Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Activer toutes les autorisations dans XP Family pour un seul compte

13 réponses
Avatar
mysmallbusiness
Bonjour à vous,
Je résume ma question : mon pc est infecté par Nimda (scan de AVG) et
... différents Sobig (remove tools de Norton ne peuvent terminer leurs
scans); ne vois plus grand chose dans les répertoires. Je cherche à
accorder TOUTES les autorisations à 1 compte figurant sur la page
d'accueil de XP Home ET à ce compte IDENTIQUE dans Regedit\Edition\
Autorisations.
Je détaille : j'ai sur l'écran d'accueil 2 comptes admin et un
"invité" désactivé (nimda ou sobig a récrée 1 répertoire "invité" sur
C:\ que j'ai effacé mais je pense qu'il est encore sur le D.D. bref
...) Plusieurs onglets sont disponibles pour les autorisations ou se
trouvent plusieurs comptes(Général - Sécurité - Résumé, Autorisations
- Audit - Propriétaire) etc. En comptes : 1)
Administrateurs(XXXX\Administrateurs) contrôle total; 2) CREATEUR
PROPIETAIRE autorisations spéciales; 3) SYSTEM contrôle total +
lecture; 4) Utilisateurs(XXX\Utilisateurs) lecture; selon les
répertoires (sur C:\) je trouve d'autres comptes : 2 ANONYMOUS (?) 1
Tout le Monde (?) 1 SYSTEME (?) 1 S-1- des chiffres, bref un tas de
compte que je n'ai pas créés. J'avais téléchargé de chez J.C. Bellamy
un scespi4.exe qui a bien marché sauf sur la partition D:\ (sur c:\)
pour le Recovery qui n'a pas l'onglet sécurité (donc virus sera
actif).
Je n'ai jamais pu me logger en ms-dos; accéder à CREATEUR
PROPRIETAIRE; et si j'y arrive un jour quelles commandes ms-dos
utliliser ... je suis restée à ms-dos 5.xxx
Mille merci (et plus encore c'est le cas de le dire) à qui m'indiquera
comment sortir de cette impasse. Un site web (même anglais), un titre
de bouquin peut-être ?
P.S. les remove tools Sobig, Nimda de Norton ne vont pas jusqu'au
bout, AVG a détecté 1 nimda ...

10 réponses

1 2
Avatar
joke0
Salut,

Salarié:
Il m'en faisaient des minidump dans windows.


De quoi on parle ici? De quelle bestiole très précisément?

Je te donne la procédure standard pour se débarrasser des Sobig,
Nimda et compagnie:

1) Désactive la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

2) Redémarrer en mode 'sans échec avec ligne de commande' à l'aide
de la touche F8 peu après les vérifications du BIOS (tape plusieurs
fois dessus). Il faut que tu te loggues en administrateur.

Tu peux rédemarrer en mode 'sans échec' simple si l' "explorer.exe"
n'est pas infecté.

4) Lancer le scan depuis là avec les différents fix. Garde le
rapport de désinfection, tu en auras besoin par la suite.

--
joke0

Avatar
mysmallbusiness
joke0 wrote in message news:...
Salut,

Salarié:
Il m'en faisaient des minidump dans windows.


De quoi on parle ici? De quelle bestiole très précisément?


de Nimda (Antivir l'a détecté le 23 aout) et d'1 clé dans
RegeditHHKLMSoftwareMcrosoftCurrentVersionRun : KernelFaultCheck
Reg_Expand_SZ systemrootsyste32dumprep 0-k ou où j'avais 1 Z
remplacé par $. Effacée ---> mini-dump ds Windows.
J'ai alors utilisé 1 anti-nimda trouvé sur 1 site; il est allé à
terme; puis scan par Secuser/TrendMicroHouseCall --> rien. Puis

Antivir m'a redétecté nimda dans le pgm anti-nimda et alors je l'ai
effacé. Plus rien de Antivir et Avenger depuis le 11 ou 12 aout sites
bloqués, pas de MAJ possibles. . Tel à Grisoft France : rien de
concret
Je te donne la procédure standard pour se débarrasser des Sobig,
Nimda et compagnie:

1) Désactive la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

2) Redémarrer en mode 'sans échec avec ligne de commande' à l'aide
de la touche F8 peu après les vérifications du BIOS (tape plusieurs
foisdessus). Il faut que tu te loggues en administrateur.
Le F8 ne marche pas ! Je bloque sur 3 démarrages : IDE (disque dur, il

monte windows) CDRW et qqchose comme BBS0 pour Intel Undi, PXE qqchose
1 fois j'ai eu le mode sans echec et j'ai désactivé sur C: et D:
(une partition sur C qui s'appelle RECOVERY et qui correspond à 1
Recovery sur un CD fourni lors de l'achat). Je confondais Restore et
CE Recovery. Bouh j'en écris tout un roman
J'appuie pas au bon moment. Est-ce que dans
outilsutilitaireConfigSystem je coche soit safeboot, soit Bootlog,
ou SOS ou NoGuideBoot ou BootLog. Bootlog il va suivre son log pour
démarrer ? Après tous les scan finis, en Safeboot est-ce que j'ai
possibilité de reconfigurer le démarrage normal. En Win98 il me semble
qu'on n'avait pas (?)

Tu peux rédemarrer en mode 'sans échec' simple si l' "explorer.exe"
n'est pas infecté.

4) Lancer le scan depuis là avec les différents fix. Garde le
rapport de désinfection, tu en auras besoin par la suite.


Ca ne va pas trop pour cette désinfection mais MERCI Mille x quand
même.


Avatar
joke0
Salut,

Salarié:
de Nimda (Antivir l'a détecté le 23 aout) et d'1 clé dans


Quelle version précisément de Nimda? De Gibe?

RegeditHHKLMSoftwareMcrosoftCurrentVersionRun :
KernelFaultCheck Reg_Expand_SZ systemrootsyste32dumprep 0-k ou
où j'avais 1 Z remplacé par $. Effacée ---> mini-dump ds Windows.


Je suis à peu près sûr que celà n'a rien à voir avec les vers Sobig
et Nimda.

Puis Antivir m'a redétecté nimda dans le pgm anti-nimda et alors
je l'ai effacé.


Nimda est un ver, pas un infecteur de fichier! Ou alors ton FixNimda
était une copie du ver!

2) Redémarrer en mode 'sans échec avec ligne de commande'


Est-ce que dans outilsutilitaireConfigSystem je coche soit
safeboot,


C'est ça: Sans echec = Safe boot
Tu as une version de windows en anglais?
Héberges-tu un serveur IIS?

Après tous les scan finis, en Safeboot est-ce que j'ai possibilité
de reconfigurer le démarrage normal. En Win98 il me semble qu'on
n'avait pas (?)


Tu peux éviter de passer par le mode sans échec:

Télécharge Stinger en premier lieu: http://vil.nai.com/vil/stinger/

Déconnecte-toi de *tout* réseau (internet, local).
Et regarde comment configurer tes partages ici:

points 1, 2, 4:
http://www.lacave.net/~jokeuse/usenet/nettoyer.html#opaserv

A la place du point 3, tu passe un coup de Stinger et tu demandes un
rapport en fin de scan.
Donne nous le nom des bestioles qu'il a trouvé.

--
joke0


Avatar
mysmallbusiness
joke0 wrote in message news:...
Salut,

Salarié:
de Nimda (Antivir l'a détecté le 23 aout) et d'1 clé dans


Quelle version précisément de Nimda? De Gibe?


Avenger disait : iWorm Nimda A. (le 23 aout mais AVG n'était plus à
jour depuis le 11 aout 3w.grosoft était inaccessible)

RegeditHHKLMSoftwareMcrosoftCurrentVersionRun :
KernelFaultCheck Reg_Expand_SZ systemrootsyste32dumprep 0-k ou
où j'avais 1 Z remplacé par $. Effacée ---> mini-dump ds Windows.


Je suis à peu près sûr que celà n'a rien à voir avec les vers Sobig
et Nimda.
Par contre aucun removetools de chez Norton ne va jusqu'au bout : les

diff Sobig
FixNimda etc

Puis Antivir m'a redétecté nimda dans le pgm anti-nimda et alors
je l'ai effacé.


Nimda est un ver, pas un infecteur de fichier! Ou alors ton FixNimda
était une copie du ver!

2) Redémarrer en mode 'sans échec avec ligne de commande'


Est-ce que dans outilsutilitaireConfigSystem je coche soit
safeboot,


C'est ça: Sans echec = Safe boot
Tu as une version de windows en anglais?
Héberges-tu un serveur IIS?

Après tous les scan finis, en Safeboot est-ce que j'ai possibilité
de reconfigurer le démarrage normal. En Win98 il me semble qu'on
n'avait pas (?)


Tu peux éviter de passer par le mode sans échec:

Télécharge Stinger en premier lieu: http://vil.nai.com/vil/stinger/
C'est comme chez Grisoft : je boucle en retour sur la page avec "Vous

n'êtes pas autorisé à afficher" ... idem chez Windows Update (v4
qqchose); souvent sur Google "Internal Error Server" qd je veux poster

Déconnecte-toi de *tout* réseau (internet, local).
Ca, depuis le 23 aout, je ne lui donne plus d'internet à manger ...

régime sec !
Et regarde comment configurer tes partages ici:

points 1, 2, 4:
http://www.lacave.net/~jokeuse/usenet/nettoyer.html#opaserv
Je suis monoposte, sans partage; suis seule à utiliser l'ordinateur;

aucun dossier partagé où imprimante mais je l'ai lu et suivrai les
consignes de lacave.

A la place du point 3, tu passe un coup de Stinger et tu demandes un
rapport en fin de scan.
Donne nous le nom des bestioles qu'il a trouvé.


Oui ds qqjours; plein de choses de la vie courantes à assumer ... on
dit que les em****des arrivent en même temps ... c'est vrai
Merci Joke0; t'es vraiment sympa.



Avatar
joke0
Salut,

Salarié:
Avenger disait : iWorm Nimda A. (le 23 aout mais AVG n'était plus
à jour depuis le 11 aout 3w.grosoft était inaccessible)


C'est quoi Avenger?

Par contre aucun removetools de chez Norton ne va jusqu'au bout :
les diff Sobig FixNimda etc


Même en rémarrant en mode sans échec avec ligne de commande?
Tu allumes ton pc, le BIOS fait ses vérifications (présence disque,
mémoire), puis tu commences à appuyer toutes les secondes sur F8. Tu
as un menu qui s'affiche, tu choisis ce que je t'ai indiqué dans mon
post précédent.

C'est comme chez Grisoft : je boucle en retour sur la page avec
"Vous n'êtes pas autorisé à afficher" ... idem chez Windows Update
(v4 qqchose); souvent sur Google "Internal Error Server" qd je
veux poster


Je me demande si tu n'aurais pas une bestiole qui aurait traficoté
ton fichier HOSTS. Tu arrives à effectuer un scan en ligne depuis
http://www.secuser.com ?

En tout cas efface le fichier "host" (pas d'extension à ce fichier).

Donne nous le nom des bestioles qu'il a trouvé.



Pour l'instant tu nous as dit: Nimda.a, un Gibe (mais lequel???) et
probablement un autre.

--
joke0


Avatar
mysmallbusiness
joke0 wrote in message news:...
Salut,

Salarié:
Avenger disait : iWorm Nimda A. (le 23 aout mais AVG n'était plus
à jour depuis le 11 aout 3w.grosoft était inaccessible)


C'est quoi Avenger?
Avenger c'est AVG de Grisoft


Par contre aucun removetools de chez Norton ne va jusqu'au bout :
les diff Sobig FixNimda etc


Même en rémarrant en mode sans échec avec ligne de commande?
Tu allumes ton pc, le BIOS fait ses vérifications (présence disque,
mémoire), puis tu commences à appuyer toutes les secondes sur F8. Tu
as un menu qui s'affiche, tu choisis ce que je t'ai indiqué dans mon
post précédent.

C'est comme chez Grisoft : je boucle en retour sur la page avec
"Vous n'êtes pas autorisé à afficher" ... idem chez Windows Update
(v4 qqchose); souvent sur Google "Internal Error Server" qd je
veux poster


Je me demande si tu n'aurais pas une bestiole qui aurait traficoté
ton fichier HOSTS. Tu arrives à effectuer un scan en ligne depuis
http://www.secuser.com ?
Oui plusieurs et il a rien détecté


En tout cas efface le fichier "host" (pas d'extension à ce fichier).

Donne nous le nom des bestioles qu'il a trouvé.



Pour l'instant tu nous as dit: Nimda.a, un Gibe (mais lequel???) et
probablement un autre.
C'est Nimda A. devenu H.T.M au reboot

Surla page de ma boite e-mail (pleine à exploser de Re: Re: details
etc, automatiquement Windows update se manifeste même supprimé de ZA
et planiificateur de tâches suspendu. Et je suis revenue sous Win98;
XP (l'autre ordinateur) je lui ai enlevé la connection. Mon ip appelle
qqchose qqpart.
Encore Merci Joke0.



Avatar
joke0
Salut,

Salarié:
Même en rémarrant en mode sans échec avec ligne de commande?
Tu allumes ton pc, le BIOS fait ses vérifications (présence
disque, mémoire), puis tu commences à appuyer toutes les secondes
sur F8. Tu as un menu qui s'affiche, tu choisis ce que je t'ai
indiqué dans mon post précédent.



Tu ne dis pas si tu arrives à lancer un scan en mode sans échec.

Je me demande si tu n'aurais pas une bestiole qui aurait
traficoté ton fichier HOSTS. Tu arrives à effectuer un scan en
ligne depuis http://www.secuser.com ?


Oui plusieurs et il a rien détecté


Sépare bien tes réponses des miennes svp, j'ai failli louper celle
là! Je ne sais que dire. Tant que tu ne redémarres pas en mode sans
échec, les vers se lancent au démarrage.

En tout cas efface le fichier "host" (pas d'extension à ce
fichier).



Tu l'as fait?

Donne nous le nom des bestioles qu'il a trouvé.





Alors?

Pour l'instant tu nous as dit: Nimda.a, un Gibe (mais lequel???)
et probablement un autre.
C'est Nimda A. devenu H.T.M au reboot



Désolé j'comprends pas.

--
joke0




Avatar
mysmallbusiness
joke0 wrote in message news:...
Salut,

Salarié:
Même en rémarrant en mode sans échec avec ligne de commande?
Tu allumes ton pc, le BIOS fait ses vérifications (présence
disque, mémoire), puis tu commences à appuyer toutes les secondes
sur F8. Tu as un menu qui s'affiche, tu choisis ce que je t'ai
indiqué dans mon post précédent.



Tu ne dis pas si tu arrives à lancer un scan en mode sans échec.

Je me demande si tu n'aurais pas une bestiole qui aurait
traficoté ton fichier HOSTS. Tu arrives à effectuer un scan en
ligne depuis http://www.secuser.com ?


Oui plusieurs et il a rien détecté


Sépare bien tes réponses des miennes svp, j'ai failli louper celle
là! Je ne sais que dire. Tant que tu ne redémarres pas en mode sans
échec, les vers se lancent au démarrage.

En tout cas efface le fichier "host" (pas d'extension à ce
fichier).



Tu l'as fait?
Je rentre du boulot et vais le faire
Donne nous le nom des bestioles qu'il a trouvé.





Alors?

Pour l'instant tu nous as dit: Nimda.a, un Gibe (mais lequel???)
et probablement un autre.
C'est Nimda A. devenu H.T.M au reboot



Désolé j'comprends pas.


Antivir a dit : iworm nimda. a ensuite et ne pouvais l'effacer.
Ensuite les icônes de la barre de notification ont flotté et disparu.
Eteindre, rallumer antivir disparu et AVG (grisoft) a dit i-worm
nimda. a. H.T.M. Chez MacAffe ou qqpart c'est une variante, i.e.,
H.T.M. c'est les métastases.

Merci Joke0,je vais faire tout ce que tu as dit ... et je dirai la
bestiole. Merci.





Avatar
joke0
Salut,

Salarié:
Un salarié de chez Microsoft m'affirme que si sous Win98
j'ai sur bp de sites "Vous n'êtes pas autorisé à afficher cette
page" c'est Sobig qui fait ça.


Tu peux confirmer que tu as 2 PC:
- l'un sous win98 soupçonné d'être contaminé par Sobig,
- l'un sous XP soupçonné d'être contaminé par Nimda.a,
- c'est 2 PC ne sont pas en réseau.

Pour win98, télécharge Appswat:
http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html

et désactive tous les processus sauf:
Kernel32.dll
msgsrv32.exe
mprexe.exe
mmtask.tsk
explorer.exe

Ensuite lance ton AV et surveille combien de processus
supplémentaires sont lancés en même temps que l'AV. Si tu est en
mode sans-échec, normalemment tu devrais pouvoir nettoyer sans pb.

NIMDA:

il se lance depuis la section [boot] de system.ini
shell= explorer.exe load.exe -dontrunold

supprime la partie 'load.exe...'

Il prend la place du fichier Riched20.dll dans system
Il crée mmc.exe dans windows (ou winnt)

Gibe:

Quelle version de Gibe?

--
joke0

Avatar
mysmallbusiness
joke0 wrote in message news:...
Salut,

Salarié:
Un salarié de chez Microsoft m'affirme que si sous Win98
j'ai sur bp de sites "Vous n'êtes pas autorisé à afficher cette
page" c'est Sobig qui fait ça.


Tu peux confirmer que tu as 2 PC:
- l'un sous win98 soupçonné d'être contaminé par Sobig,
- l'un sous XP soupçonné d'être contaminé par Nimda.a,
- c'est 2 PC ne sont pas en réseau.


Je confirme

Pour win98, télécharge Appswat:
http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html


pour Appswat : "Vous n'êtes pas autorisé à afficher ...." C'est rapé.
Je vais essayé le Scanbin de jc Bellamy : je verrai peut-être qqchose

et désactive tous les processus sauf:
Kernel32.dll
msgsrv32.exe
mprexe.exe
mmtask.tsk
explorer.exe


je ferai ça

Ensuite lance ton AV et surveille combien de processus
supplémentaires sont lancés en même temps que l'AV. Si tu est en
mode sans-échec, normalemment tu devrais pouvoir nettoyer sans pb.

NIMDA:

il se lance depuis la section [boot] de system.ini
shell= explorer.exe load.exe -dontrunold

supprime la partie 'load.exe...' = j'ai pas de "load.exe" ou il me le cache depuis le temps que je le cherche


ds system.ini j'ai : ;msconfig ; for 16-bits app support
[drivers]
et ts ce qui concerne wave, timer,, mci,
woafont, EGA

Il prend la place du fichier Riched20.dll dans system
Il crée mmc.exe dans windows (ou winnt)


--> je les supprime en 1er ? en 2nd ?

J'ai la doc : CodeRed II est allé à terme sans rien trouver.
Wininit.ini = rien;
La HKLMSoftwMicrosWindCuurrentVersNetworkworkLanMan = où j'ai
supprimé [C$ --> Z$] = il m'en avais fait une mini-dump ds Windows XP
= déjà posté

Gibe:
Nimda a.H.T.M.


Quelle version de Gibe?


C'est quoi 1 Gibe ?

J'ai fait ttes les HoTKey du lancement automatique de chez Lacave
pour Nimda. Je dois "essayer" de télécharger de Symantec les
indications pour les HTK des autres virus et me les faire toutes.

Repeindre le plafond; tout empaqueter chez moi, démménager et trouver
1 boulot - dégueulasse. Toutes les m***des en même temps.

Merci Joke0


1 2