Tout a commenc=E9 calmement, mon d=E9fragmenteur (Auslogics Diskdefrag) s=
'en=20
prenait souvent aux m=EAmes fichiers et j'ai fini par trouver =E7a louche=
=2E=20
Comme Firefox =E9tait concern=E9 j'ai soulev=E9 la question dans un newsg=
roup=20
Firefox, il s'est av=E9r=E9 qu'il y avait un point o=F9 j'en demandais=20
beaucoup, il fallait effacer un fichier d'historique, de ce c=F4t=E9 les =
choses sont rentr=E9es dans l'ordre.
J'ai aussi par ailleurs des vid=E9os qui ont tendance =E0 se fragmenter d=
e=20
temps =E0 autre alors que je ne les ouvre jamais.
Dans le newsgroup Firefox, quelqu'un m'a sugg=E9r=E9 une analyse avec=20
http://dl.betanews.com/malwarebytes/mbam-setup.exe
On dirait que c'=E9tait une bonne id=E9e. Je glisse sur deux trucs dans u=
n=20
programme que j'ai d=E9velopp=E9, je demanderai ensuite confirmation dans=
un=20
newsgroup de programmation.
Je glisse aussi sur=20
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl=
orer=20
qui contient une clef DWord StartMenuLogoff =E0 1, si j'en crois ce que=20
j'ai lu ailleurs =E7a supprime le bouton d=E9connecter dans le menu=20
d=E9marrer, or j'ai tout ce qu'il faut pour fermer la session ou Windows,=
=20
donc =E7a n'a pas l'air m=E9chant.
Ce qui me tracasse davantage, ce sont deux fichiers dont les noms sont=20
des nombres =E0 sept chiffres, avec l'extension exe, dans le r=E9pertoire=
=20
Windows. MBAM me les signale comme Rootkit.Agent, et alors =E7a si je ne =
m'abuse, comme truc dangereux, =E7a se pose l=E0.
Avec un peu de chance ils n'ont pas encore s=E9vi et il suffira de les=20
effacer.
Bon, la premi=E8re des choses =E0 faire, je suppose, c'est de d=E9marrer =
avec=20
mon CD BartPE (il va de soi que je n'ai pas commenc=E9 =E0 r=E9ellement=20
utiliser la machine tant que je ne l'ai pas grav=E9, vu que maintenant le=
s=20
constructeurs ont la ... "d=E9contraction" de ne pas fournir de CD de=20
d=E9marrage avec les portables qu'ils vendent).
Alors une fois d=E9marr=E9 sur le BartPE, je fais quoi ?
http://www.premiumorange.com/zeb-help-process/zhpdiag.html Tu télécharges, installes, mets à jour la base et scannes ton PC Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport ZHPDiag.txt Rapport que tu envoies en PJ, ici.
Ah, les premiers 43% sont allés très vite, et puis pour le reste, j'a i l'impression qu'on a le temps d'aller manger ...
Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé. Ils ont fait très fort, ceux-là. Ah si je les ai laissés passer, je peu x aussi avoir laissé passer autre chose ...
Herser a écrit, le 25/07/2011 15:52 :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Tu télécharges, installes, mets à jour la base et scannes ton PC
Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport
ZHPDiag.txt
Rapport que tu envoies en PJ, ici.
Ah, les premiers 43% sont allés très vite, et puis pour le reste, j'a i
l'impression qu'on a le temps d'aller manger ...
Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé. Ils
ont fait très fort, ceux-là. Ah si je les ai laissés passer, je peu x
aussi avoir laissé passer autre chose ...
http://www.premiumorange.com/zeb-help-process/zhpdiag.html Tu télécharges, installes, mets à jour la base et scannes ton PC Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport ZHPDiag.txt Rapport que tu envoies en PJ, ici.
Ah, les premiers 43% sont allés très vite, et puis pour le reste, j'a i l'impression qu'on a le temps d'aller manger ...
Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé. Ils ont fait très fort, ceux-là. Ah si je les ai laissés passer, je peu x aussi avoir laissé passer autre chose ...
Gloops
Gloops a écrit, le 25/07/2011 19:23 :
Herser a écrit, le 25/07/2011 15:52 :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html Tu télécharges, installes, mets à jour la base et scannes ton PC Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport ZHPDiag.txt Rapport que tu envoies en PJ, ici.
Ah, les premiers 43% sont allés très vite, et puis pour le reste, j 'ai l'impression qu'on a le temps d'aller manger ...
Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé . Ils ont fait très fort, ceux-là. Ah si je les ai laissés passer, je p eux aussi avoir laissé passer autre chose ...
Ah oui, ce qui prenait du temps, c'était qu'OnLine Armor demande les autorisations ...
http://cjoint.com/?3GztKyXnu7N
Ah sur la même machine, de temps à autre il y a un écran bleu. Tout-à-l'heure, IRP_NOT_LESS_OR_EQUAL sur aistor.sys (de mémoire).
Si il y a quelque chose qui saute aux yeux ...
Gloops a écrit, le 25/07/2011 19:23 :
Herser a écrit, le 25/07/2011 15:52 :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Tu télécharges, installes, mets à jour la base et scannes ton PC
Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport
ZHPDiag.txt
Rapport que tu envoies en PJ, ici.
Ah, les premiers 43% sont allés très vite, et puis pour le reste, j 'ai
l'impression qu'on a le temps d'aller manger ...
Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé . Ils
ont fait très fort, ceux-là. Ah si je les ai laissés passer, je p eux
aussi avoir laissé passer autre chose ...
Ah oui, ce qui prenait du temps, c'était qu'OnLine Armor demande les
autorisations ...
http://cjoint.com/?3GztKyXnu7N
Ah sur la même machine, de temps à autre il y a un écran bleu.
Tout-à-l'heure, IRP_NOT_LESS_OR_EQUAL sur aistor.sys (de mémoire).
http://www.premiumorange.com/zeb-help-process/zhpdiag.html Tu télécharges, installes, mets à jour la base et scannes ton PC Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport ZHPDiag.txt Rapport que tu envoies en PJ, ici.
Ah, les premiers 43% sont allés très vite, et puis pour le reste, j 'ai l'impression qu'on a le temps d'aller manger ...
Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé . Ils ont fait très fort, ceux-là. Ah si je les ai laissés passer, je p eux aussi avoir laissé passer autre chose ...
Ah oui, ce qui prenait du temps, c'était qu'OnLine Armor demande les autorisations ...
http://cjoint.com/?3GztKyXnu7N
Ah sur la même machine, de temps à autre il y a un écran bleu. Tout-à-l'heure, IRP_NOT_LESS_OR_EQUAL sur aistor.sys (de mémoire).
Si il y a quelque chose qui saute aux yeux ...
Gloops
Gloops a écrit, le 25/07/2011 18:43 :
Alors j'ai mis dans deux fichiers la liste des fichiers source et celle de la sauvegarde, il y en a quelques milliers de différence, alors j' ai voulu lister la différence ...
Euh, oui, mais pas dans le sens que je croyais ... Il y a eu trois fichiers verrouillés donc non sauvegardés, et quelque s milliers de fichiers sont présents ... dans la sauvegarde, mais pas (ou du moins plus) dans l'original.
Tiens, elle est bizarre, cette sauvegarde.
Gloops a écrit, le 25/07/2011 18:43 :
Alors j'ai mis dans deux fichiers la liste des fichiers source et celle
de la sauvegarde, il y en a quelques milliers de différence, alors j' ai
voulu lister la différence ...
Euh, oui, mais pas dans le sens que je croyais ...
Il y a eu trois fichiers verrouillés donc non sauvegardés, et quelque s
milliers de fichiers sont présents ... dans la sauvegarde, mais pas (ou
du moins plus) dans l'original.
Alors j'ai mis dans deux fichiers la liste des fichiers source et celle de la sauvegarde, il y en a quelques milliers de différence, alors j' ai voulu lister la différence ...
Euh, oui, mais pas dans le sens que je croyais ... Il y a eu trois fichiers verrouillés donc non sauvegardés, et quelque s milliers de fichiers sont présents ... dans la sauvegarde, mais pas (ou du moins plus) dans l'original.
Tiens, elle est bizarre, cette sauvegarde.
Herser
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard ! De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs. Choisis le rapport le + complet, si tu hésites sur le bon (double clic sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit. Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché sauf : - ligne 045 - ligne 061 et 062 - ligne 065 - ligne 082 Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree) Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin" Envoie le pour analyse sur VirusTotal : http://www.virustotal.com/index.html Si le site te dit que le fichier a déjà été analysé (in english), demande de le réanalyser Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de la toolbar Ask Passer Ad-Remover pour supprimer ces barres inutiles : http://www.teamxscript.org/adremoverTelechargement.html Puis se déconnecter et fermer toutes les fenêtres Lancer Ad-Remover onglet : "Scanner" Puis l'onglet "Nettoyer" Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que le diag trouvera On a quand même intérêt à d'abord nettoyer - il n'est pas dit que les images soient propres - on peut aussi oublier une modification réalisée entre-temps, voire la perdre. Restaurer une image est un peu l'outil ultime, comme reformater, heureusement plus rapide à remettre en état
Herser
Gloops a écrit dans le message de news:j0k9mt$ugd$1@speranza.aioe.org
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard !
De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs.
Choisis le rapport le + complet, si tu hésites sur le bon (double clic sur
mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me
gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché sauf
:
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in english), demande de
le réanalyser
Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de la
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que le
diag trouvera
On a quand même intérêt à d'abord nettoyer
- il n'est pas dit que les images soient propres
- on peut aussi oublier une modification réalisée entre-temps, voire la
perdre.
Restaurer une image est un peu l'outil ultime, comme reformater,
heureusement plus rapide à remettre en état
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard ! De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs. Choisis le rapport le + complet, si tu hésites sur le bon (double clic sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit. Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché sauf : - ligne 045 - ligne 061 et 062 - ligne 065 - ligne 082 Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree) Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin" Envoie le pour analyse sur VirusTotal : http://www.virustotal.com/index.html Si le site te dit que le fichier a déjà été analysé (in english), demande de le réanalyser Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de la toolbar Ask Passer Ad-Remover pour supprimer ces barres inutiles : http://www.teamxscript.org/adremoverTelechargement.html Puis se déconnecter et fermer toutes les fenêtres Lancer Ad-Remover onglet : "Scanner" Puis l'onglet "Nettoyer" Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que le diag trouvera On a quand même intérêt à d'abord nettoyer - il n'est pas dit que les images soient propres - on peut aussi oublier une modification réalisée entre-temps, voire la perdre. Restaurer une image est un peu l'outil ultime, comme reformater, heureusement plus rapide à remettre en état
Herser
Gloops
Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard ! De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs. Choisis le rapport le + complet, si tu hésites sur le bon (double cli c sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit. Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est c oché sauf : - ligne 045 - ligne 061 et 062 - ligne 065 - ligne 082 Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree) Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc ...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin" Envoie le pour analyse sur VirusTotal : http://www.virustotal.com/index.html Si le site te dit que le fichier a déjà été analysé (in engli sh), demande de le réanalyser Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de l a toolbar Ask Passer Ad-Remover pour supprimer ces barres inutiles : http://www.teamxscript.org/adremoverTelechargement.html Puis se déconnecter et fermer toutes les fenêtres Lancer Ad-Remover onglet : "Scanner" Puis l'onglet "Nettoyer" Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépen d de ce que le diag trouvera On a quand même intérêt à d'abord nettoyer - il n'est pas dit que les images soient propres - on peut aussi oublier une modification réalisée entre-temps, voir e la perdre. Restaurer une image est un peu l'outil ultime, comme reformater, heureusement plus rapide à remettre en état
Herser
Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à la bonne franquette (je n'ai pas fait très attention qu'il y avait plusieurs tailles de rapports, au besoin je relancerai l'analyse, dommage). Comme je disais dans mon commentaire en tête de fil, c'est surtout les deux dernières lignes qui m'inquiètent. __________________________________________________ Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org
Version de la base de données: 7260
Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s): c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2binDebugwindowsap plication2.exe (Trojan.Agent) -> No action taken. c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2objDebugwindowsap plication2.exe (Trojan.Agent) -> No action taken. c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken. c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$1@speranza.aioe.org
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard !
De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet
Rapports/Logs.
Choisis le rapport le + complet, si tu hésites sur le bon (double cli c
sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire
PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est c oché
sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc ...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in engli sh),
demande de le réanalyser
Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de l a
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépen d de ce que
le diag trouvera
On a quand même intérêt à d'abord nettoyer
- il n'est pas dit que les images soient propres
- on peut aussi oublier une modification réalisée entre-temps, voir e la
perdre.
Restaurer une image est un peu l'outil ultime, comme reformater,
heureusement plus rapide à remettre en état
Herser
Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à
la bonne franquette (je n'ai pas fait très attention qu'il y avait
plusieurs tailles de rapports, au besoin je relancerai l'analyse,
dommage). Comme je disais dans mon commentaire en tête de fil, c'est
surtout les deux dernières lignes qui m'inquiètent.
__________________________________________________
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7260
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s):
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2binDebugwindowsap plication2.exe
(Trojan.Agent) -> No action taken.
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2objDebugwindowsap plication2.exe
(Trojan.Agent) -> No action taken.
c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken.
c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard ! De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs. Choisis le rapport le + complet, si tu hésites sur le bon (double cli c sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit. Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est c oché sauf : - ligne 045 - ligne 061 et 062 - ligne 065 - ligne 082 Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree) Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc ...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin" Envoie le pour analyse sur VirusTotal : http://www.virustotal.com/index.html Si le site te dit que le fichier a déjà été analysé (in engli sh), demande de le réanalyser Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de l a toolbar Ask Passer Ad-Remover pour supprimer ces barres inutiles : http://www.teamxscript.org/adremoverTelechargement.html Puis se déconnecter et fermer toutes les fenêtres Lancer Ad-Remover onglet : "Scanner" Puis l'onglet "Nettoyer" Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépen d de ce que le diag trouvera On a quand même intérêt à d'abord nettoyer - il n'est pas dit que les images soient propres - on peut aussi oublier une modification réalisée entre-temps, voir e la perdre. Restaurer une image est un peu l'outil ultime, comme reformater, heureusement plus rapide à remettre en état
Herser
Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à la bonne franquette (je n'ai pas fait très attention qu'il y avait plusieurs tailles de rapports, au besoin je relancerai l'analyse, dommage). Comme je disais dans mon commentaire en tête de fil, c'est surtout les deux dernières lignes qui m'inquiètent. __________________________________________________ Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org
Version de la base de données: 7260
Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s): c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2binDebugwindowsap plication2.exe (Trojan.Agent) -> No action taken. c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2objDebugwindowsap plication2.exe (Trojan.Agent) -> No action taken. c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken. c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Bernard Lempel
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
B. Lempel
"Gloops" a écrit dans le message de news: j0kr2n$bcb$ Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard ! De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs. Choisis le rapport le + complet, si tu hésites sur le bon (double clic sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit. Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché sauf : - ligne 045 - ligne 061 et 062 - ligne 065 - ligne 082 Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree) Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin" Envoie le pour analyse sur VirusTotal : http://www.virustotal.com/index.html Si le site te dit que le fichier a déjà été analysé (in english), demande de le réanalyser Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de la toolbar Ask Passer Ad-Remover pour supprimer ces barres inutiles : http://www.teamxscript.org/adremoverTelechargement.html Puis se déconnecter et fermer toutes les fenêtres Lancer Ad-Remover onglet : "Scanner" Puis l'onglet "Nettoyer" Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que le diag trouvera On a quand même intérêt à d'abord nettoyer - il n'est pas dit que les images soient propres - on peut aussi oublier une modification réalisée entre-temps, voire la perdre. Restaurer une image est un peu l'outil ultime, comme reformater, heureusement plus rapide à remettre en état
Herser
Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à la bonne franquette (je n'ai pas fait très attention qu'il y avait plusieurs tailles de rapports, au besoin je relancerai l'analyse, dommage). Comme je disais dans mon commentaire en tête de fil, c'est surtout les deux dernières lignes qui m'inquiètent. __________________________________________________ Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org
Version de la base de données: 7260
Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s): c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2binDebugwindowsapplication2.exe (Trojan.Agent) -> No action taken. c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2objDebugwindowsapplication2.exe (Trojan.Agent) -> No action taken. c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken. c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.
B. Lempel
"Gloops" <gloops@invalid.zailes.org> a écrit dans le message de news:
j0kr2n$bcb$1@speranza.aioe.org...
Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$1@speranza.aioe.org
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard !
De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet
Rapports/Logs.
Choisis le rapport le + complet, si tu hésites sur le bon (double clic
sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire
PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché
sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in english),
demande de le réanalyser
Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de la
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que
le diag trouvera
On a quand même intérêt à d'abord nettoyer
- il n'est pas dit que les images soient propres
- on peut aussi oublier une modification réalisée entre-temps, voire la
perdre.
Restaurer une image est un peu l'outil ultime, comme reformater,
heureusement plus rapide à remettre en état
Herser
Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à
la bonne franquette (je n'ai pas fait très attention qu'il y avait
plusieurs tailles de rapports, au besoin je relancerai l'analyse,
dommage). Comme je disais dans mon commentaire en tête de fil, c'est
surtout les deux dernières lignes qui m'inquiètent.
__________________________________________________
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7260
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s):
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2binDebugwindowsapplication2.exe
(Trojan.Agent) -> No action taken.
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2objDebugwindowsapplication2.exe
(Trojan.Agent) -> No action taken.
c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken.
c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
B. Lempel
"Gloops" a écrit dans le message de news: j0kr2n$bcb$ Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :
Je viens de découvrir, un peu en retard ! De plus l'analyse est nécessairement longue.
J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs. Choisis le rapport le + complet, si tu hésites sur le bon (double clic sur mbam-log......txt)
Le diag n'est pas complet, il manque les outils rootkit. Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me gêne
Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché sauf : - ligne 045 - ligne 061 et 062 - ligne 065 - ligne 082 Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree) Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)
Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin" Envoie le pour analyse sur VirusTotal : http://www.virustotal.com/index.html Si le site te dit que le fichier a déjà été analysé (in english), demande de le réanalyser Copie ici le résultat de l'analyse.
En dehors d'un rootkit potentiel, ton rapport montre la présence de la toolbar Ask Passer Ad-Remover pour supprimer ces barres inutiles : http://www.teamxscript.org/adremoverTelechargement.html Puis se déconnecter et fermer toutes les fenêtres Lancer Ad-Remover onglet : "Scanner" Puis l'onglet "Nettoyer" Envoie les 2 rapports.
A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que le diag trouvera On a quand même intérêt à d'abord nettoyer - il n'est pas dit que les images soient propres - on peut aussi oublier une modification réalisée entre-temps, voire la perdre. Restaurer une image est un peu l'outil ultime, comme reformater, heureusement plus rapide à remettre en état
Herser
Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à la bonne franquette (je n'ai pas fait très attention qu'il y avait plusieurs tailles de rapports, au besoin je relancerai l'analyse, dommage). Comme je disais dans mon commentaire en tête de fil, c'est surtout les deux dernières lignes qui m'inquiètent. __________________________________________________ Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org
Version de la base de données: 7260
Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s): c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2binDebugwindowsapplication2.exe (Trojan.Agent) -> No action taken. c:documents and settingsbibimes documentsvisual studio 2005Projectswindowsapplication2windowsapplication2objDebugwindowsapplication2.exe (Trojan.Agent) -> No action taken. c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken. c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Gloops
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Herser
Gloops a écrit dans le message de news:j0ls6t$d1b$
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken" Ce qui est le message classique après analyse, avant nettoyage. Je pensais que tu avais nettoyé, mais sans doute l'as-tu fait
Un bon tuto sur MBAM : http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
Après analyse, MBAM liste les éléments infectieux avec "Afficher les résultats" Ces éléments sont cochés, on peut en décocher au cas où il y ait des faux positifs. Puis "Supprimer la sélection". Un message peut signaler qu'il faut redémarrer pour finaliser le nettoyage.
MBAM rédige alors le rapport de nettoyage; c'est ce rapport qui est le + intéressant.
Précise si tu es bien aller au bout du nettoyage. Et renvoie le rapport de nettoyage.
Herser
Gloops a écrit dans le message de news:j0ls6t$d1b$1@speranza.aioe.org
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Ce qui est le message classique après analyse, avant nettoyage.
Je pensais que tu avais nettoyé, mais sans doute l'as-tu fait
Un bon tuto sur MBAM :
http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
Après analyse, MBAM liste les éléments infectieux avec "Afficher les
résultats"
Ces éléments sont cochés, on peut en décocher au cas où il y ait des faux
positifs.
Puis "Supprimer la sélection".
Un message peut signaler qu'il faut redémarrer pour finaliser le nettoyage.
MBAM rédige alors le rapport de nettoyage; c'est ce rapport qui est le +
intéressant.
Précise si tu es bien aller au bout du nettoyage.
Et renvoie le rapport de nettoyage.
Gloops a écrit dans le message de news:j0ls6t$d1b$
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken" Ce qui est le message classique après analyse, avant nettoyage. Je pensais que tu avais nettoyé, mais sans doute l'as-tu fait
Un bon tuto sur MBAM : http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
Après analyse, MBAM liste les éléments infectieux avec "Afficher les résultats" Ces éléments sont cochés, on peut en décocher au cas où il y ait des faux positifs. Puis "Supprimer la sélection". Un message peut signaler qu'il faut redémarrer pour finaliser le nettoyage.
MBAM rédige alors le rapport de nettoyage; c'est ce rapport qui est le + intéressant.
Précise si tu es bien aller au bout du nettoyage. Et renvoie le rapport de nettoyage.
Herser
Gloops
Herser a écrit, le 26/07/2011 10:18 :
Gloops a écrit dans le message de news:j0ls6t$d1b$
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Oui, ça signifie que je n'ai rien fait.
Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ces deux fichiers. Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à l'improviste alors qu'elles ne demandent rien à personne.
Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le rapport de nettoyage ? En fermant MBAM je me suis dit, de toute façon, on a les chemins des fichiers, ça sera vite fait de les effacer.
Herser a écrit, le 26/07/2011 10:18 :
Gloops a écrit dans le message de news:j0ls6t$d1b$1@speranza.aioe.org
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Oui, ça signifie que je n'ai rien fait.
Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ces
deux fichiers.
Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à
l'improviste alors qu'elles ne demandent rien à personne.
Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le
rapport de nettoyage ?
En fermant MBAM je me suis dit, de toute façon, on a les chemins des
fichiers, ça sera vite fait de les effacer.
Gloops a écrit dans le message de news:j0ls6t$d1b$
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Oui, ça signifie que je n'ai rien fait.
Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ces deux fichiers. Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à l'improviste alors qu'elles ne demandent rien à personne.
Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le rapport de nettoyage ? En fermant MBAM je me suis dit, de toute façon, on a les chemins des fichiers, ça sera vite fait de les effacer.
Gloops
Gloops a écrit, le 26/07/2011 10:23 :
Herser a écrit, le 26/07/2011 10:18 :
Gloops a écrit dans le message de news:j0ls6t$d1b$ g
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Oui, ça signifie que je n'ai rien fait.
Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ce s deux fichiers. Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à l'improviste alors qu'elles ne demandent rien à personne.
Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le rapport de nettoyage ? En fermant MBAM je me suis dit, de toute façon, on a les chemins des fichiers, ça sera vite fait de les effacer.
Il va bien falloir que je fasse comme si il n'allait pas y avoir de réponse ...
Eh ben rien à faire, MBAM a supprimé les fichiers qu'il a dit, et pui s c'est tout. RootkitRevealer ne peut toujours pas sauvegarder son résultat d'analyse, donc semble-t-il je n'ai toujours pas une machine propre.
Quant aux deux fichiers exécutables dénoncés par MBAM comme travail lant avec un rootkit, ils sont présents dès ma première image du disque, pourtant je n'avais pas spécialement lambiné. Je note d'ailleurs qu'i l n'y a que MBAM à les signaler, et si ça se trouve il me les aurait signalés déjà l'année dernière.
Euh ... plus qu'à dire amen, alors ? C'est que les disques d'installation Windows XP, ça ne court guère les rues, ces jours-ci.
Ah oui il a été question d'un outil McAfee ... ça n'avait pas l'air d'être tout-à-fait la même cible, mais je vais essayer.
Gloops a écrit, le 26/07/2011 10:23 :
Herser a écrit, le 26/07/2011 10:18 :
Gloops a écrit dans le message de news:j0ls6t$d1b$1@speranza.aioe.or g
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Oui, ça signifie que je n'ai rien fait.
Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ce s
deux fichiers.
Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à
l'improviste alors qu'elles ne demandent rien à personne.
Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le
rapport de nettoyage ?
En fermant MBAM je me suis dit, de toute façon, on a les chemins des
fichiers, ça sera vite fait de les effacer.
Il va bien falloir que je fasse comme si il n'allait pas y avoir de
réponse ...
Eh ben rien à faire, MBAM a supprimé les fichiers qu'il a dit, et pui s
c'est tout. RootkitRevealer ne peut toujours pas sauvegarder son
résultat d'analyse, donc semble-t-il je n'ai toujours pas une machine
propre.
Quant aux deux fichiers exécutables dénoncés par MBAM comme travail lant
avec un rootkit, ils sont présents dès ma première image du disque,
pourtant je n'avais pas spécialement lambiné. Je note d'ailleurs qu'i l
n'y a que MBAM à les signaler, et si ça se trouve il me les aurait
signalés déjà l'année dernière.
Euh ... plus qu'à dire amen, alors ? C'est que les disques
d'installation Windows XP, ça ne court guère les rues, ces jours-ci.
Ah oui il a été question d'un outil McAfee ... ça n'avait pas l'air
d'être tout-à-fait la même cible, mais je vais essayer.
Gloops a écrit dans le message de news:j0ls6t$d1b$ g
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien. Accepte ce que MBAM te dit de faire.
Ah bon, il dit de faire quelque chose ?
Oui, il dit : "no action taken"
Oui, ça signifie que je n'ai rien fait.
Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ce s deux fichiers. Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à l'improviste alors qu'elles ne demandent rien à personne.
Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le rapport de nettoyage ? En fermant MBAM je me suis dit, de toute façon, on a les chemins des fichiers, ça sera vite fait de les effacer.
Il va bien falloir que je fasse comme si il n'allait pas y avoir de réponse ...
Eh ben rien à faire, MBAM a supprimé les fichiers qu'il a dit, et pui s c'est tout. RootkitRevealer ne peut toujours pas sauvegarder son résultat d'analyse, donc semble-t-il je n'ai toujours pas une machine propre.
Quant aux deux fichiers exécutables dénoncés par MBAM comme travail lant avec un rootkit, ils sont présents dès ma première image du disque, pourtant je n'avais pas spécialement lambiné. Je note d'ailleurs qu'i l n'y a que MBAM à les signaler, et si ça se trouve il me les aurait signalés déjà l'année dernière.
Euh ... plus qu'à dire amen, alors ? C'est que les disques d'installation Windows XP, ça ne court guère les rues, ces jours-ci.
Ah oui il a été question d'un outil McAfee ... ça n'avait pas l'air d'être tout-à-fait la même cible, mais je vais essayer.
