Suspect,supprime les et ne vide pas la corbeille, en cas de problème,dans les prochains jours, retaure,mais à mon avis,à supprimer.
-- Bernard42
Jean_ nous a déclaré sur Win xp FR :
Bonjour,
Sur 2 PC (WIn XP SP3) j'ai le même phénomène :
Un fichier .dll se retrouve dans la racine de C:Documents and SettingsJeanApplication Data Le même fichier existe dans Windowssystem32.
Sur l'un des PC, Malware Byte trouve que le fichier de documents and settings... est suspect.
Les noms sont différents sur les 2 PC axsmvuwd.dll pour l'un et wapisu.dll pour l'autre
Normal, parano ou problème réel ?
Merci pour vos réponses.
Herser
Jean_ wrote:
Bonjour,
Sur 2 PC (WIn XP SP3) j'ai le même phénomène :
Un fichier .dll se retrouve dans la racine de C:Documents and SettingsJeanApplication Data Le même fichier existe dans Windowssystem32.
Sur l'un des PC, Malware Byte trouve que le fichier de documents and settings... est suspect.
Les noms sont différents sur les 2 PC axsmvuwd.dll pour l'un et wapisu.dll pour l'autre
Normal, parano ou problème réel ?
Merci pour vos réponses.
Bonjour
1- Réponse générale En cas de doute sur un fichier, l'envoyer sur VirusTotal : http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1 Une trentaine d'antivirus vont l'analyser Si seulement 2 ou 3 réagissent, ce peut être un faux positif ou un malware très récent. Refaire alors le test dans quelques jours, et mettre le fichier en quarantaine en attendant
2- Réponse pour wasipu.dll : signature de l'adware PurityScan Adware = malware renvoyant des pub. http://www.commentcamarche.net/faq/26043-supprimer-l-adware-purityscan Cet article, récent signale que MBAM le repère et le détruit. Tu sais ce qu'il te reste à faire.
Rem : évite combofix sans parachute, c'est un outils très puissant. MBAM devrait suffire.
axsmvuwd.dll, si c'est la bonne orthographe n'est pas une dll connue Donc sans doute un nom aléatoire de malware, peut-être PurityScan
Vérifie si MBAM le nettoie aussi.
Si tu le souhaites, tu peux faire un diagnostic avec ZPHDiag : http://www.premiumorange.com/zeb-help-process/zhpdiag.html ZPHDiag te donne un rapport (log) à envoyer sur Cijoint avec le lien ici pour le récupérer : http://www.cijoint.fr/index.php Donc, nettoie d'abord avec MBAM (tu peux aussi envoyer le log de MBAM) Puis fais le scan ZHPDiag, si tu veux savoir si le PC est propre.
Herser
Jean_ wrote:
Bonjour,
Sur 2 PC (WIn XP SP3) j'ai le même phénomène :
Un fichier .dll se retrouve dans la racine de
C:Documents and SettingsJeanApplication Data
Le même fichier existe dans Windowssystem32.
Sur l'un des PC, Malware Byte trouve que le fichier de documents and
settings... est suspect.
Les noms sont différents sur les 2 PC
axsmvuwd.dll pour l'un et
wapisu.dll pour l'autre
Normal, parano ou problème réel ?
Merci pour vos réponses.
Bonjour
1- Réponse générale
En cas de doute sur un fichier, l'envoyer sur VirusTotal :
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1
Une trentaine d'antivirus vont l'analyser
Si seulement 2 ou 3 réagissent, ce peut être un faux positif ou un malware
très récent.
Refaire alors le test dans quelques jours, et mettre le fichier en
quarantaine en attendant
2- Réponse pour wasipu.dll : signature de l'adware PurityScan
Adware = malware renvoyant des pub.
http://www.commentcamarche.net/faq/26043-supprimer-l-adware-purityscan
Cet article, récent signale que MBAM le repère et le détruit.
Tu sais ce qu'il te reste à faire.
Rem : évite combofix sans parachute, c'est un outils très puissant.
MBAM devrait suffire.
axsmvuwd.dll, si c'est la bonne orthographe n'est pas une dll connue
Donc sans doute un nom aléatoire de malware, peut-être PurityScan
Vérifie si MBAM le nettoie aussi.
Si tu le souhaites, tu peux faire un diagnostic avec ZPHDiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ZPHDiag te donne un rapport (log) à envoyer sur Cijoint avec le lien ici
pour le récupérer :
http://www.cijoint.fr/index.php
Donc, nettoie d'abord avec MBAM (tu peux aussi envoyer le log de MBAM)
Puis fais le scan ZHPDiag, si tu veux savoir si le PC est propre.
Un fichier .dll se retrouve dans la racine de C:Documents and SettingsJeanApplication Data Le même fichier existe dans Windowssystem32.
Sur l'un des PC, Malware Byte trouve que le fichier de documents and settings... est suspect.
Les noms sont différents sur les 2 PC axsmvuwd.dll pour l'un et wapisu.dll pour l'autre
Normal, parano ou problème réel ?
Merci pour vos réponses.
Bonjour
1- Réponse générale En cas de doute sur un fichier, l'envoyer sur VirusTotal : http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1 Une trentaine d'antivirus vont l'analyser Si seulement 2 ou 3 réagissent, ce peut être un faux positif ou un malware très récent. Refaire alors le test dans quelques jours, et mettre le fichier en quarantaine en attendant
2- Réponse pour wasipu.dll : signature de l'adware PurityScan Adware = malware renvoyant des pub. http://www.commentcamarche.net/faq/26043-supprimer-l-adware-purityscan Cet article, récent signale que MBAM le repère et le détruit. Tu sais ce qu'il te reste à faire.
Rem : évite combofix sans parachute, c'est un outils très puissant. MBAM devrait suffire.
axsmvuwd.dll, si c'est la bonne orthographe n'est pas une dll connue Donc sans doute un nom aléatoire de malware, peut-être PurityScan
Vérifie si MBAM le nettoie aussi.
Si tu le souhaites, tu peux faire un diagnostic avec ZPHDiag : http://www.premiumorange.com/zeb-help-process/zhpdiag.html ZPHDiag te donne un rapport (log) à envoyer sur Cijoint avec le lien ici pour le récupérer : http://www.cijoint.fr/index.php Donc, nettoie d'abord avec MBAM (tu peux aussi envoyer le log de MBAM) Puis fais le scan ZHPDiag, si tu veux savoir si le PC est propre.
Herser
Jean_
Herser a utilisé son clavier pour écrire :
1- Réponse générale
Re-bonjour,
Merci pour ton aide.
MBAM (à jour) ne donne rien, VirusTotal non plus.
Les noms des fichiers n'apparaissent pas dans la BDR.
J'ai fait un scan ZHPdaig résultat ici : http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt
A+
Herser a utilisé son clavier pour écrire :
1- Réponse générale
Re-bonjour,
Merci pour ton aide.
MBAM (à jour) ne donne rien, VirusTotal non plus.
Les noms des fichiers n'apparaissent pas dans la BDR.
J'ai fait un scan ZHPdaig résultat ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt
Les noms des fichiers n'apparaissent pas dans la BDR.
J'ai fait un scan ZHPdaig résultat ici : http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt
A+
Herser
Jean_ wrote:
Herser a utilisé son clavier pour écrire :
1- Réponse générale
Re-bonjour,
Merci pour ton aide.
MBAM (à jour) ne donne rien, VirusTotal non plus.
Les noms des fichiers n'apparaissent pas dans la BDR.
J'ai fait un scan ZHPdaig résultat ici : http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt
A+
Euh ! Tu as dit que MBAM avait trouvé un fichier suspect ! Tu avais donc nettoyé ? MBAM a fait alors un rapport : onglet "Rapports/Logs"
Le diag de ZHPDiag signale des traces d'infections, peut-être anciennes :
- VMNToolbar : scanne avec ToolBar SD : http://www.malekal.com/tutorial_ToolBar_SD.php http://forums.cnetfrance.fr/topic/107828-toolbar-sd-telecharger-et-utiliser/ Envoie le rapport sur Cijoint
- Trojan USB : au moins un support USB (clé, disque dur externe, carte SD ...) est infecté Scanne tes supports avec USBFix : http://www.malekal.com/tutorial_USBFix.php Envoie le rapport d'analyse sur Cijoint
Il ne faudra pas oublier de */supprimer* ces outils en fin de désinfection.
- Enfin le Centre de sécurité est désactivé, tu ne reçois plus de notification. Ni pour les mise à jour Windows Update, ni pour ton Pare-feu Est-ce volontaire ? Si oui, pourquoi (pas conseillé)
Je m'absente cet après midi
A+
Herser
Jean_ wrote:
Herser a utilisé son clavier pour écrire :
1- Réponse générale
Re-bonjour,
Merci pour ton aide.
MBAM (à jour) ne donne rien, VirusTotal non plus.
Les noms des fichiers n'apparaissent pas dans la BDR.
J'ai fait un scan ZHPdaig résultat ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt
A+
Euh ! Tu as dit que MBAM avait trouvé un fichier suspect !
Tu avais donc nettoyé ? MBAM a fait alors un rapport : onglet
"Rapports/Logs"
Le diag de ZHPDiag signale des traces d'infections, peut-être anciennes :
- VMNToolbar : scanne avec ToolBar SD :
http://www.malekal.com/tutorial_ToolBar_SD.php
http://forums.cnetfrance.fr/topic/107828-toolbar-sd-telecharger-et-utiliser/
Envoie le rapport sur Cijoint
- Trojan USB : au moins un support USB (clé, disque dur externe, carte SD
...) est infecté
Scanne tes supports avec USBFix :
http://www.malekal.com/tutorial_USBFix.php
Envoie le rapport d'analyse sur Cijoint
Il ne faudra pas oublier de */supprimer* ces outils en fin de désinfection.
- Enfin le Centre de sécurité est désactivé, tu ne reçois plus de
notification.
Ni pour les mise à jour Windows Update, ni pour ton Pare-feu
Est-ce volontaire ? Si oui, pourquoi (pas conseillé)
Les noms des fichiers n'apparaissent pas dans la BDR.
J'ai fait un scan ZHPdaig résultat ici : http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt
A+
Euh ! Tu as dit que MBAM avait trouvé un fichier suspect ! Tu avais donc nettoyé ? MBAM a fait alors un rapport : onglet "Rapports/Logs"
Le diag de ZHPDiag signale des traces d'infections, peut-être anciennes :
- VMNToolbar : scanne avec ToolBar SD : http://www.malekal.com/tutorial_ToolBar_SD.php http://forums.cnetfrance.fr/topic/107828-toolbar-sd-telecharger-et-utiliser/ Envoie le rapport sur Cijoint
- Trojan USB : au moins un support USB (clé, disque dur externe, carte SD ...) est infecté Scanne tes supports avec USBFix : http://www.malekal.com/tutorial_USBFix.php Envoie le rapport d'analyse sur Cijoint
Il ne faudra pas oublier de */supprimer* ces outils en fin de désinfection.
- Enfin le Centre de sécurité est désactivé, tu ne reçois plus de notification. Ni pour les mise à jour Windows Update, ni pour ton Pare-feu Est-ce volontaire ? Si oui, pourquoi (pas conseillé)
Je m'absente cet après midi
A+
Herser
Jean_
Il se trouve que Herser a formulé :
Euh ! Tu as dit que MBAM avait trouvé un fichier suspect ! Tu avais donc nettoyé ? MBAM a fait alors un rapport : onglet "Rapports/Logs"
Rapport détruit trop tôt. Il rapportait un trojan dans un seul des deux fichiers identiques présents (celui de documents and settings...)
Le diag de ZHPDiag signale des traces d'infections, peut-être anciennes :
- VMNToolbar : scanne avec ToolBar SD : Envoie le rapport sur Cijoint
- Trojan USB : au moins un support USB (clé, disque dur externe, carte SD ...) est infecté Envoie le rapport d'analyse sur Cijoint
Il ne faudra pas oublier de */supprimer* ces outils en fin de désinfection.
- Enfin le Centre de sécurité est désactivé, tu ne reçois plus de notification. Ni pour les mise à jour Windows Update,
elles m'énervaient à chaquez démarrage et je les trouve un peu trop intrusives.... !
ni pour ton Pare-feu
Kerio Personal Firewall n'est pas reconnu par XP, mais il fonctionne très bien.
Je m'absente cet après midi
A plus tard, merci.
Herser
Jean_ wrote:
Re ! De retour par cette bonne journée dominicale.
1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ? Ces logs ne pèsent rien, il est intéressant de les garder, au moins les derniers.
2- log de Toolbar S&D : il repère bien VMNToolBar Donc option 2 Nettoyage comme sur le tuto
3- log de USBFix : infection sur H disque amovible "TRANSCEND" et un autorun.inf sur M disque fixe Maxtor
Donc connecter les supports USB et surtout "Transcend" sans les démarrer (touche shift appuyée) et option 2 Nettoyage. Si USBFix propose de vacciner, fais le, il réduit les risques d'infection. Sinon vois VaccinUSB : http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible Paragraphe : "Comment se prémunir...."
4- Centre de Sécurité : Je ne comprends pas tout : - tu as désactivé les notifications ou tu as désactivé les màj critiques ? C'est quoi qui est intrusif ?
Il est fortement conseillé d'activer les mises à jour critiques. C'est plus efficace que l'antivirus, car tu laisses ainsi des failles ouvertes. Le mieux est de paramétrer sur "Avertir sans télécharger" Les màj critiques ne se présentent que le 2° mardi de chaque mois plus quelques exceptions. Ce n'est pas très intrusif
Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours Ce qui semble être ton cas Rem : j'ai Kerio 4 sur un de mes XP, le centre de sécurité le reconnait
Donc 2 nettoyages à faire Puis un diag de vérif avec ZHPDiag
Il faudra au bout du bout supprimer les 3 outils installés
Herser
Jean_ wrote:
Re !
De retour par cette bonne journée dominicale.
1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ?
Ces logs ne pèsent rien, il est intéressant de les garder, au moins les
derniers.
2- log de Toolbar S&D : il repère bien VMNToolBar
Donc option 2 Nettoyage comme sur le tuto
3- log de USBFix : infection sur H disque amovible "TRANSCEND"
et un autorun.inf sur M disque fixe Maxtor
Donc connecter les supports USB et surtout "Transcend" sans les démarrer
(touche shift appuyée)
et option 2 Nettoyage.
Si USBFix propose de vacciner, fais le, il réduit les risques d'infection.
Sinon vois VaccinUSB :
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
Paragraphe : "Comment se prémunir...."
4- Centre de Sécurité : Je ne comprends pas tout :
- tu as désactivé les notifications ou tu as désactivé les màj critiques ?
C'est quoi qui est intrusif ?
Il est fortement conseillé d'activer les mises à jour critiques.
C'est plus efficace que l'antivirus, car tu laisses ainsi des failles
ouvertes.
Le mieux est de paramétrer sur "Avertir sans télécharger"
Les màj critiques ne se présentent que le 2° mardi de chaque mois plus
quelques exceptions.
Ce n'est pas très intrusif
Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours
Ce qui semble être ton cas
Rem : j'ai Kerio 4 sur un de mes XP, le centre de sécurité le reconnait
Donc 2 nettoyages à faire
Puis un diag de vérif avec ZHPDiag
Il faudra au bout du bout supprimer les 3 outils installés
Re ! De retour par cette bonne journée dominicale.
1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ? Ces logs ne pèsent rien, il est intéressant de les garder, au moins les derniers.
2- log de Toolbar S&D : il repère bien VMNToolBar Donc option 2 Nettoyage comme sur le tuto
3- log de USBFix : infection sur H disque amovible "TRANSCEND" et un autorun.inf sur M disque fixe Maxtor
Donc connecter les supports USB et surtout "Transcend" sans les démarrer (touche shift appuyée) et option 2 Nettoyage. Si USBFix propose de vacciner, fais le, il réduit les risques d'infection. Sinon vois VaccinUSB : http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible Paragraphe : "Comment se prémunir...."
4- Centre de Sécurité : Je ne comprends pas tout : - tu as désactivé les notifications ou tu as désactivé les màj critiques ? C'est quoi qui est intrusif ?
Il est fortement conseillé d'activer les mises à jour critiques. C'est plus efficace que l'antivirus, car tu laisses ainsi des failles ouvertes. Le mieux est de paramétrer sur "Avertir sans télécharger" Les màj critiques ne se présentent que le 2° mardi de chaque mois plus quelques exceptions. Ce n'est pas très intrusif
Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours Ce qui semble être ton cas Rem : j'ai Kerio 4 sur un de mes XP, le centre de sécurité le reconnait
Donc 2 nettoyages à faire Puis un diag de vérif avec ZHPDiag
Il faudra au bout du bout supprimer les 3 outils installés
Herser
Jean_
Herser a couché sur son écran :
De retour par cette bonne journée dominicale.
Ca change du PC et ça fait du bien !
1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ? Ces logs ne pèsent rien, il est intéressant de les garder, au moins les derniers.
OK pour une prochaine fois.
2- log de Toolbar S&D : il repère bien VMNToolBar Donc option 2 Nettoyage comme sur le tuto
Fait.
3- log de USBFix : infection sur H disque amovible "TRANSCEND" et un autorun.inf sur M disque fixe Maxtor
Nettoyés à la main et vacciné de même.
4- Centre de Sécurité : Je ne comprends pas tout : - tu as désactivé les notifications ou tu as désactivé les màj critiques ? C'est quoi qui est intrusif ?
Tout désactivé. Je vais ré-étudier la question en fonction de tes remarques.
Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours Ce qui semble être ton cas
Oui, KPF (prédécessaur de Kerio 4) n'est pas reconnu par XP, il me semble qu'il fonctionnait déjà sous W98.
Il faudra au bout du bout supprimer les 3 outils installés
Fait.
Merci encore.
Herser a couché sur son écran :
De retour par cette bonne journée dominicale.
Ca change du PC et ça fait du bien !
1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ?
Ces logs ne pèsent rien, il est intéressant de les garder, au moins les
derniers.
OK pour une prochaine fois.
2- log de Toolbar S&D : il repère bien VMNToolBar
Donc option 2 Nettoyage comme sur le tuto
Fait.
3- log de USBFix : infection sur H disque amovible "TRANSCEND"
et un autorun.inf sur M disque fixe Maxtor
Nettoyés à la main et vacciné de même.
4- Centre de Sécurité : Je ne comprends pas tout :
- tu as désactivé les notifications ou tu as désactivé les màj critiques ?
C'est quoi qui est intrusif ?
Tout désactivé. Je vais ré-étudier la question en fonction de tes
remarques.
Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours
Ce qui semble être ton cas
Oui, KPF (prédécessaur de Kerio 4) n'est pas reconnu par XP, il me
semble qu'il fonctionnait déjà sous W98.
Il faudra au bout du bout supprimer les 3 outils installés
1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ? Ces logs ne pèsent rien, il est intéressant de les garder, au moins les derniers.
OK pour une prochaine fois.
2- log de Toolbar S&D : il repère bien VMNToolBar Donc option 2 Nettoyage comme sur le tuto
Fait.
3- log de USBFix : infection sur H disque amovible "TRANSCEND" et un autorun.inf sur M disque fixe Maxtor
Nettoyés à la main et vacciné de même.
4- Centre de Sécurité : Je ne comprends pas tout : - tu as désactivé les notifications ou tu as désactivé les màj critiques ? C'est quoi qui est intrusif ?
Tout désactivé. Je vais ré-étudier la question en fonction de tes remarques.
Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours Ce qui semble être ton cas
Oui, KPF (prédécessaur de Kerio 4) n'est pas reconnu par XP, il me semble qu'il fonctionnait déjà sous W98.
Il faudra au bout du bout supprimer les 3 outils installés
WMIAdapter erreur 4099 (15 fois au démarage de XP)
C'est quoi ce truc ?
Nota : le service "carte de performance WMI" est désactivé.
Merci d'aavnce. J.L.
Re !
- Les 1° erreurs 4099 datent de quand ?
- Copie colle le contenu du message ainsi : http://fspsa.free.fr/eventid.htm Voir "Copier la Description........"
Herser
Jean_
Re...
Herser a couché sur son écran :
- Copie colle le contenu du message ainsi : http://fspsa.free.fr/eventid.htm Voir "Copier la Description........"
Les premières erreurs 4099 datent du 28 mars.
Description de l'erreur : -------- Citation Type de l'événement : Erreur Source de l'événement : WmiAdapter Catégorie de l'événement : Aucun ID de l'événement : 4099 Date : 28/03/2010 Heure : 09:49:24 Utilisateur : BUILTINAdministrateurs Ordinateur : PCBUREAU Description : Échec de l'ouverture de services.
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp. -------- / Citation
A bientôt.
Re...
Herser a couché sur son écran :
- Copie colle le contenu du message ainsi :
http://fspsa.free.fr/eventid.htm
Voir "Copier la Description........"
Les premières erreurs 4099 datent du 28 mars.
Description de l'erreur :
-------- Citation
Type de l'événement : Erreur
Source de l'événement : WmiAdapter
Catégorie de l'événement : Aucun
ID de l'événement : 4099
Date : 28/03/2010
Heure : 09:49:24
Utilisateur : BUILTINAdministrateurs
Ordinateur : PCBUREAU
Description :
Échec de l'ouverture de services.
Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.
-------- / Citation
- Copie colle le contenu du message ainsi : http://fspsa.free.fr/eventid.htm Voir "Copier la Description........"
Les premières erreurs 4099 datent du 28 mars.
Description de l'erreur : -------- Citation Type de l'événement : Erreur Source de l'événement : WmiAdapter Catégorie de l'événement : Aucun ID de l'événement : 4099 Date : 28/03/2010 Heure : 09:49:24 Utilisateur : BUILTINAdministrateurs Ordinateur : PCBUREAU Description : Échec de l'ouverture de services.
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp. -------- / Citation