La "Prévention de l'Exécution des Données" bloque l'Explorateur Windows

Le
Xavier
Bonjour à tous,

Ce matin une recherche Google m'a conduit sur un site qui a gelé mon
écran, alors que, visiblement, quelquechose d'anormalement long se
téléchargeait sur mon PC J'ai aussitôt coupée ma connexion Internet
mais un poil trop tard !

-Avast s'est mis à couiner qu'il a détecté un trojan puis deux
(Win32-Agent-lZR et Win32-Obfuscated-BOS), alors qu'au même moment
-"Résident" de Spybot affichait qu'il a empêché la modification de 2
clés du registre dans HKCU (une regkey et une runkey) et le fichier
C:docume~1monnomlocals~1tempwinlogon.exe
-la "Prévention de l'exécution des données" ouvrait une fenêtre pour
s'excuser d'avoir fermé l'explorateur Windows, et
-2 fichiers .bat s'étaient installés sur mon bureau (system.bat et
ms2ntg.bat que j'ai aussitôt renommés en .txt)

Plusieurs scans plus tard, immédiats puis en mode sans échec, à l'aide
d'Avast, Kaspersky, Spybot et Adaware, complétés d'un CCleaner, plus
rien de nuisible n'est détecté.

Cependant cette vacherie a réussie à faire disparaître mes fichiers de
restauration. Je n'ai plus aucun point de restauration disponible.
Et chaque redémarrage du PC sur ma session administrateur se solde par
ce message de la "prévention de l'exécution des données" qui continue à
vouloir fermer l'explorateur Windows
http://cjoint.com/?hAxcmrj8Rh

Il est à noter que le redémarrage sur les sessions de mes autres profils
utilisateurs ne provoque pas ce message de la prévention de l'exécution
des données.

La prévention de l'exécution des données a t'elle simplement besoin
d'être réinitialisée, ou bien reste t'elle toujours active par ce qu'un
processus malicieux serait encore planqué quelquepart ?

Le registre a pourtant bien été nettoyé par CCleaner

Quelqu'un pourrait il m'indiquer une piste ?
Merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Claude LaFrenière
Le #1242276
Salut *Xavier* :

Bonjour à tous,

Ce matin une recherche Google m'a conduit sur un site qui a gelé mon
écran, alors que, visiblement, quelquechose d'anormalement long se
téléchargeait sur mon PC... J'ai aussitôt coupée ma connexion Internet
mais... un poil trop tard !


Les ActiveX et le Javascript sont un brin plus vite qu'un internaute...


-Avast s'est mis à couiner qu'il a détecté un trojan... puis deux...
(Win32-Agent-lZR et Win32-Obfuscated-BOS), alors qu'au même moment


Amusant...

-"Résident" de Spybot affichait qu'il a empêché la modification de 2
clés du registre dans HKCU (une regkey et une runkey) et le fichier
C:docume~1monnomlocals~1tempwinlogon.exe


Mais l'a-t-il fait et était-ce suffisant? Il semble que non...

-la "Prévention de l'exécution des données" ouvrait une fenêtre pour
s'excuser d'avoir fermé l'explorateur Windows, et
-2 fichiers .bat s'étaient installés sur mon bureau (system.bat et
ms2ntg.bat... que j'ai aussitôt renommés en .txt)...


Une prévention MS qui ne prévient pas grand chose...
(Comme Windows defender au fait: il y a des coup de pieds au Q
qui se perdent dans le bout de Redmond...)


Plusieurs scans plus tard, immédiats puis en mode sans échec, à l'aide
d'Avast, Kaspersky, Spybot et Adaware, complétés d'un CCleaner, plus
rien de nuisible n'est détecté.


Mais les cochoneries ont eu le temps de faire des dégats...


Cependant cette vacherie a réussie à faire disparaître mes fichiers de
restauration. Je n'ai plus aucun point de restauration disponible.


Dont voici un exemple...

Et chaque redémarrage du PC sur ma session administrateur se solde par
ce message de la "prévention de l'exécution des données" qui continue à
vouloir fermer l'explorateur Windows...
http://cjoint.com/?hAxcmrj8Rh

Il est à noter que le redémarrage sur les sessions de mes autres profils
utilisateurs ne provoque pas ce message de la prévention de l'exécution
des données.

La prévention de l'exécution des données a t'elle simplement besoin
d'être réinitialisée, ou bien reste t'elle toujours active par ce qu'un
processus malicieux serait encore planqué quelquepart... ?

Le registre a pourtant bien été nettoyé par CCleaner...

Quelqu'un pourrait il m'indiquer une piste ?



1- Essaye de désactiver ce DEP à la noix avec un commutateur de boot.ini.
Réf.:
http://www.microsoft.com/technet/sysinternals/information/bootini.mspx

En mode sans échec, édite boot.ini et ajoute ce commutateur:
/NOEXECUTE=ALWAYSOFF

Panneau de configuration
Système
Avancé
Démarrage et récupération, bouton "paramètres"
Démarrage du systèem, bouton "modifier"

Ce qui va te donner ceci:
[boot loader]
timeout0
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /noexecute=alwaysoff

2- Je constate que tu surfais sur la Toile via un compte d'administrateur

Ce n'est pas une bonne idée.
Si tu dois le faire pour une raison ou une autre il faut lancer ton
navigateur ou un autre programme avec DropMyRights pour éviter
ces ennuis (au moins partiellement)

DropMyRights
http://msdn2.microsoft.com/en-us/library/ms972827.aspx

Place la commande dans un raccourci comme ceci par exemple:
"C:Program FilesDropMyRightsDropMyRights.exe" "C:Program Files40tude Dialogdialog.exe"

3- Je constate que tu surfes non seulement en admin mais avec cette
inqualifiable chose nommée IE (InterNUT Expl'horreur).

Erreur.
Il est mieux d'utiliser un navigateur alternatif tel que Firefox
et ajoute-lui l'extension NoScript pour n'autoriser le Javascript
et autre bidules que sur sites de confiance...

L'extension McAfee Site Advisor t'aurais sans doute évité ces ennuis avec
ta recherche Google...

Ff: http://www.geckozone.org/telechargement/
NoScript: http://extensions.geckozone.org/NoScript
SiteAdvisor: http://www.siteadvisor.com/download/ff.html

4- As-tu un AUTRE compte administrateur en plus de celui
cochoné de la façon dont on sait?

Si c'est le cas:
crée un autre compte d'utilisateur
avec pouvoir d'admin (en avoir 2 est une très bonne idée au cas où...)
ET copie ce que tu as dans Mes Documents du compte cochoné dans le nouveau
PUIS
supprime ce compte cochoné


Si tu n'as pas d'autre compte admin cochoné dis-nous le
et on essaira autre chose...

A+

:)
--
CL

Nina Popravka
Le #1242275
On Thu, 26 Jul 2007 23:03:32 +0200, "Xavier"

Cependant cette vacherie a réussie à faire disparaître mes fichiers de
restauration. Je n'ai plus aucun point de restauration disponible.
Et chaque redémarrage du PC sur ma session administrateur se solde par
ce message de la "prévention de l'exécution des données" qui continue à
vouloir fermer l'explorateur Windows...
http://cjoint.com/?hAxcmrj8Rh

Il est à noter que le redémarrage sur les sessions de mes autres profils
utilisateurs ne provoque pas ce message de la prévention de l'exécution
des données.


Alors franchement, si il n'y a que cette session de touchée, je
m'enquiquinerais pas une seule seconde, je créerais un nouvel
utilisateur avec droits d'administration, et je copierais les données
de l'ancien profil dedans. Y en a pour un quart d'heure, c'est plus
rentable que se prendre la tête pendant 2 heures.
Procédure ici :
(attention, pas mal de choses importantes, genre mails, sont dans des
dossiers invisibles)
Passez par le compte administrateur par défaut (accessible en
démarrant en mode sans échec) pour procéder à l'opération.

Réponse valable uniquement pour une machine classique, c'est plus
délicat si vous êtes bourré de customisations de la mort qui tuent
qu'il faudrait 2 jours à refaire.

PS : si vous avez dans un coin l'URL du site en question, ça
m'intéresse.
--
Nina

Claude LaFrenière
Le #1242074
[CORRECTION]


Si tu n'as pas d'autre compte admin cochoné dis-nous le
et on essaira autre chose...


Si tu n'as pas d'autte compte admin à part celui qui a été cochoné...
etc

Claude LaFrenière
Le #1242072
Salut *Xavier* :

Wow ! Quelle chance tu as Xavier !

Voilà que la Popravka rapplique ...

Donne-lui l'URL qu'elle réclame...

-----------------------------------------------------------------------------------------------------------------

Mon Dieu, mon Dieu , faites qu'elle clique et que le PC de cette pécheresse (de gauche !) explose.

Si mon voeux est exaucé je promet de faire un pélérinage à Lourdes
et d'allumer tous les lapions. Juré, promis, craché: SPOUTTT !!!

AAAAaaaaRRRRrrrrGGGGLLLL !!!

:-Z
--
CL
Claude LaFrenière
Le #1242071
[Auto-flagellation]

-----------------------------------------------------------------------------------------------------------------

Mon Dieu, mon Dieu , faites qu'elle clique et que le PC de cette pécheresse (de gauche !) explose.

Si mon voeux est exaucé je promet de faire un pélérinage à Lourdes
et d'allumer tous les lapions. Juré, promis, craché: SPOUTTT !!!


Pas lapions, LAMPIONS; pardon Mon Dieu.
Par St-Billou: PLEASE !!!


AAAAaaaaRRRRrrrrGGGGLLLL !!!


AAAAAAAAAaaaaaaaRRRRRRRrrrrrrGGGGGLLLLL !

Eddy Maue
Le #1242066
Mon il n'y a qu'une solution à se genre de problème. Enfin peut etre 3 ou 4

La première ne jamais, jamais , jamais et je ne le répèterai jamais assez,
naviguer avec IE

Quant est-ce que vous allez vous réveillez bon sens de bon sens.

Firefox est un simple bon sens.
- sécuritaire
- pas de popup

mais il ne peut pas empêcher un épaix d'aller sur un site de culs
et de télécharger un bidule plein de merde


IE on ne peut s'en départir, étant moi même développeur et j'en comprends
son utilité. Mais pour fueilleter sur le web c'est une vrai passoire de merde


Avast c'est aussi une merde, il en bloque, en bloque pas, en laisse passer,
réagit en retard ou tu le sais quand c'est pu le temps. Ajouter Norton, Penda,
VirusScan et quelques autres.

Kasperski ou Nod32, pas chère, les meilleurs. Un de mes amis a un parc d'une
centaine de machines. Selon ses dires, la moitié sur l'un et l'autre sur
l'autre.
Comme ca si jamais ca passe sur l'un, l'autre le détecte et l'éradie.

en 3 ans 2 sur Kasperski et 0 su Nod32 : déduiser ce que vous voulez. Moi
c'est Nod32. depuis 2ans

Avant c'était Avast avec zone alarm, j'ai tout perdu sur vérus, je suis pas sur
mais en tout cas. Zone alarm a fermé d'urgence toutes applications reliéent au
net.
Ma blonde qui panique et me demande ce qui ne vas pas. Je lui dit pas grave,
j'arrive avec mon chapeau et mes bottes de cowboy ;-) . Conséquence, j'ai pu
sauver mes données mais j'ai du reformater.

Faire une sauvegarde pas du système, des données critiques. Fichiers de
travails, photos et autres. Ce qui nous tients à coeur. On peut ouvrir autant
de compte gmail que l'on veut. Avec winzip ou Winrar, on compresse et on drag
sur Gmail Drive jusqu'à 2 gig. J'ai déja 8 comptes, 16 gigs ou presque que de
conserveré

Et savez vous ce qui est plaisant, je ne suis pas sur que que les clefs usb
d'aujourd'hui, le cd-row d'il y a 5 ans et j'inclus les dvds soient
feilletables dans 5 ans. Mais ce que j'ai mis sur gmail drive, le sera sauf si
la technologie ne le veux. Ce qui me supprendrait.

Voilà en gros c'est un simple bon sens...

et si vous y tenez tant que ca à vos sites de c...., un ordianteur de 1ghz avec
écran crt ca coute maintenant à peu près 100$ dans l'usagé.

Eddy Maue a+


Xavier a osé écrire :
Bonjour à tous,

Ce matin une recherche Google m'a conduit sur un site qui a gelé mon écran,
alors que, visiblement, quelquechose d'anormalement long se téléchargeait sur
mon PC... J'ai aussitôt coupée ma connexion Internet mais... un poil trop
tard !

-Avast s'est mis à couiner qu'il a détecté un trojan... puis deux...
(Win32-Agent-lZR et Win32-Obfuscated-BOS), alors qu'au même moment
-"Résident" de Spybot affichait qu'il a empêché la modification de 2 clés du
registre dans HKCU (une regkey et une runkey) et le fichier
C:docume~1monnomlocals~1tempwinlogon.exe
-la "Prévention de l'exécution des données" ouvrait une fenêtre pour
s'excuser d'avoir fermé l'explorateur Windows, et
-2 fichiers .bat s'étaient installés sur mon bureau (system.bat et
ms2ntg.bat... que j'ai aussitôt renommés en .txt)...

Plusieurs scans plus tard, immédiats puis en mode sans échec, à l'aide
d'Avast, Kaspersky, Spybot et Adaware, complétés d'un CCleaner, plus rien de
nuisible n'est détecté.

Cependant cette vacherie a réussie à faire disparaître mes fichiers de
restauration. Je n'ai plus aucun point de restauration disponible.
Et chaque redémarrage du PC sur ma session administrateur se solde par ce
message de la "prévention de l'exécution des données" qui continue à vouloir
fermer l'explorateur Windows...
http://cjoint.com/?hAxcmrj8Rh

Il est à noter que le redémarrage sur les sessions de mes autres profils
utilisateurs ne provoque pas ce message de la prévention de l'exécution des
données.

La prévention de l'exécution des données a t'elle simplement besoin d'être
réinitialisée, ou bien reste t'elle toujours active par ce qu'un processus
malicieux serait encore planqué quelquepart... ?

Le registre a pourtant bien été nettoyé par CCleaner...

Quelqu'un pourrait il m'indiquer une piste ?
Merci d'avance


Jacquouille la Fripouille
Le #1242055
*Bonjour Eddy Maue*
Dans news:, tu as tapoté sur ton
clavier pour écrire :

La première ne jamais, jamais , jamais et je ne le répèterai jamais
assez, naviguer avec IE

Quant est-ce que vous allez vous réveillez bon sens de bon sens.

Firefox est un simple bon sens.
- sécuritaire
- pas de popup


Personne n'est infaillible :
http://www.secuser.com/vulnerabilite/2007/070726_firefox.htm lol
--
Jacquouille la Fripouille

J'm'appelle Patrick mais on dit Bob
Le #1242044
"Eddy Maue"
Mon il n'y a qu'une solution à se genre de problème. Enfin peut etre 3 ou
4

La première ne jamais, jamais , jamais et je ne le répèterai jamais assez,
naviguer avec IE


MDR
Ça existe encore ? Des années et des années le mêmes conneries répétées !

Quant est-ce que vous allez vous réveillez bon sens de bon sens.


Bon sang ne saurait menti, n'est-ce pas Monsieur Zorro bourré de
certitudes ? :-)

IE on ne peut s'en départir, étant moi même développeur


Voilà maintenant la caution du "développeur" !
Une vraie caricature !
Vous auriez pu attendre dimanche quand même !

et j'en comprends son utilité. Mais pour fueilleter sur le web c'est une
vrai passoire de merde


J'ai fureté avec IE dans tous les sites les plus infects sans jamais rien
attraper, c'est grave Doc' ?

mais j'ai du reformater.


CQFD !
J'ai mal au ventre !!
MDR

Voilà en gros c'est un simple bon sens...


ha ha !! Mais c'est que le Monsieur le Juge a le monopole du bon sens. Il
n'y a plus qu'à tirer l'échelle.


J'suis snob
J'm'appelle Patrick, mais on dit Bob

Mes hommages à Boris.

Nina Popravka
Le #1242042
On Fri, 27 Jul 2007 00:19:39 -0400, Eddy Maue

mais il ne peut pas empêcher un épaix d'aller sur un site de culs
et de télécharger un bidule plein de merde


Ca dépend du sens dans lequel on prend la chose, ça...
:-)
--
Nina

Jacquouille la Fripouille
Le #1242040
*Bonjour Nina Popravka*
Dans news:, tu as tapoté sur
ton clavier pour écrire :

On Fri, 27 Jul 2007 00:19:39 -0400, Eddy Maue

mais il ne peut pas empêcher un épaix d'aller sur un site de
culs et de télécharger un bidule plein de merde


Ca dépend du sens dans lequel on prend la chose, ça...
:-)


rofl rofl rofl


Publicité
Poster une réponse
Anonyme