bonjour,
mon ordi est infecté par backdoor.prorat
norton le détecte mais ne le supprime pas.
j'ai telechargé "A2" , mais il ne trouve rien.
norton le detecte dans le fichier C:\WINDOWS\System32\wininv.dll
puis-je le supprimer sans risque?
merci..
C'est pourquoi sysclean est un excellent complément à un antivirus.
c'est un antivirus (à la demande)
c'est sans doute pour cette raison qu'il est (très) lourd et pas très pratique à mettre en oeuvre pour un débutant (qui se trouve à l'autre bout de la ligne)
ps: je le trouve un poil (très) lent :-(
@tchao
"Jeuf" <jfv@fr.fm> a écrit dans le message news:
cbpm1p$tuh$1@news-reader2.wanadoo.fr
C'est pourquoi sysclean est un excellent complément à un antivirus.
c'est un antivirus (à la demande)
c'est sans doute pour cette raison qu'il est (très) lourd et pas très
pratique à mettre en oeuvre pour un débutant (qui se trouve à l'autre bout
de la ligne)
C'est pourquoi sysclean est un excellent complément à un antivirus.
c'est un antivirus (à la demande)
c'est sans doute pour cette raison qu'il est (très) lourd et pas très pratique à mettre en oeuvre pour un débutant (qui se trouve à l'autre bout de la ligne)
ps: je le trouve un poil (très) lent :-(
@tchao
JacK
sur les news:cbpon8$udf$ Jeuf signalait:
"JacK" écriva...
Non, mode console ou non, il n'a pas accès aux x:System Volume
Information
qui sont protégés, sauf à prendre les droits dessus (je crois que j'ai détaillé une fois la méthode ici) mais ce n'est pas à conseiller de manière
permanente.
Désolé de vous contredire, cher Jack et Joke, mais j'ai testé il y a à peine 3 semaines... J'ai conservé le log de sysclean : je vous le transmets dès que je retourne le récupérer chez le client.
Virus détecté dans Restore, tentative de réparation : ratée. Effacement : réussi.
'lut,
Sous WindowsXP, Sans avoir pris les droits qui vont bien sur les fichiers, non, je viens d'essayer. Si on a pris les droits dessus, sans aucun problème avec n'importe quel AV ou manuellement. -- JacK
sur les news:cbpon8$udf$1@news-reader3.wanadoo.fr
Jeuf <jfv@fr.fm> signalait:
"JacK" écriva...
Non, mode console ou non, il n'a pas accès aux x:System Volume
Information
qui sont protégés, sauf à prendre les droits dessus (je crois que
j'ai détaillé une fois la méthode ici) mais ce n'est pas à
conseiller de
manière
permanente.
Désolé de vous contredire, cher Jack et Joke, mais j'ai testé il y a
à peine 3 semaines...
J'ai conservé le log de sysclean : je vous le transmets dès que je
retourne le récupérer chez le client.
Virus détecté dans Restore, tentative de réparation : ratée.
Effacement : réussi.
'lut,
Sous WindowsXP, Sans avoir pris les droits qui vont bien sur les fichiers,
non, je viens d'essayer.
Si on a pris les droits dessus, sans aucun problème avec n'importe quel AV
ou manuellement.
--
JacK
Non, mode console ou non, il n'a pas accès aux x:System Volume
Information
qui sont protégés, sauf à prendre les droits dessus (je crois que j'ai détaillé une fois la méthode ici) mais ce n'est pas à conseiller de manière
permanente.
Désolé de vous contredire, cher Jack et Joke, mais j'ai testé il y a à peine 3 semaines... J'ai conservé le log de sysclean : je vous le transmets dès que je retourne le récupérer chez le client.
Virus détecté dans Restore, tentative de réparation : ratée. Effacement : réussi.
'lut,
Sous WindowsXP, Sans avoir pris les droits qui vont bien sur les fichiers, non, je viens d'essayer. Si on a pris les droits dessus, sans aucun problème avec n'importe quel AV ou manuellement. -- JacK
Thierry Boudet
On 2004-06-28, joke0 wrote:
Si qqn a un lien sur comment administrer facilement XP...
http://64.62.206.195/
On 2004-06-28, joke0 <joke0@tiscali.fr> wrote:
Si qqn a un lien sur comment administrer facilement XP...
Si qqn a un lien sur comment administrer facilement XP...
http://64.62.206.195/
Jeuf
"JacK" écriva...
Jeuf signalait:
Bref, Jeufette l'a supprimée pour rien, mais comme elle n'est pas consciente du fait que la clé est à nouveau présente,
Impossible !!!! C'est pourtant pas dur à comprendre... Si tu vires les bonnes clés de la BdR, le process ne se lancera jamais.
Hélas, non, c'est malheureusement possible, pas besoin de recliquer sur un
PE pour que des clés soient recréées, certains BHO utilisent d'ailleurs aussi cette technique. Possible aussi avec des flux ADS je pense.
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément. Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il faut supprimer avant tout. - S'il est enfouit dans un fichier, l'antivirus l'aura sans doute trouvé. - Sinon, il est lancé soit directement => suppression de la clé qui le lance soit indirectement => suppression de la clé qui lance le "lanceur". ...Ce que j'appelle "virer les bonnes clés de la BdR".
Il est d'ailleurs à noter qu'on peut très bien avoir des virus sur son PC, sans que le PC soit infecté. Seule condition : que ces virus ne soient pas actifs (donc pas démarrés). La suppression des "bonnes" clés de la BdR les rend inactifs. L'inverse (suppression du virus sans supprimer les clés correspondantes de la BdR) peut aboutir à des situations instables (Alerte : "Impossible de trouver FichierMachin" )
Bref,
Jeufette l'a supprimée pour rien, mais comme elle n'est pas
consciente du fait que la clé est à nouveau présente,
Impossible !!!!
C'est pourtant pas dur à comprendre...
Si tu vires les bonnes clés de la BdR, le process ne se lancera
jamais.
Hélas, non, c'est malheureusement possible, pas besoin de recliquer sur
un
PE pour que des clés soient recréées, certains BHO utilisent d'ailleurs
aussi cette technique. Possible aussi avec des flux ADS je pense.
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément.
Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il
faut supprimer avant tout.
- S'il est enfouit dans un fichier, l'antivirus l'aura sans doute trouvé.
- Sinon, il est lancé soit directement => suppression de la clé qui le lance
soit indirectement => suppression de la clé qui lance le "lanceur".
...Ce que j'appelle "virer les bonnes clés de la BdR".
Il est d'ailleurs à noter qu'on peut très bien avoir des virus sur son PC,
sans que le PC soit infecté. Seule condition : que ces virus ne soient pas
actifs (donc pas démarrés). La suppression des "bonnes" clés de la BdR les
rend inactifs.
L'inverse (suppression du virus sans supprimer les clés correspondantes de
la BdR) peut aboutir à des situations instables (Alerte : "Impossible de
trouver FichierMachin" )
Bref, Jeufette l'a supprimée pour rien, mais comme elle n'est pas consciente du fait que la clé est à nouveau présente,
Impossible !!!! C'est pourtant pas dur à comprendre... Si tu vires les bonnes clés de la BdR, le process ne se lancera jamais.
Hélas, non, c'est malheureusement possible, pas besoin de recliquer sur un
PE pour que des clés soient recréées, certains BHO utilisent d'ailleurs aussi cette technique. Possible aussi avec des flux ADS je pense.
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément. Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il faut supprimer avant tout. - S'il est enfouit dans un fichier, l'antivirus l'aura sans doute trouvé. - Sinon, il est lancé soit directement => suppression de la clé qui le lance soit indirectement => suppression de la clé qui lance le "lanceur". ...Ce que j'appelle "virer les bonnes clés de la BdR".
Il est d'ailleurs à noter qu'on peut très bien avoir des virus sur son PC, sans que le PC soit infecté. Seule condition : que ces virus ne soient pas actifs (donc pas démarrés). La suppression des "bonnes" clés de la BdR les rend inactifs. L'inverse (suppression du virus sans supprimer les clés correspondantes de la BdR) peut aboutir à des situations instables (Alerte : "Impossible de trouver FichierMachin" )
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément. Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il faut supprimer avant tout.
Mais ces clés ne sont là que parce que le PE a été lancé au moins une fois!!! Si les clés sont là, c'est que vous pouvez partir du principe que le programme est actif (soit il a été lancé par clic pendant la séance actuelle, soit au démarrage grâce aux clés créées par lui auparavant justement), et s'il est actif alors il a théoriquement la possibilité de les remettre en place dès que l'utilisateur les supprime. Certaines bêtes le font, comme Sober. Donc supprimer les clés pour éviter le lancement de la bestiole ne fonctionnera pas toujours.
Jeuf wrote:
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément.
Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il
faut supprimer avant tout.
Mais ces clés ne sont là que parce que le PE a été lancé au moins une
fois!!! Si les clés sont là, c'est que vous pouvez partir du principe
que le programme est actif (soit il a été lancé par clic pendant la
séance actuelle, soit au démarrage grâce aux clés créées par lui
auparavant justement), et s'il est actif alors il a théoriquement la
possibilité de les remettre en place dès que l'utilisateur les supprime.
Certaines bêtes le font, comme Sober.
Donc supprimer les clés pour éviter le lancement de la bestiole ne
fonctionnera pas toujours.
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément. Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il faut supprimer avant tout.
Mais ces clés ne sont là que parce que le PE a été lancé au moins une fois!!! Si les clés sont là, c'est que vous pouvez partir du principe que le programme est actif (soit il a été lancé par clic pendant la séance actuelle, soit au démarrage grâce aux clés créées par lui auparavant justement), et s'il est actif alors il a théoriquement la possibilité de les remettre en place dès que l'utilisateur les supprime. Certaines bêtes le font, comme Sober. Donc supprimer les clés pour éviter le lancement de la bestiole ne fonctionnera pas toujours.
Jeuf
"Frederic Bonroy" écriva...
Jeuf wrote:
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément.
Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il faut supprimer avant tout.
Mais ces clés ne sont là que parce que le PE a été lancé au moins une fois!!!
Tout à fait d'accord.
Si les clés sont là, c'est que vous pouvez partir du principe que le programme est actif (soit il a été lancé par clic pendant la séance actuelle, soit au démarrage grâce aux clés créées par lui auparavant justement),
Et si je désactive les process, que je supprime les clés, et que je redémarre, que se passera-t-il ?
et s'il est actif alors il a théoriquement la possibilité de les remettre en place dès que l'utilisateur les supprime. Certaines bêtes le font, comme Sober.
Je me suis auto-infecté avec Sober. (c'est fastoche, je le reçois sans arrêt ;-)) J'ai tué les deux process, puis supprimé la clé Run qu'il avait créée. Le fichier similare.exe est toujours sur mon PC (et mon antivirus me gonfle régulièrement à cause de ça), je ne me souviens plus du nom des deux autres fichiers créés, mais ils sont toujours là aussi, et je peux te jurer que Sober est inactif.
Donc supprimer les clés pour éviter le lancement de la bestiole ne fonctionnera pas toujours.
Ben... ça ne fonctionne pas si tu le relances toi-même, c'est sûr. Mais il ne se relancera sûrement pas tout seul, c'est sûr aussi. Il ne faut oublier aucune clé, évidemment.
Ce que je veux dire, c'est qu'un programme ne se lance jamais
spontanément.
Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il
faut supprimer avant tout.
Mais ces clés ne sont là que parce que le PE a été lancé au moins une
fois!!!
Tout à fait d'accord.
Si les clés sont là, c'est que vous pouvez partir du principe
que le programme est actif (soit il a été lancé par clic pendant la
séance actuelle, soit au démarrage grâce aux clés créées par lui
auparavant justement),
Et si je désactive les process, que je supprime les clés,
et que je redémarre, que se passera-t-il ?
et s'il est actif alors il a théoriquement la
possibilité de les remettre en place dès que l'utilisateur les supprime.
Certaines bêtes le font, comme Sober.
Je me suis auto-infecté avec Sober.
(c'est fastoche, je le reçois sans arrêt ;-))
J'ai tué les deux process, puis supprimé la clé Run qu'il avait créée.
Le fichier similare.exe est toujours sur mon PC
(et mon antivirus me gonfle régulièrement à cause de ça),
je ne me souviens plus du nom des deux autres fichiers créés,
mais ils sont toujours là aussi,
et je peux te jurer que Sober est inactif.
Donc supprimer les clés pour éviter le lancement de la bestiole ne
fonctionnera pas toujours.
Ben... ça ne fonctionne pas si tu le relances toi-même, c'est sûr.
Mais il ne se relancera sûrement pas tout seul, c'est sûr aussi.
Il ne faut oublier aucune clé, évidemment.
Ce que je veux dire, c'est qu'un programme ne se lance jamais spontanément.
Si un PE crée des clés non désirées, c'est le lancement de cet exé qu'il faut supprimer avant tout.
Mais ces clés ne sont là que parce que le PE a été lancé au moins une fois!!!
Tout à fait d'accord.
Si les clés sont là, c'est que vous pouvez partir du principe que le programme est actif (soit il a été lancé par clic pendant la séance actuelle, soit au démarrage grâce aux clés créées par lui auparavant justement),
Et si je désactive les process, que je supprime les clés, et que je redémarre, que se passera-t-il ?
et s'il est actif alors il a théoriquement la possibilité de les remettre en place dès que l'utilisateur les supprime. Certaines bêtes le font, comme Sober.
Je me suis auto-infecté avec Sober. (c'est fastoche, je le reçois sans arrêt ;-)) J'ai tué les deux process, puis supprimé la clé Run qu'il avait créée. Le fichier similare.exe est toujours sur mon PC (et mon antivirus me gonfle régulièrement à cause de ça), je ne me souviens plus du nom des deux autres fichiers créés, mais ils sont toujours là aussi, et je peux te jurer que Sober est inactif.
Donc supprimer les clés pour éviter le lancement de la bestiole ne fonctionnera pas toujours.
Ben... ça ne fonctionne pas si tu le relances toi-même, c'est sûr. Mais il ne se relancera sûrement pas tout seul, c'est sûr aussi. Il ne faut oublier aucune clé, évidemment.
que je supprime les clés, et que je redémarre, que se passera-t-il ?
Rien. :-)
Jeuf
"joke0" écriva...
Jeuf:
Et si je désactive les process, que je supprime les clés, et que je redémarre, que se passera-t-il ?
Ce n'est ce que tu disais jusque là ! Tu nous parlais de virer les clefs avec la bestiole active (ce qui bien évidemment ne sert à rien).
Ah bon ? Où ai-je dit que je désactivais la clé en gardant la bestiole active ? J'ai dit qu'il fallait désactiver les bonnes clés. Celle qui lance la "bestiole active", comme tu l'appelles, fais partie des "bonnes clés" à supprimer. Petite et très légère nuance
Dans 99% des cas cette technique fonctionne. Par contre expliquer comment tuer un process, j'ai abandonné, car c'est beaucoup trop compliqué pour le béotien. Sous XP c'est encore plus difficile.
Euh...Sous Win9x : AnotherTaskManager ? Sous XP : Ctrl+Alt+Suppr ?
Redémarrer en mode sans échec permet aussi d'éviter le lancement d'un paquet de bestioles et sans télécharger de logiciel supplémentaire.
Je ne dis pas que c'est une mauvaise méthode. C'est même peut-être la meilleure. Je dis simplement qu'il y en a d'autres plus rapides et moins "prise de tête" dans la majorité des cas.
Et si je désactive les process, que je supprime les clés,
et que je redémarre, que se passera-t-il ?
Ce n'est ce que tu disais jusque là ! Tu nous parlais de virer
les clefs avec la bestiole active (ce qui bien évidemment ne
sert à rien).
Ah bon ? Où ai-je dit que je désactivais la clé
en gardant la bestiole active ?
J'ai dit qu'il fallait désactiver les bonnes clés.
Celle qui lance la "bestiole active", comme tu l'appelles,
fais partie des "bonnes clés" à supprimer.
Petite et très légère nuance
Dans 99% des cas cette technique fonctionne. Par contre
expliquer comment tuer un process, j'ai abandonné, car c'est
beaucoup trop compliqué pour le béotien. Sous XP c'est encore
plus difficile.
Euh...Sous Win9x : AnotherTaskManager ?
Sous XP : Ctrl+Alt+Suppr ?
Redémarrer en mode sans échec permet aussi d'éviter le lancement
d'un paquet de bestioles et sans télécharger de logiciel
supplémentaire.
Je ne dis pas que c'est une mauvaise méthode.
C'est même peut-être la meilleure.
Je dis simplement qu'il y en a d'autres plus rapides
et moins "prise de tête" dans la majorité des cas.
Et si je désactive les process, que je supprime les clés, et que je redémarre, que se passera-t-il ?
Ce n'est ce que tu disais jusque là ! Tu nous parlais de virer les clefs avec la bestiole active (ce qui bien évidemment ne sert à rien).
Ah bon ? Où ai-je dit que je désactivais la clé en gardant la bestiole active ? J'ai dit qu'il fallait désactiver les bonnes clés. Celle qui lance la "bestiole active", comme tu l'appelles, fais partie des "bonnes clés" à supprimer. Petite et très légère nuance
Dans 99% des cas cette technique fonctionne. Par contre expliquer comment tuer un process, j'ai abandonné, car c'est beaucoup trop compliqué pour le béotien. Sous XP c'est encore plus difficile.
Euh...Sous Win9x : AnotherTaskManager ? Sous XP : Ctrl+Alt+Suppr ?
Redémarrer en mode sans échec permet aussi d'éviter le lancement d'un paquet de bestioles et sans télécharger de logiciel supplémentaire.
Je ne dis pas que c'est une mauvaise méthode. C'est même peut-être la meilleure. Je dis simplement qu'il y en a d'autres plus rapides et moins "prise de tête" dans la majorité des cas.
