je suis victime d'une infection à la suite d'une agression multiple detectée
par avira antivir. mais dans les manipulation à chaque message d'alerte j'ai
du me planter..... :(
le premier symptome a été une hyperactivité du cpu à 100% avec
ralentissement ++, puis bug dans outlook 2007 pour finalement ne plus
pouvoir le demarrer. dans le repertoire d outlook le fichier de donné a
disparu (effacé lors du travail du cpu à 100% ?). Depuis le pc rame avec une
activité du cpu minime, avira antivir est affiché dans la barre de tache
comme fermé. j'ai lancé malwarebytes qui rame un max depuis 24 heures et qui
a trouvé un élément infecté.
en mode sans echec un écran bleu avec le message suivant:"
IRQL_NOT_LESS_OR_EQUAL " qui m 'empeche d aller plus loin........
malwarebytes est il efficace ? dois je le laisser continuer ?
dois passer à autre chose ?
merci de votre aide
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le en calc.txt.pif et jette un oeil dans l'explorateur windows :) Le fichier apparait comme calc.txt Lance le fichier via le double clic, il exécute la calculatrice... tu auras beau décocher la case "masquer les extensions de fichiers dont le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous les Windows que je peux utiliser, toutes les extensions dont les .url, .pif, .scf, .lnk :-P
@+ -- rm
Le jeudi 4 février 2010 à 22:25, Cyrius a écrit :
On Thu, 4 Feb 2010 18:36:20 +0100, rm <ramon@opera-fr.invalid> wrote:
Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le
en calc.txt.pif et jette un oeil dans l'explorateur windows :)
Le fichier apparait comme calc.txt
Lance le fichier via le double clic, il exécute la calculatrice... tu
auras beau décocher la case "masquer les extensions de fichiers dont
le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous
les Windows que je peux utiliser, toutes les extensions dont les .url,
.pif, .scf, .lnk :-P
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le en calc.txt.pif et jette un oeil dans l'explorateur windows :) Le fichier apparait comme calc.txt Lance le fichier via le double clic, il exécute la calculatrice... tu auras beau décocher la case "masquer les extensions de fichiers dont le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous les Windows que je peux utiliser, toutes les extensions dont les .url, .pif, .scf, .lnk :-P
@+ -- rm
rm
Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also changed so that the worm runs before any other executable file is opened."
La p'tite page de Joke0, http://joke0.free.fr/demarrage.html , à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète, alors :)
@+ -- rm
Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
en
[HKEY_CLASSES_ROOTexefileshellopencommand]
@="virus.exe "%1" %*"
non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also
changed so that the worm runs before any other executable file is
opened."
La p'tite page de Joke0, http://joke0.free.fr/demarrage.html ,
à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète,
alors :)
Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also changed so that the worm runs before any other executable file is opened."
La p'tite page de Joke0, http://joke0.free.fr/demarrage.html , à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète, alors :)
@+ -- rm
Roland Garcia
rm a écrit :
Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also changed so that the worm runs before any other executable file is opened."
La p'tite page de Joke0, http://joke0.free.fr/demarrage.html , à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète, alors :)
Ah ! c'est déjà plus sérieux que du radiomachin :-)
-- Roland Garcia
rm a écrit :
Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
en
[HKEY_CLASSES_ROOTexefileshellopencommand]
@="virus.exe "%1" %*"
non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also
changed so that the worm runs before any other executable file is
opened."
La p'tite page de Joke0, http://joke0.free.fr/demarrage.html ,
à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète,
alors :)
Ah ! c'est déjà plus sérieux que du radiomachin :-)
Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also changed so that the worm runs before any other executable file is opened."
La p'tite page de Joke0, http://joke0.free.fr/demarrage.html , à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète, alors :)
Ah ! c'est déjà plus sérieux que du radiomachin :-)
-- Roland Garcia
Roland Garcia
rm a écrit :
Le jeudi 4 février 2010 à 22:25, Cyrius a écrit :
On Thu, 4 Feb 2010 18:36:20 +0100, rm wrote:
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le en calc.txt.pif et jette un oeil dans l'explorateur windows :) Le fichier apparait comme calc.txt Lance le fichier via le double clic, il exécute la calculatrice... tu auras beau décocher la case "masquer les extensions de fichiers dont le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous les Windows que je peux utiliser, toutes les extensions dont les .url, .pif, .scf, .lnk :-P
Moi aussi: http://cjoint.com/data/cfaABWKgT4.htm
-- Roland Garcia
rm a écrit :
Le jeudi 4 février 2010 à 22:25, Cyrius a écrit :
On Thu, 4 Feb 2010 18:36:20 +0100, rm <ramon@opera-fr.invalid> wrote:
Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le
en calc.txt.pif et jette un oeil dans l'explorateur windows :)
Le fichier apparait comme calc.txt
Lance le fichier via le double clic, il exécute la calculatrice... tu
auras beau décocher la case "masquer les extensions de fichiers dont
le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous
les Windows que je peux utiliser, toutes les extensions dont les .url,
.pif, .scf, .lnk :-P
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le en calc.txt.pif et jette un oeil dans l'explorateur windows :) Le fichier apparait comme calc.txt Lance le fichier via le double clic, il exécute la calculatrice... tu auras beau décocher la case "masquer les extensions de fichiers dont le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous les Windows que je peux utiliser, toutes les extensions dont les .url, .pif, .scf, .lnk :-P
Moi aussi: http://cjoint.com/data/cfaABWKgT4.htm
-- Roland Garcia
bsch
Roland Garcia nous a raconté (news:) :
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet: Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech si je me souviens bien) ? Reconnues ou pas par w ? (bon, j'ai qu'à essayer, je sais ...)
J'ai essayé c'est pareil.
Ok merci
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Heu ...
et les 'exe2bin' du dos ne marchaient pas sur un vrai exe qui n'avait pas eu son org0h, même de moins de 64 ko, y'm semble. Me semble aussi qu'un *vrai* .com est une image mémoire (dos), du début à la fin (à 0x100h près), ce qui n'est pas le cas des exe, même sans parler des overlays.
Command.com n'avait une extension .COM que pour des raisons de compatibilité alors que c'était en réalité un EXE.
Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi 4DOS (version 1992, pas le no sous la main) est un hybride com+exe si je me souviens bien. Pas de signature MZ. (le tout vérifié à l'instant) Rien d'autre sous la main pour le moment
Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le premier segment mémoire si je me souviens bien (lointains souvenirs de 'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme UMB_DRVR et des chipsets qui l'acceptaient.
-- Amicalement
Bernard
Roland Garcia nous a raconté (news:4B6B3451.5040407@wanadoo.fr) :
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche
plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet:
Qu'en est-il des rares signatures ZM (spécificité des compilos
Zortech si je me souviens bien) ? Reconnues ou pas par w ?
(bon, j'ai qu'à essayer, je sais ...)
J'ai essayé c'est pareil.
Ok merci
Pour en revenir au pataquès des extensions, le PB a commencé dès
le passage des .COM aux .EXE, je crois (de mémoire) que c'est là
que les MZ sont apparus.
Heu ...
et les 'exe2bin' du dos ne marchaient pas sur un vrai exe qui n'avait
pas eu son org0h, même de moins de 64 ko, y'm semble.
Me semble aussi qu'un *vrai* .com est une image mémoire (dos), du début
à la fin (à 0x100h près), ce qui n'est pas le cas des exe, même sans
parler des overlays.
Command.com n'avait une extension .COM que pour des raisons de
compatibilité alors que c'était en réalité un EXE.
Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM
Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi
4DOS (version 1992, pas le no sous la main) est un hybride com+exe si
je me souviens bien. Pas de signature MZ.
(le tout vérifié à l'instant)
Rien d'autre sous la main pour le moment
Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le
premier segment mémoire si je me souviens bien (lointains souvenirs de
'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait
toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne
prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme
UMB_DRVR et des chipsets qui l'acceptaient.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet: Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech si je me souviens bien) ? Reconnues ou pas par w ? (bon, j'ai qu'à essayer, je sais ...)
J'ai essayé c'est pareil.
Ok merci
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Heu ...
et les 'exe2bin' du dos ne marchaient pas sur un vrai exe qui n'avait pas eu son org0h, même de moins de 64 ko, y'm semble. Me semble aussi qu'un *vrai* .com est une image mémoire (dos), du début à la fin (à 0x100h près), ce qui n'est pas le cas des exe, même sans parler des overlays.
Command.com n'avait une extension .COM que pour des raisons de compatibilité alors que c'était en réalité un EXE.
Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi 4DOS (version 1992, pas le no sous la main) est un hybride com+exe si je me souviens bien. Pas de signature MZ. (le tout vérifié à l'instant) Rien d'autre sous la main pour le moment
Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le premier segment mémoire si je me souviens bien (lointains souvenirs de 'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme UMB_DRVR et des chipsets qui l'acceptaient.
-- Amicalement
Bernard
Cyrius
On Fri, 05 Feb 2010 00:27:34 +0100, Roland Garcia wrote:
Moi aussi:
Voici ce que je vois : http://cjoint.com/?cfsdYnZurj
Pareil si je copie le fichier sur le bureau, toutes les extensions sont affichées SAUF les "pif" :-(
XP SP3
A+
On Fri, 05 Feb 2010 00:27:34 +0100, Roland Garcia
<roland-garcia@wanadoo.fr> wrote:
Moi aussi:
Voici ce que je vois : http://cjoint.com/?cfsdYnZurj
Pareil si je copie le fichier sur le bureau, toutes les extensions
sont affichées SAUF les "pif" :-(
On Fri, 05 Feb 2010 00:27:34 +0100, Roland Garcia wrote:
Moi aussi:
Voici ce que je vois : http://cjoint.com/?cfsdYnZurj
Pareil si je copie le fichier sur le bureau, toutes les extensions sont affichées SAUF les "pif" :-(
XP SP3
A+
Roland Garcia
bsch a écrit :
Command.com n'avait une extension .COM que pour des raisons de compatibilité alors que c'était en réalité un EXE.
Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi 4DOS (version 1992, pas le no sous la main) est un hybride com+exe si je me souviens bien. Pas de signature MZ. (le tout vérifié à l'instant) Rien d'autre sous la main pour le moment
Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le premier segment mémoire si je me souviens bien (lointains souvenirs de 'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme UMB_DRVR et des chipsets qui l'acceptaient.
et Pierre Vandevenne confirmait bien qu'il s'agissait d'un .EXE
Command.com n'avait une extension .COM que pour des raisons de
compatibilité alors que c'était en réalité un EXE.
Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM
Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi
4DOS (version 1992, pas le no sous la main) est un hybride com+exe si
je me souviens bien. Pas de signature MZ.
(le tout vérifié à l'instant)
Rien d'autre sous la main pour le moment
Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le
premier segment mémoire si je me souviens bien (lointains souvenirs de
'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait
toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne
prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme
UMB_DRVR et des chipsets qui l'acceptaient.
et Pierre Vandevenne confirmait bien qu'il s'agissait d'un .EXE
Command.com n'avait une extension .COM que pour des raisons de compatibilité alors que c'était en réalité un EXE.
Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi 4DOS (version 1992, pas le no sous la main) est un hybride com+exe si je me souviens bien. Pas de signature MZ. (le tout vérifié à l'instant) Rien d'autre sous la main pour le moment
Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le premier segment mémoire si je me souviens bien (lointains souvenirs de 'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme UMB_DRVR et des chipsets qui l'acceptaient.
et Pierre Vandevenne confirmait bien qu'il s'agissait d'un .EXE
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Heu ...
Je viens de retrouver un vieux document concernant la "structure of the EXE header":
offset:0 Size: 2 Name: Signature Description: These bytes are the characters M and Z in every EXE files and identify the file as an EXE file. If they are anything else, DOS will try to treat the file as a COM file.
-- Roland Garcia
bsch a écrit :
Roland Garcia nous a raconté (news:4B6B3451.5040407@wanadoo.fr) :
Pour en revenir au pataquès des extensions, le PB a commencé dès
le passage des .COM aux .EXE, je crois (de mémoire) que c'est là
que les MZ sont apparus.
Heu ...
Je viens de retrouver un vieux document concernant la "structure of the
EXE header":
offset:0
Size: 2
Name: Signature
Description: These bytes are the characters M and Z in every EXE files
and identify the file as an EXE file. If they are anything else, DOS
will try to treat the file as a COM file.
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Heu ...
Je viens de retrouver un vieux document concernant la "structure of the EXE header":
offset:0 Size: 2 Name: Signature Description: These bytes are the characters M and Z in every EXE files and identify the file as an EXE file. If they are anything else, DOS will try to treat the file as a COM file.
-- Roland Garcia
bsch
Roland Garcia nous a raconté (news:) :
bsch a écrit :
Roland Garcia nous a raconté (news:) :
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Heu ...
Je viens de retrouver un vieux document concernant la "structure of the EXE header":
offset:0 Size: 2 Name: Signature Description: These bytes are the characters M and Z in every EXE files and identify the file as an EXE file. If they are anything else, DOS will try to treat the file as a COM file.
Bonjour / Bonsoir (rayer la mention inutile)
Faut-il en conclure que les exe Zortech (signature ZM, bien peu répandus) étaient traités comme des com ? Bizarre ...
Et en parlant de *vrais* com dépassant les 64 ko il y a au moins un cas (particulier, j'admets): le 'win.com' de w31. On pouvait le patcher pour changer l'écran d'accueil, et je me souviens que le mien faisait environ 70 ko. Bon, c'était le dernier boulot du win.com qui consistait à charger l'image, donc peut-être moins regardant au lancement ...
-- Amicalement
Bernard
Roland Garcia nous a raconté (news:4B6C61DB.9080102@wanadoo.fr) :
bsch a écrit :
Roland Garcia nous a raconté (news:4B6B3451.5040407@wanadoo.fr) :
Pour en revenir au pataquès des extensions, le PB a commencé dès
le passage des .COM aux .EXE, je crois (de mémoire) que c'est là
que les MZ sont apparus.
Heu ...
Je viens de retrouver un vieux document concernant la "structure
of the EXE header":
offset:0
Size: 2
Name: Signature
Description: These bytes are the characters M and Z in every EXE
files and identify the file as an EXE file. If they are anything
else, DOS will try to treat the file as a COM file.
Bonjour / Bonsoir
(rayer la mention inutile)
Faut-il en conclure que les exe Zortech (signature ZM, bien peu
répandus) étaient traités comme des com ?
Bizarre ...
Et en parlant de *vrais* com dépassant les 64 ko il y a au moins un cas
(particulier, j'admets): le 'win.com' de w31. On pouvait le patcher
pour changer l'écran d'accueil, et je me souviens que le mien faisait
environ 70 ko. Bon, c'était le dernier boulot du win.com qui consistait
à charger l'image, donc peut-être moins regardant au lancement ...
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Heu ...
Je viens de retrouver un vieux document concernant la "structure of the EXE header":
offset:0 Size: 2 Name: Signature Description: These bytes are the characters M and Z in every EXE files and identify the file as an EXE file. If they are anything else, DOS will try to treat the file as a COM file.
Bonjour / Bonsoir (rayer la mention inutile)
Faut-il en conclure que les exe Zortech (signature ZM, bien peu répandus) étaient traités comme des com ? Bizarre ...
Et en parlant de *vrais* com dépassant les 64 ko il y a au moins un cas (particulier, j'admets): le 'win.com' de w31. On pouvait le patcher pour changer l'écran d'accueil, et je me souviens que le mien faisait environ 70 ko. Bon, c'était le dernier boulot du win.com qui consistait à charger l'image, donc peut-être moins regardant au lancement ...