ensuite :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
Clic sur explorer pour le mettre en surbrillance, puis dis moi quelle est la valeur de :
NoDriveAutoRun
et/ou
NoDriveTypeAutoRun
dans la partie droite de l'éditeur.

Idem pour HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer et 
NoDriveAutoRun
et/ou
NoDriveTypeAutoRun

Ou ce sera encore plus simple, si tu peux télécharger cet utilitaire de Microsoft, Autofix : (dans le cas contraire, dis moi le, je te l'uploaderais sur mes pages persos)
http://www.microsoft.com/downloads/details.aspx?familyid=C680A7B6-E8FA-45C4-A171-1B389CFACDAD&displaylang=en
Une fois lancé, il va te permettre de savoir s'il y a des restrictions et de choisir de réparer les fonctionnalités d'insertion automatique sur les lecteurs de ton choix. (pour F:\ il faudra qu'il soit connecté et reconnu dans le poste de travail)
Il génèrera ensuite un rapport dans le répertoire "Mes documents\Autofix-date_heure.log" qui contient le détail des modifs effectuées.

Passe une très bonne journée !!

@++

afideg · Answer

Re,

Excuse-moi, mais ce n'est pas les deux mêmes fenêtres qui s'ouvrent; regarde ici:
 http://img384.imageshack.us/img384/8669/screenshot341jp3.png


.... une grosse, en effet ==> où ai-je écrit qu'il fallait cliquer sur Clean Up!   ?
==> Clique sur le bouton rouge MoveIt!
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
(en plus de l'image, je te mets la couleur du bouton radio à cliquer)  !!

Tu as des problèmes avec les couleurs ??   ;)
Ça s'appelle comment cela ? ...


Merci quand même ; j'ai l'air de quoi maintenant ?

Al.

afideg · Answer

Re,

On s'est croisé pour les messages, as-tu eu le temps de lire mon précédent ?? 


Mais pas du tout!
Il suffit de suivre l'ordre chronologique des postes (qui sont d'ailleurs numérotés).

Que dis-tu-là ? 
J'utilise Firefox, il ne me propose pas d'exécuter, il me propose d'enregistrer, c'est tout ! 
Mais il faut "double-cliquer" sur l'icône "OTMoveIt2.exe" sur le bureau, et ensuite sur [Exécuter] dans la fenêtre qui s'ouvre.
Sauf erreur, rien à voir avec FireFox. (?)


Merci
Al.

moe · Answer

Hello à vous deux,

Tu n'as vraiement pas à t'excuser crazybabe, tu n'es pas familière de l'utilisation de cet outil et personne n'est à l'abri d'un malentendu...

Donc, je me suis noyée dans la mouise avec OTMoveIt2.exe ?? 

Lol..., mais non t'inquiète rien de bien méchant. :-)
La fonction Cleanup d'OTMoveIt2 est utilisée en général pour supprimer tout les petits outils/fix spécifiques qu'on peut te faire télécharger en cours de nettoyage, comme Combofix par exemple.
Lorsque tu as cliqué sur le bouton Cleanup, OTMoveIt2 a téléchargé en arrière plan un fichier *.txt qui contient le nom de la plupart de ces outils (liste mise régulièrement à jour) et l'a affiché ensuite dans le cadre de gauche qui sert aux suppression.
Bah au pire en acceptant ce "nettoyage" et si tu avais un de ces outils figurant dans la liste, il te faudra simplement le retélécharger au besoin !

Le principal étant le résultat que tu as obtenu après avoir compris comment fonctionnait OTMoveIt2 :

< HKLM\SYSTEM\ControlSet001\Services\srosa >
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa\ deleted successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04132008_173456 

Cette clé, un résidus de Bagle dans le registre a bien été supprimée par OtMoveIt....

To be continued... :-)

afideg · Answer

Salut mOe,

Mais c'est qu'elle est amusante, avec ça.
C'est à croire que tu les attires à toi.  ;)

En tout cas, cette internaute connaît bien son outil (pas encore les nôtres, lol !); ce qui nous aide beaucoup.

N'ayant pas FireFox, je ne connaissais pas cette "astuce" (d'où mon point d'interrogation (?) dans ma réponse).

Merci crazybabe de l'avoir compris et de nous avoir rapporté cette "procédure" propre à FireFox: 
« Non, il suffit de double cliquer sur l'icône (sur le bureau) pour que soit le programme d'installation se lance, ou soit se lance directement (comme quelques petits programmes, notamment de nettoyage)... Pas de demande : Exécuter, que j'ai connu avec Internet Explorer. » 

Comme tu l'écris, le principal étant le résultat obtenu après avoir compris comment fonctionnait OTMoveIt2 :  
< HKLM\SYSTEM\ControlSet001\Services\srosa > 
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa\ deleted successfully.


Bizarre qu'elle pense que nous n'avons pas d'humour.
En serions-nous privé de notre côté ?
Celui-là n'était-il pas correctement édité: 
« .... une grosse, en effet ==> où ai-je écrit qu'il fallait cliquer sur Clean Up! ? 
==> Clique sur le bouton rouge MoveIt! 
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg 
(en plus de l'image, je te mets la couleur du bouton radio à cliquer) !! 
Tu as des problèmes avec les couleurs ??  ;) 
Ça s'appelle comment cela ? ...  » ?
Ah oui, la réponse peut-être ==> "daltonisme"   ;)  Aïe!

Al.

moe · Answer

Bonjour Crazybabe

Entre deux coups de fourchette :-) je viens de regarder plus attentivement les rapports que tu as fait parvenir hier et j'avoue que concernant le problème avec Ccleaner je sèche un peu.
Il n'est mentionné nulle part, que ce soit comme programme ayant provoqué le crash ou tournant à ces moments précis, par DrWatson.
Par contre au niveau du problème avec ton disque externe, la remarque que tu faisais à propos de la manip qui n'a pas tenue, tend à confirmer un problème de reconnaissance :
Ces deux services windows dont le rôle est de détecter et analyser les nouveaux lecteurs de disque durs, puis de renvoyer les infos de volume de disque au gestionnaire de disque pour la configuration, semble avoir eu quelques problèmes...
 
- Service gestionnaire de disques logiques
- Service de stockage amovible

Eventuellement tu peux vérifier dans le gestionnaire des services (demarrer > executer > services.msc puis double cliquer sur le nom du service concerné) quel est leur statut (démarré, arrété) et leur type de démarrage (désactivé, manuel ou automatique).
Normalement ils doivent avoir le type de démarrage réglé sur "manuel", si ce n'est pas le cas tu fais la modif et tu valides ton choix.
Au pire si ça ne resoud rien, essaye de les passer en automatique et de refaire quelques tests en redémarrant le pc plusieurs fois de suite.

Donc pour Ccleaner et le nettoyage du registre qui apparement pose un problème :

Supprime le fichier C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\Drwtsn32.log
Relance Ccleaner et tente à nouveau un nettoyage du registre pour provoquer le plantage.
Ensuite reposte le rapport du DrWatson.

Tu disais aussi avoir nettoyé le registre juste après la désinfection de bagle et juste avant d'avoir réutilisé Ccleaner, vérifie donc si le prog que tu as utilisé à fait des sauvegardes avant suppression et pourquoi pas tente de les restaurer pour voir si ça ne résoud pas le problème.
De mon côté j'essaye de voir dans la soirée si je trouve d'autres pistes...

Ensuite au niveau de l'exécution automatique il y a effectivement des restrictions au niveau du registre, mais j'attend de voir d'abord si tu as pu télécharger l'utilitaire de Microsoft avec lequel il sera plus facile de les enlever plutôt que de passer par une modif fastidieuse et "à la mano" dans le registre.

J'aimerais vraiment mieux me débrouiller avec le registre, du moins, pouvoir comprendre comment cela fonctionne !
Si vous avez des liens !!?? Ce serait cool...

Pour un début, ceux là devraient pouvoir t'en donner un bon apperçu :
https://www.commentcamarche.net/faq/363-la-base-de-registre-de-windows
http://ww11.leregistre-fr.net/astuces/bases/Comprendre-la-base-de-registre-23.html
https://www.zebulon.fr/dossiers/windows/57-base-de-registre.html
http://www.hotline-pc.org/planwindows.htm
Bonne lecture !

Oups ! déjà l'heure de repartir bosser, faut que je file, je suis en retard !!
Passe une belle journée.

@++

moe · Answer

Hello Crazybabe

Tss, ridicule !?, bah pourquoi ça le serait, au contraire...
Puis ne me remercie pas/plus, après tout on fait équipe le temps d'un virus et d'une énigme informatique et j'apprécie l'échange et le partage qui s'en dégage.
Bah je ne sais pas si tu t'en rend compte, mais là j'apprend en même temps que toi mine de rien :-) et ça c'est grace toi, à ton sens du détail, à ta précision et tes initiatives.
Alors merci à toi aussi. ;-)
Simple parenthèse aussi...


Si tu veux bien on va s'attaquer un par un aux problèmes, à commencer par Ccleaner puisque tu as pratiquement trouvé la solution :-).
Lol figures toi que j'avais envisagé pas mal de causes possibles et épluché en détail le forum ccleaner à la recherche d'un cas similaire, que j'étais loin de penser à une ou des clés récalcitrantes à supprimer !
Bien joué !

Logiquement, si tu peux me dire et copier/coller ici, les clés qui posent problèmes à Ccleaner ainsi qu'à WiseRegistryCleaner, en les supprimant ensuite manuellement ou via un fichier *.reg à fusionner au registre, les scans et fixs suivant de ces deux logiciels ne devraient plus planter ?.
On va essayer...
Lorsque tu lanceras le scan Ccleaner, pour récupérer le nom de chaques clés il te suffis de faire un clic droit sur le premier élément de la liste puis de cliquer sur "Ouvrir dans regedit".
L'éditeur du registre va s'ouvrir ensuite pile poil sur la clé en question.
Dans le menu édition, clic sur "Copier le nom de la clé".
Ouvre le bloc notes ou ton éditeur de texte habituel puis clic droit coller.
Fais de même avec tous les autres éléments de la liste.

Par contre je ne connais pas WiseRegistryCleaner et je suis incapable de te dire si tu peux procéder de la même façon, donc ça va être à toi de fouiller et prospecter un peu dans les options :-)
Si jamais tu ne trouvais pas, dis moi le, j'installerais le programme.

Ccleaner ne le propose pas
Tout dépend en fait de comment tu as réglé les options.
Dans options -> Avancé tu dois avoir une case à cocher "Demander pour la sauvegarde les modification du registre"
Si elle est cochée, à chaques nettoyages du registre il te demandera ou enregistrer la sauvegarde.
Par défaut il me semble que ces sauvegardes (fichiers *.reg) sont stockées dans C:\Program Files\CCleaner
Par contre tu as raison, pour restaurer une sauvegarde il faut le faire manuellement en recherchant la plus récente car Ccleaner ne le propose pas.

Fais moi parvenir les chemins des clés que tu auras pu récupérer, ensuite je t'uploaderais un fichier *.reg pour automatiser les suppressions et en une seule fois.
Ensuite tu referas un essai des deux progs et me dire si le plantage persiste ou pas.

Bonne soirée ! Et à plus tard.

moe · Answer

Bonsoir,

Alors, j'ai relevé les clés, mais ne puis-je pas les supprimer à la main, une à une, simplement sur Regedit ? 

Oui bien sur tu peux les supprimer manuellement, ce sera même la solution la plus rapide :-)
Tu m'excuse mais je ne savais pas trop si tu avais l'habitude ou pas d'utiliser l'éditeur du registre...

Et au fait, dis-moi, tu m'avais dit de télécharger un utilitaire Microsoft, n'étant pas certain de ma possibilité; et maintenant que je l'ai, je ne sais qu'en faire.... :-) 
J'allais y venir après être sur que on soucis avec ccleaner ait été réglé :-)
Exécutes-le, puis clic sur "suivant".
A la fenêtre suivante (Global checks) l'outil va vérifier le statut de deux paramètres.
Si le statut des ces deux paramètres est "OK" les boutons réparer resteront grisés, dans le cas contraire si un problème est signalé pour l'un d'eux, clic sur "Réparer".
Clic ensuite sur "suivant"
Là il te faudra selectionner individuellement chaque lecteur pour lequel tu souhaites rétablir l'exécution automatique puis cliquer sur "suivant".
En fonction des problèmes détectés, tu verras c'est mentionné dans la fenêtre, tu clic sur réparer.
Pour pouvoir ensuite rééffectuer le contrôle d'un autre lecteur il te faudra impérativement redémarrer le pc (si tu oublis, le prog te le signifiera :-) ) pour que les modifs puissent être prise en compte par le système.

Une fois que tu auras fait le tour de tous les lecteurs dont tu voulais rétablir l'exécution automatique, il ne te restera plus qu'à vérifier si ça fonctionne !!

@++

moe · Answer

Au fait, "Les vielles clés du Menu Démarrer", c'est à dire cette clé :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs
Correspond et liste ce qui se trouve dans Menu démarrer > Tous les programmes
Ccleaner fait normalement le tri entre ce qui correspond à des résidus d'anciens programmes mal désinstallés et ceux encore installés.
D'ou une petite question qui me vient à l'esprit par déduction: 
MP3myMP3 2.0, QuickTihe, VideoLan, WiseDiskCleaner, WiseRegistryCleaner
Correspondent t'ils à des programmes que tu as désinstallé ?
Dans le cas contraire, ça expliquerait peut-être pourquoi Ccleaner plante sur ces clés...

Je déconnecte pour ce soir, je dois me lèver dans 4 heures lol et donc je repasserais demain lire tes observations !

Bonne nuit et à plus tard !.

moe · Answer

Coucou Crazybabe,

QuickTihe...
Hum, ouep...c'est un parfait inconnu sur google, bizarre, bizarre...

Supprime manuellement ces deux clés :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\QuickTiHe
HKEY_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\QuickTiHe
Puis relance Ccleaner pour confirmer qu'il ne plante plus.

Peux tu faire ensuite une recherche sur ton DD à propos de QuickTiHe et me dire si tu as pu localiser un dossier du même nom ?
Eventuellement je serais interessé de pouvoir récupérer plus tard les fichiers qu'il contient pour faire quelques tests de légitimité.
Mieux encore, télécharge OAD de !aur3n7 :
http://sosvirus.changelog.fr/OAD.exe
L'aide pour OAD :
https://www.ionos.fr/#msg452

- Enregistre le sur ton bureau
- Double clique sur le OAD.exe pour le lancer
- Dans nom de fichier à rechercher tape ou fais un copier coller de : QuickTiHe
- Type de recherche : sélectionne l'option 6 puis valide [Entrée]

OAD va lancer sa recherche, laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
Copie et colle dans ta prochaine réponse tout le contenu du rapport d'OAD.

Bon apparement ça s'annonce bien pour Ccleaner, j'espère qu'il en sera de même avec l'exécution automatique :-)
A propos, as-tu pu faire les réparations avec Autofix et eu le temps de tester le résultat ?

Passe une bonne journée !

@++

afideg · Answer

Re,

Bonjour mOe et crazybaby;

Oui, c'est AutoFix 

Regarde:
« ... télécharger cet utilitaire de Microsoft, Autofix : (dans le cas contraire, dis moi le, je te l'uploaderais sur mes pages persos) 
http://www.microsoft.com/downloads/details.aspx?familyid=C680A7B6-E8FA-45C4-A171-1B389CFACDAD&displaylang=en
Une fois lancé, il va te permettre de savoir s'il y a des restrictions et de choisir de réparer les fonctionnalités d'insertion automatique sur les lecteurs de ton choix. (pour F:\ il faudra qu'il soit connecté et reconnu dans le poste de travail) 
Il génèrera ensuite un rapport dans le répertoire "Mes documents\Autofix-date_heure.log" qui contient le détail des modifs effectuées. » 

Suite au post # 53  http://www.commentcamarche.net/forum/affich-5813567-poker-exe-application-win32-non-valide?page=2#53



Bonne chance
Al.

moe · Answer

Coucou Crazybabe, salut Afideg

Le problème s'est que je ne peux pas les supprimer, ni même sur Regedit ; l'ordinateur redémarre directement et ne l'enlève pas pour autant ! 
Au temps pour moi !, je pensais que tu n'avais pas encore essayé via regedit.

Ok, donc on va employer un programme prévu spécialement pour supprimer les clés résistantes, s'il échoue on avisera avec plus puissant.
(Avant cette manip tu peux exporter les clés en question si tu le souhaite)
Télécharge sur ton bureau, RegAssassin de chez Malwarebytes
https://data-cdn.mbamupdates.com/web/regassassin-setup-1.03.exe
Double clic sur RegASSASSIN.exe pour lancer le programme.
Copie et colle dans la fenêtre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\QuickTiHe
puis clic sur "Delete".
Répond "oui" au message d'avertissement qui te demandera confirmation.
Fais de même avec :
HKEY_USERS\S-1-5-21-1801674531-413027322-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\QuickTiHe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\QuickTiHe

Vérifie ensuite via l'éditeur du registre si cette fois les clés ont bien été supprimées.

En croisant les doigts ! :-)

@+ tard !

afideg · Answer

Salut Miss,

Ton explication n'est pas très claire.
Peux-tu être plus précise dans le détail, SVP ?

N'oublie pas, mOe avait écrit ceci: « ... s'il échoue on avisera avec plus puissant. »

Donc, tiens-en compte dans tes manipulations "successives", et tes "tests". 
Merci

Bonne soirée; également à mOe.   ;)
Al.

afideg · Answer

Re,

... en espérant avoir été suffisamment claire 

Merci claire     ;)

... Et là, je rouvre Regedit, et réessaye de supprimer à la main une de ces clés, mais l'ordinateur s'éteint brusquement et redémarre l'ordinateur.

Laquelle ?
Merci

Al.

moe · Answer

Salut Crazybabe, claire, Afideg :-)

On pouvait toujours rechercher des infos sur le fameux QuickTiHe, car c'est en fait après lecture des clés que tu as exportées Crazybabe, lié à : QuickTime !
Regarde ici :
http://cjoint.com/data/etiC0Sln7h_quicktime.jpg

Donc éventuellement et à moins qu'Afideg ait des infos ou une manip à te proposer, plutôt que de rechercher à supprimer ces clés à tout prix et apparement légitimes, vérifie d'abord que :

- Dans le menu Démarrer > Tous les programmes, tu as bien un dossier Quicktime

Si oui, reviens à l'aide de l'éditeur du registre sur la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs
Et déploies la clé  "Programs" 
Si dans la liste seul QuickTiHe est présent et pas QuickTime, renomme QuickTiHe en QuickTime et referme l'éditeur du registre.
Après redémarrage du pc, Ccleaner ne devrait plus détecter cette clé car à la base en service et non obsolète.
Tu peux faire ensuite la même chose avec la seconde clé, si elle ne s'est pas actualisé d'elle même.

Afin d'éviter le risque de plantage au moment du renommage, je te conseille de faire ces opérations en mode sans échec, histoire de mettre toutes les chances de réussite de ton côté :-).

On va y arriver !! :-)

Passez une bonne journée !

@+

afideg · Answer

Bonjour mOe et euh, 

Non, je n'avais "souvenance" que de ceci:  http://www.secuser.com/vulnerabilite/2008/080403-quicktime.htm

Je ne crois pas facilement qu'une "faute d'orthographe" (fût-elle "volontaire") puisse, et à ce point, infester la base de registres. 

Al.

moe · Answer

Salut Crazybabe, Afideg

Merci pour l'upload des clés, effectivement QuickTiHe et QuickTime ont exactement les mêmes valeurs, ce sont des doublons !

Au vu de tes observations, tu peux laisser tomber la procédure de renommage puisque la clé bien orthographié est déjà bien présente.

Mieux vaut que tu désinstalles QuickTime, oui, surtout si ta version du soft n'est pas la dernière en date, Afideg à raison sur ce point bien que l'exploit en question ne se situe pas et ne génère pas ce bug au niveau du registre, ce sera l'occasion de faire d'une pierre deux coups :-)
Après désinstallation et un redémarrage du pc tu vérifies au niveau du registre si les clés :
QuickTiHe et QuickTime ont été nettoyés ou pas par la procédure de désinstallation.
Si elles ont persistés, tente une suppression manuelle ou via Ccleaner (ce sera un bon test de détection) et l'occasion de vérifier si ce plantage était du réellement au programme QuickTime.
Eventuellement si le plantage devait se reproduire, essaye la suppression manuelle des clés QuickTiHe et QuickTime en mode sans echec.

Enfin, la fin se ferait-elle fine ...?
Lol, la réponse au prochain épisode :-P

Tiens nous au courant et...Pas de quartiers ! :-)

Bon courage et @+ tard.

moe · Answer

|
                         .   |
                             |
               \    *        |     *    .  /
                 \        *  |  .        /
              .    \     ___---___     /    .  
                     \.--         --./     
          ~-_    *  ./               \.   *   _-~
             ~-_   /    ^         ^    \   _-~     *
        *       ~-/    ___       ___    \-~        
          .      |    (_O_)     (_O_)    |      .
              * |                         | *     
     -----------|                         |-----------
       .        |    <               >    |        .    
             *   |    \             /    | *
                _-\    `.         .'    /-_    *
          .  _-~ . \     `-.___.-'     /   ~-_     
          _-~       `\               /'*      ~-_  
         ~           /`--___   ___--'\           ~
                *  /        ---     .  \      Un ange passe.... :-)
                 /     *     |           \    Profites bien de ton après-midi !
               /             |   *         \ 
                          .  |        .
                             |

moe · Answer

Bonsoir Crazybabe,

Grrr !!... et  :-)  lol

Donc tu confirmes qu'une tentative de suppression manuelle en mode sans echec provoque aussi un reboot du pc ?
Dur, dur...
T'inquiète, on va pas lacher l'affaire aussi vite ! d'autant plus qu'il reste encore quelques outils ou scripts à essayer.

Pour cette clé qui te semble nouvelle par rapport aux autres scans OAD :

[HKEY_USERS\S-1-5-21-1801674531-413027322-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]

Elle stocke simplement la position de la dernière clé visité via regedit, afin de se repositionner automatiquement dessus lors de l'ouverture suivante de l'éditeur du registre.
Donc pas directement liée à QuickTiHe.

On continue :-), télécharge Icesword ici :
http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip
Dézippe le sur ton bureau.
Double clic sur Icesword.exe  pour lancer le programme.
Dans le menu de gauche, clic sur "Registry" 
Toujours dans la partie gauche du prog tu verras apparaitre les différentes branches du registre comme avec regedit.
Pour le confort visuel, tu peux régler et déplacer la séparation entre partie gauche et droite du programme.

Ensuite, déploie :
HKEY_USERS\S-1-5-21-1801674531-413027322-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs
Puis clic droit sur QuickTiHe -> Delete
Fais de même avec :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\QuickTiHe 

Je t'ai mis un petit gif ici histoire de te familiariser avec l'interface d'Icesword avant de l'utiliser.

En espérant qu'il y ait du mieux cette fois !

@+ tard.

moe · Answer

Hello !

Comment vous dire Merci !!?? 
Ne cherche pas c'est déjà fait :-)

Allez zou, au boulot ! :-P

En parlant de ressources... je file dépenser les miennes au boulot justement, lol, chui à la bourre !

Bonne aprés midi à toi et @+ tard !

moe · Answer

Bonjour Crazybabe, Afideg

...QuickTiHe le vil aurait t'il enfin cédé sous les coups d'épée de glace de l'amazone, :-) ?...

Juste un p'tit coucou en passant à tous les deux !

@++

crazybabe · Answer

Bonjour vous deux !!

Elle commence à me rendre folle cette clé !!

Mais pour rien, elle s'enlèverait simplement celle-ci !

Dans un premier temps, j'ai retrouvé mes deux clés QuickTime que j'ai supprimées : Ai-je bien fait ?Je n'en sais rien.

Puis à deux reprises, j'ai essaye de supprimer l'une ou l'autre clé QuickTiHe, et là, le PC ne redémarre plus, mais il plante complètement ! 

Impossible de vérifier si c'est  l'application IceWord qui plante, puisque la commande Ctrl+Alt+Suppr ne répond pas...

Ahhhh... je vais essayer en Mode Sans Echec, et je reviens vous dire ce qu'il en est....

Merci de votre patience, celle que je n'ai pas ;-) !!

moe · Answer

Bonsoir Crazybabe,

Mais pour rien, elle s'enlèverait simplement celle-ci ! 
Lol, pourquoi faire simple quand on peut faire compliqué, hin ?... :-)
J'avoue que c'est la première fois que je vois une clé de registre aussi résistante et qui plus est, non virale.
On va attendre dans un premier temps de voir ce que donnera le tandem Icesword/mode sans echec avant d'essayer autre chose.

Dans un premier temps, j'ai retrouvé mes deux clés QuickTime que j'ai supprimées : Ai-je bien fait ? Je n'en sais rien
Si tu n'as pas réinstallé Quicktime avant de supprimer ces deux clés, oui tu as bien fait de les supprimer.

Pourrais tu me dire si le renomage de la clé QuickTiHe fait aussi planter le pc ?
Eventuellement, si c'est possible de la renommer, on pourra essayer de tenter quelque chose à ce niveau.

@+ tard !

afideg · Answer

Bonsoir mOe et crazybabe,

Quelque chose m'ennuie pour la compréhension.
crazybabe, avais-tu oui ou non supprimé QuickTime seul (sans supprimer QuickTiHe).
Aussi, comment as-tu fait pour "Désinstaller" QuickTime ? (via une fonction uninstall ?)

Parce que je relis ceci:

# 69 Dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs , la sous-clé "Programs" correspond à "Tous les programmes" du menu "Démarrer".

# 70  Depuis le début dans l'éditeur de registre, j'ai Quick TiHe suivit directement de Quick TiMe, juste en dessous. 
Peut être pourrais-je désinstaller QuickTime, et le réinstaller

# 72 Mieux vaut que tu désinstalles QuickTime, oui, surtout si ta version du soft n'est pas la dernière en date

# 75 Désinstallation de QuickTime, nettoyage complet de l'ordinateur, essayé bien entendu par tous les moyens de supprimer la clé Quick TiHe (Regedit, Ccleaner), mais toujours pareil, l'ordinateur redémarre automatiquement


Peux-tu supprimer également QuickTiHe dans "Ajout/suppr. de programmes" du "Panneau de configuration", SVP ?

Merci
Bonne soirée
Al

moe · Answer

Recoucou Crazybabe, Bonsoir Afideg.

Laisse tomber Icesword, s'il avait pu supprimer cette clé il l'aurait fait sans problèmes en mode normal.
Dommage car c'est un outil puissant à qui peu de choses résistent...en général...

Fatiguée, blasée, aujourd'hui, par c'tte vielle clé :-( !! 

Je vois et c'est bien compréhensible, bah écoute, je vais te laisser quelques manips et vérifs à faire, tu les feras tranquille à ton rythme et surtout qu'une fois remotivée et d'attaque pour essayer de botter le cul à c'te vieille clé lol ! ;-)

Afideg, je viens à peine de voir ton intervention et la prise de relais :-) au moment de poster, donc vous m'excusez si je n'ai pas eu le temps de modifier complètement mon message car je dois déconnecter rapidement pour filer aux urgence.
Soirée de merde, enfin bref c'est pas le sujet.

Y-a-t-il encore quelque chose à faire ?? 
Oui le plus important... Passer une douce nuit, demain sera un autre jour... ;-)

Bonne continuation à tous les deux, et à bientôt.


ps:

Uniquement après avoir fait les vérifs demandées par Afideg.

Tout d'abord, le plus "simple" :
Si tu peux renommer cette clé sans que pour celà le pc plante, renomme QuicktiHe en Quicktime, puis réinstalle ensuite Quicktime dans la foulée.
Au moins là, la clé servira à quelque chose.
Oué je sais : "je ne trouve aucun moyen de renommer la clé", j'ai bien lu ta remarque :-)
Passe par regedit car Icesword ne propose pas la possibilité de renommer, pour celà tu te rends sur la clé ...\MenuOrder\Start Menu2\Programs et tu fais un clic droit sur "QuickTiHe".
Dans le menu contextuel tu trouveras l'option "renommer"

Dans le cas contraire :

Vérifie si ce dossier C:\Documents and Settings\All Users\Menu Démarrer\Programmes contient ou pas de dossier nommé QuickTiHe
J'ai lu quelque part que la clé ...\MenuOrder\Start Menu2 concernait aussi les programmes qui s'installent sur toute les sessions, donc on sait jamais tu ne perdras rien à vérifier.
Si tu trouve un dossier QuickTiHe à cet emplacement supprimes-le.
Tu peux faire aussi cette recherche sur tous les comptes utilisateurs en plus du tiens à y être.
Dans ce cas il te faudra rechercher QuickTiHe à C:\Documents and Settings\Nom_Utilisateur\Menu Démarrer\Programmes
Vérifie aussi dans C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes

Si cette recherche est infructueuse, télécharge CrazyK ici :
http://perso.orange.fr/aeternum/CrazyK.zip
Dézippes-le et double clic ensuite sur le fichier CrazyKey.bat

Je t'explique brièvement le principe que va employer ce script :

Tout d'abord, il va tenter de lever d'éventuelles restrictions d'accès ou de droit sur les deux fameuses clés QuickTiHe.
Ensuite le principe consiste à créer provisoirement une clé (vide) leurre basé sur le nom de celle à supprimer (QuickTiHeCrazy par exemple).
Puis de sauvegarder ce leurre au format *.hiv (fichiers de ruche).
Après suppression de cette clé leurre qui ne sert en fait que le temps de la sauvegarder sous ce format précis, cette sauvegarde sera ensuite "fusionné" sous le nom de la clé à supprimer, càd : ...\MenuOrder\Start Menu2\Programs\QuickTiHe
Bla, bla, bla... :-) Le but ?
Réecrire en employant un moyen détourné le contenu de la clé récalcitrante pour mieux ensuite tenter de la supprimer.
C'est un principe souvent employé par certains outils spécifiques d'éradication pour des clés mal formées ou récalcitrantes, reste à savoir si ça fonctionnera pour toi, j'espère et j'y compte bien en tout cas :-) !

afideg · Answer

Bonjour mOe et crazybabe,

As-tu ré-installer QuickTime à partir de ce lien http://www.secuser.com/vulnerabilite/2008/080403-quicktime.htm  ?

Merci
Bonne journée.
Al.

moe · Answer

Bonjour Crazybabe, Afideg

Je retourne dans Regedit, tente de renommer QuickTiHe en QuickTiMe, le pc reboot dès lors. 
Ok, donc le renommage est impossible, une possibilité de moins, zut....

Je lance CrazyKey en mode normal, il reboote le pc, je m'aperçois qu'il m'a créé deux fichiers "TiHedummy.hiv et TiHe2dummy.hiv". 

Oui, c'est normal pour les deux fichiers *.hiv, il étaient sensés être chargés ensuite par le script sous le nom QuickTiHe dans le registre, mais apparement la manip n'a pas pu se faire ou du moins elle a provoqué le reboot du pc.
Ce qui d'ailleurs a été reconfirmé juste après lorsque tu as essayé de charger la clé *.hiv manuellement.

Tu peux supprimer le dossier CrazyK et les deux fichiers qu'il contenait, néanmoins comme il me semble percevoir un petit doute sur ce script, tu peux facilement en vérifier le contenu juste avant en faisant un clic droit sur CrazyKey.bat puis clic sur > Modifier.
Le code s'affichera dans le bloc note.
C'est un script perso que j'ai codé pour l'occasion et adapté pour ta clé à supprimer, donc c'est un peu normal que tu n'aies pas réussi à trouver d'infos :-)
Si tu as encore le moindre doute après avoir jeté un oeil au code, n'hésites pas et dis le moi, je te l'expliquerais ligne par ligne si tu le souhaite !

Lol, j'ai l'impression qu'on tourne en rond depuis un moment à s'évertuer de trouver une solution pour la supprimer en force, il n'y a pas de problèmes de droits spéciaux sur ces deux clés, elle ne semble pas mal formée ou bugguée et donc à mon avis l'endroit doit lui plaire et lui sembler confortable :-)
Je plaisante, le problème est surement situé ailleurs, à savoir qui bloque la suppression ?
Après quelques recherches, je vais essayer de voir ce qu'il est possible de faire à ce niveau, car il y a quand même un élément nouveau grace à tes remarques, l'apparition d'un message au démarrage après tentative de suppression :
Au démarrage, il me signale qu'une clé registre a dû être restaurée, et qu'elle l'a été avec succès :-( !
D'ou ma question, te souviens-tu du message exact et éventuellement d'après toi s'agissait t'il d'une boîte de dialogue "Windows" (généré par le système) ou bien de celle d'un programme tiers ?
Ca pourrait nous donner quelques pistes nouvelles à creuser.

Mis à part certains logiciels pour essayer de gicler ces deux clés en force, il reste encore la possibilité de retenter une suppression restauration système désactivée et toujours en mode sans echec, à moins bien sur que tu veuilles conserver les points de restau système existant, auquel cas oublie ce que je viens de dire :-P
Sans oublier aussi le point de vue d'afideg qui a peut-être quelques autres pistes ou idées en réserve :-)

Passez un bonne et belle journée !

@++

afideg · Answer

Bonsoir à vous deux,

Encore une fois ...

Il n'est pas permis de croire qu'une désinstallation totale de QuickTime (par exemple à l'aide de Unlocker) suivie d'un arrêt/redémarrage PC, (voire d'un nettoyage des résidus à l'aide de CCleaner par exemple) n'autorise pas une réinstallation propre de la dernière version 7.4.5 de QuickTime pour Windows XP à partir de ce lien de téléchargement < http://swdlp.apple.com/... >.

Par contre, il est permis de croire, au vu des informations collectées sur le Net, que des manipulations "aventureuses" sur des sites déconseillés (du point de vue "sécurité informatique") aient engendré cette bizarrerie de QuickTiHe; laquelle bien évidemment puisse être associée à l'outil QuickTime à partir duquel ces manipulations "aventureuses" ont été rendues possibles.
Et si OAD est capable de localiser QuickTiHe dans le système; il doit être tout aussi possible de le descendre. Il faut pour cela savoir comment il est entré.

Je cite par exemple quicktihe.com ou quicktihme.com qui en sont des variantes.
Je conçois facilement l'alerte poker.exe (en titre) et autres casinos, X, ...

Ce qu'il faut retenir, c'est que ces sites ont fait chauffer (et pas seulement...euh!) mon Kis7.
Les plus tenaces ont été les Spywares émis par WindowsX-Defender et autres logiciels qui voulaient bloquer mon PC.
J'aimerais en savoir plus sur les "consultations X" qui ont précédé les soucis de l'internaute.
crazybabe, si ton PC contient "WindowsDefender" (usine à faux-positifs), supprime-le.


Désolé.
Bonne soirée.
Al.

moe · Answer

Salut Crazybabe, Afideg

Il n'est pas permis de croire qu'une désinstallation totale de QuickTime (par exemple à l'aide de Unlocker) suivie d'un arrêt/redémarrage PC, (voire d'un nettoyage des résidus à l'aide de CCleaner par exemple) n'autorise pas une réinstallation propre de la dernière version 7.4.5 de QuickTime pour Windows XP à partir de ce lien de téléchargement < http://swdlp.apple.com/ >. 

Crazybabe a pu désinstaller et réinstaller Quicktime sans problème si j'en juge ce qu'elle a dit elle même :
Je réinstalle QuickTime, la clé QuickTihe est toujours là, et toujours dans l'impossibilité de la supprimer !!! 
Non ?

Je cite par exemple quicktihe.com ou quicktihme.com qui en sont des variantes.
Je conçois facilement l'alerte poker.exe (en titre) et autres casinos, X, ... 
Ce qu'il faut retenir, c'est que ces sites ont fait chauffer (et pas seulement...euh!) mon Kis7. 

Bah on verra si Crazybabe confirme ou pas pour ses surfs, bien que perso je reste persuadé que cette clé est lié à Quicktime (cf le contenu de ces deux clés) et verrouillée par le système pour une raison que je ne comprend pas encore.
Vu que ce problème de clé était présent dès suppression de Bagle ou même avant, je trouve étonnant s'il y avait eu infection de type WindowsXDefender ou autre que le rapport Combofix n'en révèle aucune trace, ainsi que le scan Antivir qu'à fait ensuite Crazybabe ?...

De plus, pour quicktihe.com ou quicktihme.com auquel tu fais référence, je suis très étonné car perso je n'ai pas pu accéder à ces sites.
http://www.dnsstuff.com/tools/whois.ch?ip=quicktihe.com
Après vérifs il s'avère que ces deux noms de domaine ne sont plus attribués depuis 5 ans...
Tu es sur d'être allé précisément sur ces sites ?
Maintenant si tu fais référence aux sites de cul qui apparaissent lors de la recherche google de "QuicktiHe", pour ma part j'ai laissé développer en vm les infections présentes sur certains de ces sites effectivement, histoire de ne pas écarter trop vite une piste possible, mais rien de concret n'en est ressortis concernant "QuicktiHe" et/ou cette fameuse clé...
Pour faire court, ces sites utilisent de nombreux mot-clé pour avoir une chance d'apparaitre dans une recherche afin d'inciter un clic sur leur lien, mais mis à part çà, je n'ai pas pu établir le moindre rapport entre ces sites, quicktihe et la clé en question.

Mais bon, apparement tu semble persuadé du contraire et donc je vais suivre avec curiosité et intérêt la suite dès que Crazybabe aura un peu de temps ou l'envie de s'y reconsacrer, car tu semble avoir des éléments/preuves que je n'ai pas ou pas réussis à trouver :-)

En attendant, passez tous les deux une bonne journée !!

@+

ps:
Poker.exe n'a rien à voir il me semble, puisque c'était ben l'auteur initial de ce topic qui le mentionnait et pas Crazybabe.

afideg · Answer

Bonjour mOe,

crazybabe écrivait à l'ouverture de son topic « Ayant exactement le même problème ... », c'est-à-dire des alertes pocker.exe .  ---> et toutes les autres comme j'en ai souffert lors des recherches sur QuickTiHe (notamment 24/04/2008 19:14:35	L'ouverture de l'objet HTTP malicieux <http://onlinexpscanner.com/2008/download/XPantivirus2008_v880230.exe>: découverts : cheval de Troie 'Trojan-Downloader.Win32.FraudLoad.kv'.), pour ne citer que celle-là.


« ... pour quicktihe.com ou quicktihme.com auquel tu fais référence, je suis très étonné car perso je n'ai pas pu accéder à ces sites.  http://www.dnsstuff.com/tools/whois.ch?ip=quicktihe.com 
Après vérifs il s'avère que ces deux noms de domaine ne sont plus attribués depuis 5 ans... 
Tu es sur d'être allé précisément sur ces sites ? »
Non, c'est un ancien collègue (que j'avais questionné) qui m'a passé ces noms de domaine comme étant liés "aux dérives de QuickTime" selon son vocabulaire. 
Et je n'ai pas de VM pour tester.


Ce qui ne va pas dans la logique, c'est ceci:
« Je réinstalle QuickTime, la clé QuickTihe est toujours là »
« # 75 Désinstallation de QuickTime, nettoyage complet de l'ordinateur, essayé bien entendu par tous les moyens de supprimer la clé QuickTiHe » 
==> Même QuickTime désinstallé, la clé QuickTihe est toujours là .
Donc, difficile de se convaincre qu'elle soit la propriété exclusive, ou partie intégrante de QuickTime.
C'est pourquoi je recherche sa véritable provenance.S'inscrire sur le forum support de site QuickTime  http://discussions.apple.com/category.jspa?categoryID=122
Je ne suis pas en forme pour cela (je ne pourrais m'appliquer correctement à cause de ma situation personnelle).


Merci
Bonne journé à toi
Albert

moe · Answer

Bonjour Crazybabe, Afideg

Crazybabe :
Ecoute ne t'inquiètes surtout pas pour les temps ou délais de réponse, l'avantage qu'on a ici, c'est de pouvoir passer quand on en a envie et de reprendre là ou on en était resté.
Peut importe la durée dans le temps que celà prend ou le rythme de chacun, l'essentiel et le plus important n'est pas là... :-)
Je ne pense pas trop m'avancer en disant que ce soit pour Afideg ou pour moi, qu'on comprend très bien que tu fasse passer d'abord au premier plan tes priorités du moment, de quel ordre soient-elles... 
Qui plus est, avant une clé de registre qui fait des caprices, non mais  ! lol
Et c'est d'ailleurs exactement la même chose pour nous...

Ceci dit...
Mais, j'aime aussi comprendre et je trouve génial Moe que tu arrives toi même a créé des programmes ainsi ! 

Lol, c'est surtout très pratique je dois dire car cela permet de pouvoir regrouper plusieurs actions qui pourraient être parfois contraignantes ou fastidieuses à faire effectuer manuellement, puis cette "gymnastique" aide aussi à mieux comprendre certains aspects du fonctionnement de windows :-)
Mais bon pour être honnête, par rapport à certains membres qui ont développés des outils de désinfections très pointus, je ne suis qu'un "scribouillard" autodidacte dans ce domaine :-)
A propos ! , je t'ai répondu ici pour tes questions sur le script:
http://perso.orange.fr/aeternum/explications.txt
En espérant ne pas y avoir répondu en diagonale !

Remarque, si elles s'y plaisent comme tu dis, et qu'elles ne se comportent pas comme les cafards, pourquoi ne pas leur foutre la paix !!.... :-)
Aaargh !!, hum...lol excuse mais j'ai failli faire ressortir mon café par les narines à te lire dire çà ;-)
Je plaisante, c'est une possibilité, mais alors à n'utiliser qu'en dernier recours si tu permets ! :-P
Pour ma part avant de continuer je préfère attendre qu'Afideg développe avec toi ses pistes puisqu'il semble privilégier le côté infectieux, ce sera peut-être plus facile pour toi et pour nous de te faire part de nos recherches à tour de rôle.
Pour le message d'avertissement ce serait excellent si tu te souvenais de la phrase exacte qu'il contenait ou même d'un bout seulement ?
Ca me permettrais de mieux cibler mes recherches !
Merci d'avance.

Passez tous les deux une très bonne journée !
Olivier.

ps:
Albert,
Je comprends, pas de soucis, prends ton temps...
Il me semble si je n'interprète pas mal, qu'on se trouve exactement dans la même situation par rapport à une personne très proche...
Enfin bref...Bon courage....

moe · Answer

Salut Crazybabe, Afideg

J'espère que vous allez bien tous les deux.

Je ne sais pas pour toi Afideg, mais pour ma part et malgré mes recherches tout au long de ce week-end, je ne suis pas arrivé à déterminer précisément qui a pu créer cette clé QuickTiHe et pourquoi elle est vérouillé de cette façon.
J'aurais bien aimé pouvoir poser la question directement sur le forum apple mais mon anglais est hélas beaucoup plus qu'approximatif :-)

Contrairement à toi qui pense que l'origine de cette clé peut avoir été infectieuse à la base, j'avais pensé plutôt à un bug soit de Quicktime qui aurait pu inscrire dans le menu démarrer un nom de dossier mal orthographié, la clé se serait ensuite actualisé en fonction de ce "mauvais" nom, ce qui me parait maintenant improbable car au final ça n'explique et ne prouve en rien le problème de suppression de cette clé.
Soit à un bug du système au moment de la première installation de Quicktime et qui a planté lors de l'actualisation de cette clé pour une raison que je ne connais pas.

Quoi qu'il en soit je ne peux pas prouver ce que j'avance donc c'est pour cette raison que je préfère te laisser explorer tes pistes avant d'en revenir si besoin était à mes déductions et manips.

A toi de voir Afideg si tu en a le temps, la possibilité ou l'envie, sinon j'ai laissé ici pour toi Crazybabe un pense-bête sur ce que j'avais l'intention de te faire vérifier et faire en attendant d'avoir plus d'infos tangibles.

Passez une bonne soirée, @+ tard.

afideg · Answer

Salut mOe et crazybabe,

La question est posée chez Apple.com 
J'attends réponse.

Al.

afideg · Answer

Hello mOe et Grazybabe

Voici réponse obtenue ce jour:

« This has nothing to do with QuickTime.
(Cela n'a rien à voir avec QuickTime)

Quick=Game mode
Ti=Poker game
This is a "string" belonging to the code of the Ti Poker
He=Avatar
Me=Avatar

Your friend needs to remove the Client-Server poker game application.
(Votre ami doit supprimer le Client-Serveur de Poker-Game application
http://www.treasureislandlasvegas.com/pages/action_poker.asp  )

Make sure your friend has installed the latest updates installed. 
(Assurez-vous que votre ami a installé les dernières mises à jour)

Contacter  https://support.microsoft.com/en-us  »

Bonne chance
Al.

moe · Answer

Salut Afideg, Crazybabe

Piste intéressante effectivement.
Merci Afideg.

« This has nothing to do with QuickTime.
(Cela n'a rien à voir avec QuickTime) 

J'avoue que j'ai du mal à être aussi catégorique à voir le contenu de cette clé :-)

A suivre...

@++

afideg · Answer

Bonsoir mOe

C'est là  http://discussions.apple.com/thread.jspa?threadID=1501785&tstart=0
Avec un lien vers  http://www.treasureislandlasvegas.com/pages/action_poker.asp

Albert

moe · Answer

Bonsoir Afideg

Oui, j'ai suivis le thread sur le forum Apple et lu la réponse qu'on t'a donné, CodLBi renvois Crazybabe vers les maj de sécurité microsoft si je comprends bien et au vu des liens ?...
A voir ce que Crazybabe nous en dira et si ça a suffit.

Bonne soirée et à plus tard.

@+

moe · Answer

Bonsoir Crazybabe

Content de te relire et donc de constater que tu n'as pas laché l'affaire :-)

Y-aurait-il un rapport ? 

Bah, tu connais mon point de vue sur un rapport éventuel avec un jeu de poker, pour ma part l'explication sur le forum Quicktime ne tiens pas la route.

1/ Le contenu de la clé QuicktiHe que tu nous avais uploadé, ne fait référence qu'à Quicktime dans son contenu et pas quicktihe, cf: https://www.cjoint.com/?eDrnfDnbXe
Etonnant dans ce cas qu'il n'y ait aucune références à un raccourci vers une appli/URL pour un jeu/serveur de poker ?...

2/ Le site mentionné sur le forum hllp://www.treasureislandlasvegas.com/ ne propose aucune application en téléchargement, la procédure pour y accéder nécessite une inscription volontaire et assez fastidieuse au niveau des données à fournir.
Donc comme tu ne connais ni ce site et comme tu n'as jamais non plus fait de démarches volontaires pour t'inscrire sur une de ces chaines de casinos de Végas, je vois mal comment le fameux serveur de Ti poker se serait installé sans ton accord.

3/ Même si cette hypothèse avait été réelle un jour...
La clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs qui permet d'avoir le menu "Tous les programmes" classé par ordre alphabétique, est gérée par l'explorateur, c'est à dire explorer.exe.
J'ai vérifié en tracant en temps réel les modifs dans le registre sur cette clé,lors de plusieurs installations/désinstallations de programmes.
Aucun programme lorsque tu l'installes ou le désinstalles n'inscrit ou ne supprime directement de données dans cette clé.
En supprimer serait absurde puisque l'explorateur l'actualisera par rapport à ce qui existe vraiment "physiquement" dans "Tous les programmes" (dossiers, sous-dossiers, liens...).
En rajouter le serait tout aussi, puisque le principe ne marche pas dans le sens inverse, c'est à dire que le contenu du dossier du prog visé dans le menu démarrer > "Tous les programmes" ne sera pas actualisé par rapport au contenu de cette clé.

4/ Que le programme soit installé, actif ou bien désinstallé, ça n'a normalement aucune influence sur la suppression des éléments de cette clé.
Dans le cas ou elle correspondait à un programme actif, l'explorateur recréera l'entrée sous ...\Start Menu2\Programs un reboot plus tard ou dès que tu relanceras le prog en question via le Menu démarrer > "Tous les programmes"

J'espère que malgré mes doutes, la solution viendra d'Afideg et des pistes sur le forum Quicktime, ce serait plus simple et plus facile finalement.
Afideg te donnera surement les bonnes orientations à prendre par rapport aux conclusions faites sur ce forum.

Merci d'avoir précisé pour le message d'erreur, apparement le système n'arrive pas à actualiser le fichier ruche du registre de ton compte, par rapport à la suppression ou modif de cette clé.
Ce sera à verifier plus tard si le problème persiste.

A-t-il un nom susceptible de bien camoufler cette application ? Quelque chose qui aurait pu m'échapper, qui ne porterait pas le nom Poker ? 
Si on suit la logique du forum Quicktime tout en sachant comment fonctionne et le rôle de la clé que tu veux supprimer, il n'y a que QuickTiHe comme réponse possible...
Désolé, parce que je sais que tu as déjà fait de nombreuse fois la recherche dans ton pc...

Pour la commande citée dans le topic, je ne la comprends pas...
Moi non plus :-) Laquelle ?!

@+ tard !


ps:
Au fait, l'erreur et la boîte de dialogue sur la page Amenities est générée par l'utilisation du service fournis par Google, qui permet d'afficher le plan d'accès du casino via le service Google map :
https://developers.google.com/maps/faq?csw=1#using-google-maps-apis
https://cloud.google.com/maps-platform/terms/?csw=1
Le message d'ereur s'adresse à l'administrateur du site afin qu'il renouvelle sa clé pour pouvoir utiliser ce service sur son site.
La seule concéquence que ça implique est d'avoir la rubrique DRIVING DIRECTIONS sans aucun plan d'accès en image :-)

afideg · Answer

Bonsoir mOe et crazybabe,

J'aurais bien cru que ce topic ouvert chez Apple.com eût suscité plus d'enthousiasme de leur part.
J'ai l'étrange impression qu'ils sont convaincus que QuickTime est indépendant de QuickTiHe.
(ce qui est contredit par http://img260.imageshack.us/img260/7310/screenshot351mu8.png )
mOe, comment as-tu obtenu cette configuration panel, s'il te plaît ?


Il serait possible de "rechercher tous les fichiers ( dont on ne connait rien, voire même les fichiers cachés ou masqués du système  ) créés/modifiés une telle date ou une plage de dates" et relatifs à une partition, un dossier , etc. 
C'est ici avec un guide < http://www.freecommander.com/fr/index.htm > (3 pages)
Mais j'hésite à penser que cela permettre de "détailler" QuickTiHe à partir de sa localisation dans une clé.
Je n'en connais pas les performances.

crazybabe, pourrais-tu relancer une recherche de QuickTiHe à l'aide de OAD (l'outil d'aide au diagnostic) ?


Merci
Bonne nuit
Al.

moe · Answer

Bonjour Crazybabe, Afideg

Afideg,

J'ai l'étrange impression qu'ils sont convaincus que QuickTime est indépendant de QuickTiHe.
(ce qui est contredit par http://img260.imageshack.us/img260/7310/screenshot351mu8.png )
mOe, comment as-tu obtenu cette configuration panel, s'il te plaît ? 

Quelque part c'est la vérité, QuickTime ne me semble pas directement responsable de l'inscription de cette clé dans le registre.
Dans le cas ou lors de l'intallation il aurait crée dans le Menu Démarrer > Tous les programmes un nom mal orthographié, je pense que Crazybabe ne serait pas la seule à avoir cette clé et qu'on aurait pu facilement mettre la main sur des cas similaires.
Ce qui n'a pas été le cas.
Crazybabe aurait pu aussi renommer ce dossier dans le menu démarrer, dans un soucis de réorganisation de ce menu, mais là aussi j'ai du mal à le croire, il y a quand même un grosse différence entre un 'm' et un 'H', beaucoup plus qu'une simple erreur de frappe et dans ce cas je pense qu'elle nous aurait sincèrement dit avoir un jour essayé de renommer ce dossier.
Reste alors la possibilité d'un plantage soit d'explorer.exe au moment d'actualiser le contenu du Menu Démarrer > Tous les programmes après installation sans faute de Quicktime, et/ou un problème survenu lors de l'édition de ntuser.dat.

Pour ce qui est de ta question, effectivement Crazybabe a vu juste, j'ai simplement fusionné la clé qu'elle nous avait uploadé il y a quelques jours.
La capture a été réalisé avec le logiciel RegAlyser de l'auteur de Spybot, ça permettait d'avoir une vue d'ensemble et totale des données contenues dans cette clé.
Je n'ai pas eu besoin de créer de dossier QuickTiHe si c'est ce que tu voulais savoir.
L'explorateur actualise bien la clé en fonction du contenu de Menu Démarrer > Tous les programmes lors de l'ajout ou la modification d'un dossier déjà existant, mais pas semble t'il lorsque ce dossier est supprimé ou n'existe plus.


Crazybabe,

ayant supprimé la valeur de la clé QuickTihe dans Regedit, je me retrouve au final, sans les même données que toi, et même, sans celles du départ. 
Les données de la valeur 'Order' ont changés ?
Bizarre..., ca ne te dérangererais pas de l'exporter à nouveau et de me refaire passer cette clé ?

Par hasard, si tu aurais gardé la clé que je t'ai filé, je pense qu'il serait mieux que je lui remette sa valeur, non ?

Oui bien sur, je te uploade après avoir posté ce message.
Sinon oui, tu as raison, vu que tu as réinstallé Quicktime dans sa dernière version le contenu des deux clés (Quicktime et QuickTiHe) doit maintenant différer légèrement, mais perso et pour être franc je ne vois pas l'intérêt de lui redonner ses valeurs d'origine puisqu'à la base cette clé doit être supprimée et est obsolète, non ?
Quoi qu'il en soit tu peux tenter, voilà le lien :
http://perso.orange.fr/aeternum/QUICKTIHE.reg


J'ai désactivé la restauration système.
Sur tous les lecteurs ou sélectivement rien que pour F:\ ?

Si la désactivation a marché, le dossier F:\System Volume Information\_restore{D475D116-DF88-45C4-8BF3-9AB6FC089BD7} aurait du être supprimé ou du moins son contenu.
Ce qui ne semble pas être le cas d'après tes précisions, surement à cause de la non reconnaissance du disque comme étant actif par la restau système.

Est-ce que c'était le cas pour le contenu ?
_restore{D475D116-DF88-45C4-8BF3-9AB6FC089BD7} devait contenir chacun des points de restau disponibles sous forme de dossier 'RP+n°'
Par exemple : RP10, RP11, RP12... etc
Si ces dossiers existaient encore après désactivation ça veut dire que la procédure à échoué.

Est-ce que depuis cette nuit et après avoir réactivé la restau, ton disque est à nouveau "Sous surveillance" et détecté "connecté" par la restauration système. ?
Dans ce cas tu peux retenter de désactiver la restau sur ce lecteur pour la purger.

Essaye éventuellement aussi de passer par l'outil de nettoyage du disque :
Ouvre le menu Démarrer > Exécuter > Tapes ou copie/colle: cleanmgr puis valide.
Si ton disque externe est détecté "connecté", un boîte de dialogue te demandera quel disque tu veux nettoyer, choisis F:\
(Si ce choix ne t'es pas proposé referme l'outil de nettoyage du disque, il faudra alors procéder manuellement à la suppression des points de restau)
Dans le Menu clic sur l'onglet "Autres Options" puis sur dans la rubrique "Restauration système" clic sur "Nettoyer"
Ca aura pour effet de supprimer tous les points de restau sur F:\ mis à par le dernier en date, qui lui sera conservé.

As-tu essayé de faire une vérification de ton disque externe, peut-être a t-il des secteurs défectueux ?
Poste de Travail > clic droit sur l'icône de ton DD > propriétés > Outils > Vérification des erreurs > Vérifier maintenant
https://www.vulgarisation-informatique.com/scandisk.php

Pour ce qui est d'Antivir, qu'est-ce qu'il en est aujourd'hui ?, A t-il pu se mettre à jour ?
Fonctionne t-il normalement ? Et as-tu toujours le même message d'erreur losque tu lance un scan ?:
"The application module c:\Programes Files\Avira\Antivir Personal Edition Classic\rcimage.dll cannot be found or has been modified or destroyed. The Avcenter.exe cannot be started. Please check your installation." 

Vérifie si ce fichier existe bien : c:\Programes Files\Avira\Antivir Personal Edition Classic\rcimage.dll , une maj l'aura peut-être remplacé depuis hier ?
Si ce n'est pas le cas, je t'avoue que depuis que tu as installé Antivir, il génère pas mal d'erreur et à l'air de planter asez souvent, d'ailleurs tu l'avais indirectement fait remarqué toi aussi ici :	
http://www.commentcamarche.net/forum/affich 5813567 poker exe application win32 non valide?page=2#49
Donc si les problèmes devaient encore persiter avec Antivir le mieux serait surement dans ce cas de le désinstaller et le réinstaller...

Bon courage Claire, pour toutes ces vérifications :-P, et passez tous les deux un très bonne journée !

@+

moe · Answer

Rebonjour Crazybabe, Afideg

A propos d'Antivir et du message d'erreur :
C'est celui-ci que tu as eu exactement ?

Le fichier rcimage.dll contient toute les ressources graphiques de l'interface de l'AV.
Je n'ai pas Antivir pour savoir depuis quand la nouvelle apparence a pris effet, mais après l'avoir installé et lancé la première mise à jour, ce fichier a été remplacé par sa nouvelle version qui contenait les nouvelles ressources graphiques de l'interface.
Donc il est très possible qu'il y ait eu un problème lors de la mise à jour de ce fichier pour que tu aies ensuite ce message d'erreur.
Pour ma part il est apparu dans les secondes qui ont suivies la modif du fichier.

Juste avant de lancer le scan hier, antivir était-il en train de faire ses maj ?

Par curiosité je viens de modifier volontairement rcimage.dll pour générer ce message d'erreur et voir aussi quelles étaient les possibilités pour toi de rattrapper cette bourde d'Antivir...
Tu me diras si c'est le cas aussi pour toi, mais le scan d'un fichier/répertoire reste possible via le menu du clic droit,  impossible par contre de lancer le centre de sécurité et donc d'accéder aux options/réglages.
Impossible aussi dans ce cas là de tenter une MAJ manuelle :
https://support.avira.com/hc/en-us/community/topics

Je ne sais pas si entre temps les MAJ automatiques auront pu se faire malgré tout et résolu le problème, mais la seule alternative la plus sage reste la désinstallation/réinstallation du prog malheureusement.
A y être profites-en après désinstallation d'Antivir et avant de le réinstaller, de vérifier si la clé QuickTiHe ne se supprimerait pas ?
Et éventuellement si après un reboot du pc, le problème de reconnaissance de ton disque F:\ est toujours d'actualité.
On sait jamais et tu ne perds rien à vérifier !

Sinon si jamais tu avais une urgence, en attendant de le désinstaller, il est possible de récupérer provisoirement la dernière version de ce fichier sur les serveurs d'Avira, ici
http://dl5.avgate.net/upd/winwks/en/classic-nt/rcimage.dll.gz
Et de remplacer C:\Program Files\Avira\AntiVir PersonalEdition Classic\rcimage.dll par cette nouvelle version.
L'archive est au format gz, donc il te faudra vérifier si l'extracteur dont tu te sert habituellement prend en charge ce type d'archive, si tu as Winrar ou Izarc pour l'extraire, ça devrait rouler :-)
Après remplacement tu auras de nouveau accès à l'interface d'Antivir sans aucun (normalement...) message d'erreur.

Voilà pour les infos du jour lol, passe une bonne fin d'après-midi et un bon début de soirée.

@++

moe · Answer

Salut Crazybabe,

Si jamais un de ces 4 tu repassais par là avec l'envie de tenter quelque chose de concret pour virer la clé QuicktiHe, tu pourras trouver  ici :
http://perso.orange.fr/aeternum/Miscs/CrazyB/izi.htm
Les explications nécessaires, étape par étape.

Je te souhaite bonne continuation et bon vent à toi.

@+

moe · Answer

Salut Crazybabe,

Content de te relire :-)

En fait, lorsque je fais tourner Wise Registry Cleaner, avant de fixer le tout, je pars à la recherche de cette même clé depuis : Quick Tihe, puis je la décoche afin que le nettoyage l'ignore, et ainsi mon ordinateur ne rebootera pas ! 

Pourquoi n'ajoutes-tu pas directement la clé Quick Tihe dans la liste d'exclusion ?
Ca t'éviterais de devoir à chaque fois la décocher après le scan, non ?
Après le scan de Wise Registry Cleaner > Clic droit sur la clé Quick Tihe > Ajouter à la liste d'exclusion (Ou Add to exclusion list)

Pour revenir en arrière en cas d'erreur ou fausse manip :
Options > Liste d'exclusion (ou exclusion list) > Sélectionner la clé à réinclure dans la détection > Supprimer

D'après le forum dédié à Wise Registry Cleaner, le plus souvent ce serait une question de droit sur la clé qui empêcherait le soft de la supprimer.

Donc à  tester :-) :
- Ouvre l'éditeur du registre.
-Rends toi à : HKEY_CLASSES_ROOT\TypeLib\{BD26B198-EE42-4725-9B23-AFA912434229}

- Clic droit sur {BD26B198-EE42-4725-9B23-AFA912434229} > autorisations
- Pour chaque groupe d'utilisateur dans la liste, coche la case "Contrôle total" -> Autoriser" 
- Valide
- Essaye de supprimer manuellement la clé

Bonne fin de journée !

@++

afideg · Answer

Bonjour mOe et Crazybabe,

Le grand réveil après "hibernation" ?
J'avoue que je me suis également endormi durant tout ce temps.

mOe, merci pour cette procédure (bien pratique):
( Dans l'éditeur du registre (via "Exécuter" > "Regedit" > [OK] 
Naviguer jusqu'à : HKEY_CLASSES_ROOT\TypeLib\{BD26B198-EE42-4725-9B23-AFA912434229} 
- Clic-droit sur {BD26B198-EE42-4725-9B23-AFA912434229} > "Autorisations .." 
- Pour chaque groupe d'utilisateur dans la liste, cocher la case "Contrôle total" -> Autoriser" 
- Valider ) 

Pour Crazybabe, « En fait, lorsque je fais tourner Wise Registry Cleaner, avant de fixer le tout, je pars à la recherche de cette même clé depuis : Quick Tihe, puis je la décoche afin que le nettoyage l'ignore, et ainsi mon ordinateur ne rebootera pas ! »  ==> c'est de la résignation, ça ?   ;)


Amicalement
Al.

Poker.exe application win32 non valide

63 réponses

Discussions similaires

Newsletters