J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. Aucun des deux
n'a réagit. J'ai tout de suite pensé à un virus quand Explorer n'a
plus réagit et ma CPU à 99 %. Après 3 heures de vaines recherches ,
j'ai lancé le scan manuel de AVP. D'habitude 10 minutes. Là 6h53mn à
une vitesse lamentable pour une réponse négative. Je me suis arrété à
3h30.
Lundi soir après le boulot , à 19h00 je me suis lancé dans un
recherche de diagnostique : les outils que j'ai utilisé :
1) REGCLEANER pour vérifier et effacer des clés de registre (Free)
j'ai commencé par virer InternetOptimizer mais je suis pas sur que
c'est lui.
2) SPYBOT comme spyware (Free)
A 23h00 je n'avais toujours rien trouvé
j'ai décider de mettre les moyens :
3) QUICKVIEW PLUS , un utilitaire pour visualiser les fichiers , dll
et autres en format text et Hexadécimal
4) REGMON chez www.sysinternals.com (Free) pour tracer les accès à la
registry
D'abord ne pas clicker ou lancer Explorer.
Positionner le filtre de REGMON avec explore*
lancer la capture , descendre la fenetre REGMON
clicker sur Explore
reouvir la fenetre REGMON
3 secondes suffisent pour avoir une vue du sinistre ,une magnifique
boucle sur
OpenKey HKLM\SOFTWARE\roimoi\murses SUCCESS
EnumValue HKLM\SOFTWARE\roimoi\murses NOMORE
CloseKey HKLM\SOFTWARE\roimoi\murses SUCCESS
OpenKey HKLM\SOFTWARE\roimoi\murses SUCCESS
ect ect pendant des pages et des pages.
Donc c'est bien la boucle !
Pas moyen de la stopper autrement qu'avec un reboot. Je vais voir sur
GOOGLE je trouve et surtout le groupe de discussion. C'est un TROJAN
et je suis pas le seul dans la mouise!!!!!
J'ai utilisé Regcleaner pour enlever ces clés : OK
Je relance Regmon , filtre , start capture
Je lance Explorer : idem : TOUT EST REVENU
Reboot , Relance , je change le filtre de REGMON avec roimoi* et là je
trouve une bardée d'appels murses , murses.dll , murses.exe
Je tue toutes les clés avec REGCLEANER mais il faut supprimer les
murses.dll et autres !!! et là pas de fonction Delete. Essai par le
DOS , rien, pas trouvées.
Je découvre dans SPYBOT en lançant les fonctions avancées , Outils ,
un destructeur. C'est un outil bien , sympa , facile. On peut leur
faire un don , je vais le faire de 30 Euros , c'est le prix d'un
logiciel anti mais payant (voir la polémique sur BOCLEAN)
Je détruit toutes les clés de registre , je broie toutes les
murses.xxx
je vérifie que tout est supprimé. Par mesure de précaution , je reboot
, je lance Explorer . Idem pas de réponse. Je reboot , je relance
Regmon et là oh surprise TOUT EST REVENU comme si je n'avais rien
fait. 4h40 j'arrête.
Mardi 19h00 , un stock de sandwichs et un litre de café !
Je refais toutes les manips , deux fois , toujours sans résultats. Il
y a quelque chose qui m'échappe. J'imprime la trace de REGMON. Les
séquences sont absolument identiques. Je décide de remonter les
opérations de la trace une par une. Quand vous cliquez sur une
opération ,REGMON ouvre une fenetre , lance REGEDIT et vous montre où
se trouve la clé .... Tant pis je les remonte une par une en
commençant par la fin , juste au dessus de la boucle. 4h00 plus tard
je n'ai rien trouvé sauf que les clés que j'ai eliminées avec
REGCLEANER sont recrées et plus fort avec SPYBOT (je n'en dirai jamais
assez de bien) , que j'utilise comme remplaçant de EXPLORER , les
murses.xxx que j'avais broyées se sont toutes recrées. Je n'en crois
pas mes yeux. Je refais tout.Je trouve dans la trace REGMON la
recréation des clés donc des murses.machin (ça m'énerve).
Il est 5h10 du matin. J'arrête.
Mercredi : je demande mon après midi à mon patron (RTT pour une fois
que je peux m'en servir.
Aujourd'hui 14h00. Je refais le point. Si les clés se regénerent c'est
que les programmes correspondants se recréent ! Donc il doit y en
avoir une trace.
Je retourne chez www.sysinternal.com et je descends FILEMON qui trace
les modifications de fichiers .... Je vire tout à nouveau , je reboot
, je pose le filtre sur REGMON Explore* , je lance FILEMON , je pose
le même filtre Explore* et je lance Explore. Coté REGMON c'est
toujours pareil. Coté FILEMON , à la quatrième opération , il y a un
appel à une dll : H877G2341.DLL , 15 lignes plus loin , je vois la
création des murses.machin .... Tiens tiens. J'arrête et je reboot
pour être propre.
La H877G2341.DLL est appelée dans C:\WINDOWS. Je lance QUICKVIEW et je
trouve:
DYNAMIC LINK LIBRARY
32bit for Windows 95 and Windows NT
Technical File Information:
Image File Header
Signature: 00004550
Machine: Intel 386
Number of Sections: 0004
Time Date Stamp: 402c421a
Symbols Pointer: 00000000
Number of Symbols: 00000000
Size of Optional Header 00e0
Characteristics: File is executable (i.e. no unresolved external
references).
Line numbers stripped from file.
Local symbols stripped from file.
32 bit word machine.
File is a DLL.
Image Optional Header
Magic: 010b
Linker Version: 6.00
Size of Code: 0000b000
Size of Initialized Data: 00004000
Size of Uninitialized Data: 00000000
Address of Entry Point: 00001ac8
Base of Code: 00001000
Base of Data: 0000c000
Image Base: 11000000
Section Alignment: 00001000
File Alignment: 00001000
Operating System Version: 4.00
Image Version: 1.00
Subsystem Version: 4.00
Reserved1: 00000000
Size of Image: 00010000
Size of Headers: 00001000
Checksum: 00014b58
Subsystem: Image runs in the Windows GUI subsystem.
DLL Characteristics: 0000
Size of Stack Reserve: 00100000
Size of Stack Commit: 00001000
Size of Heap Reserve: 00100000
Size of Heap Commit: 00001000
Loader Flags: 00000000
Size of Data Directory: 00000010
Export Directory Virtual Address: 0000b680
Export Directory Size: 000000a0
Import Directory Virtual Address: 0000ad04
Import Directory Size: 00000028
Resource Directory
Virtual Address: 0000d000
Resource Directory Size: 00000b24
Base Relocation Table
Virtual Address: 0000e000
Base Relocation Table Size: 00000fa8
Export Table
Name: wat.dll (pas trouvée ????)
Characteristics: 00000000
Time Date Stamp: 402c421a
Version: 0.00
Base: 00000001
Number of Functions: 00000004
Number of Names: 00000004
Ordinal Entry Point Name
0000 00003fbe DllCanUnloadNow
0001 00003f92 DllGetClassObject
0002 00003fa8 DllRegisterServer
0003 00003f7c DllUnregisterServer
Section name: .text
Virtual Size: 0000a720
Virtual Address: 00001000
Size of raw data: 0000b000
Pointer to Raw Data: 00001000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains code
Section is executable
Section is readable
Section name: .data
Virtual Size: 00000604
Virtual Address: 0000c000
Size of raw data: 00001000
Pointer to Raw Data: 0000c000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section is writeable
Section name: .rsrc
Virtual Size: 00000b24
Virtual Address: 0000d000
Size of raw data: 00001000
Pointer to Raw Data: 0000d000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section name: .reloc
Virtual Size: 00001120
Virtual Address: 0000e000
Size of raw data: 00002000
Pointer to Raw Data: 0000e000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section can be discarded
Section is readable
Header Information
Signature: 5a4d
Last Page Size: 0090
Total Pages in File: 0003
Relocation Items: 0000
Paragraphs in Header: 0004
Minimum Extra Paragraphs: 0000
Maximum Extra Paragraphs: ffff
Initial Stack Segment: 0000
Initial Stack Pointer: 00b8
Complemented Checksum: 0000
Initial Instruction Pointer: 0000
Initial Code Segment: 0000
Relocation Table Offset: 0040
Overlay Number: 0000
Reserved: 0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
Offset to New Header: 000000c0
Memory Needed: 2K
Je jette un coup d'oeil en visualisation HEXA dans le code et je vois
: roimoi , murses , jimmyhelp.CBrowserHelper , jimmyhelp.
Je dois pas être loin.... Je relance REGCLEANER , REGEDIT en cherchant
'jimmy' et je trouve une armée de clés qui pointent les une sur les
autres ......et sur H877H2341.DLL. Je fais une copie de H877H2341.DLL
en G877G2341 et je supprime à nouveau toutes les clés roimoi , murses
, jimmy . Je reboot , je lancer Explore .... pareil. P..... je vais
devenir fou ! Il y encore un truc. Je recharge tout REGMON , FILEMON
avec pour filtre Explore*. Je trouve dans FILEMON l'appel à un
programme csU2.exe qui serait dans mon démarrage (clé RUN). Je lance
SPYBOT fonction avancée , Outils , liste de démarrage : il est bien là
l'enf..... ! Avec ce bel outil SPYBOT , je supprime cette ligne de mon
démarrage. Je regarde avec QUICKVIEW : il a été écrit en Visual Studio
VB98 et c'est lui le PERE qui regénere tout.
Je re-nettoye tout , je reboot , je lance EXPLORE :
CA MARCHE A NOUVEAU . Il est 22h40 j'essaie le panneau de
configuration c'est OK , je passe AVP c'est tout bon 11 minutes !!!!!!
Je m'offre un GRAND bourbon , ce soir je ne conduis pas...
J'ai renommé csU2.exe en copcsU2.exe. Ah la date est bien celle de
dimanche pour H877H2341.DLL idem.
Je sais j'ai été long mais ça fais presque 40 heures que je suis après
....
Mon conseil , dans l'ordre :
Chargez les outils , surtout SPYBOT et si vous avez quelques sous ,
faites leur un don vous ne le regretterez pas.
Avec SPYBOT fonction avancée : liste de démarrage
1) virez les lignes 'bizarres' dans la liste
NsUpdate "C:\Windows\NsUpdate.exe UPDATE"
(j'ai un doute connais pas ? je l'avais pas
avant !)
sys "regedit -s sysdll.reg" ????
zIXv2b "C:\WINDOWS\csU2.exe"
2) passez au déchiqueteur SPYBOT : csU2.exe et H877H2341.DLL
3) avec Regcleaner ou Regedit virez les clés roimoi et les clés dont
voici la liste
HKEY_CLASSES_ROOT\CLSID\{FE909C6D-E503-4062-A811-8B55B8D95EE8}
HKEY_CLASSES_ROOT\CLSID\{FE909C6D-E503-4062-A811-8B55B8D95EE8}\InprocServer32
[defaut] "C:\WINDOWS\H877H2341.DLL"
HKEY_CLASSES_ROOT\CLSID\{FE909C6D-E503-4062-A811-8B55B8D95EE8}\ProgID
[defaut] "jimmyhelp.CBrowserHelper"
HKEY_CLASSES_ROOT\CLSID\{FE909C6D-E503-4062-A811-8B55B8D95EE8}\TypeLib
[defaut] "{2862413C-6D86-4644-B1E1-088B975EFDB8}"
Voila : C'est sur ma machine . Je ne sais pas si vous aurez exactement
les mêmes clés et les mêmes dll. Si ça ne marche pas , j'espère que ma
démarche pourra servir à d'autres....
Je suis tolérant mais il y a vraiment des malfaisants.
Trop qui font CHIER les autres en ce bas monde.
J'ai les copies des programmes et images des captures d'écran que je
ne peux pas attacher.
Si vous les voulez ou vous êtes intéressé par voir ce que contiennent
les deux modules pourris , laissez moi votre email pour vous les
envoyer mais faites attention !!!!!!
J'ai quand même 2 questions sans réponse :
Par où a put provenir cette vacherie ,car je n'ai pas de messagerie
client (OUTLOOK) ?
Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile.
Je crois encore à la solidarité.
Bien à Vous.
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de LMSOFT.... [..]
Nite,
L'essentiel est que le problème soit résolut mais tu aurais gagné énormément de temps en utilisant HijackThis de Merijn.
Pour info, la version 1.3beta6 de SPSD est sortie il y a qq jours.
Très probablement lors de la visite d'une page Web avec IE (warez ou cul) à l'aide d'un ActiveX. C'est un polymorphe et très peu d'AV/A sont capable de les détecter/éradiquer. Sous réserve de vérification, KAV, TDS-3 et TrojanHunter devraient également pouvoir l'éradiquer en plus de BoClean ainsi que SPSD si v indiquée plus haut . Il y a au moins 25 variantes différentes depuis le 20 février.
Pas possible au vu de tes headers de savoir si ton OS est à jour. Voir aussi si les zones de sécurité IE sont configurées de façon sécuritaire.
Peux-tu STP m'envoyer les fichiers concernés, je ferai suivre à différents éditeurs. -- http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ *Helping you void your warranty since 2000* ---***ANTISPAM***--- add *optimix* in subject line if first PM - ajouter *optimix* dans l'objet si 1er MP @(*0*)@ JacK
sur les news:347d3cd4.0402251558.736c1afb@posting.google.com,
RILECFE <rhudson@tiscali.fr> signalait:
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
[..]
Nite,
L'essentiel est que le problème soit résolut mais tu aurais gagné énormément
de temps en utilisant HijackThis de Merijn.
Pour info, la version 1.3beta6 de SPSD est sortie il y a qq jours.
Très probablement lors de la visite d'une page Web avec IE (warez ou cul) à
l'aide d'un ActiveX. C'est un polymorphe et très peu d'AV/A sont capable de
les détecter/éradiquer. Sous réserve de vérification, KAV, TDS-3 et
TrojanHunter devraient également pouvoir l'éradiquer en plus de BoClean
ainsi que SPSD si v indiquée plus haut . Il
y a au moins 25 variantes différentes depuis le 20 février.
Pas possible au vu de tes headers de savoir si ton OS est à jour. Voir
aussi si les zones de sécurité IE sont configurées de façon sécuritaire.
Peux-tu STP m'envoyer les fichiers concernés, je ferai suivre à différents
éditeurs.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
add *optimix* in subject line if first PM - ajouter *optimix* dans l'objet
si 1er MP
@(*0*)@ JacK
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de LMSOFT.... [..]
Nite,
L'essentiel est que le problème soit résolut mais tu aurais gagné énormément de temps en utilisant HijackThis de Merijn.
Pour info, la version 1.3beta6 de SPSD est sortie il y a qq jours.
Très probablement lors de la visite d'une page Web avec IE (warez ou cul) à l'aide d'un ActiveX. C'est un polymorphe et très peu d'AV/A sont capable de les détecter/éradiquer. Sous réserve de vérification, KAV, TDS-3 et TrojanHunter devraient également pouvoir l'éradiquer en plus de BoClean ainsi que SPSD si v indiquée plus haut . Il y a au moins 25 variantes différentes depuis le 20 février.
Pas possible au vu de tes headers de savoir si ton OS est à jour. Voir aussi si les zones de sécurité IE sont configurées de façon sécuritaire.
Peux-tu STP m'envoyer les fichiers concernés, je ferai suivre à différents éditeurs. -- http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ *Helping you void your warranty since 2000* ---***ANTISPAM***--- add *optimix* in subject line if first PM - ajouter *optimix* dans l'objet si 1er MP @(*0*)@ JacK
Claude LaFrenière
Le 25 Feb 2004 15:58:20 -0800 dans le msg <news:
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de LMSOFT.... Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. etc etc
J'ai quand même 2 questions sans réponse : Par où a put provenir cette vacherie ,car je n'ai pas de messagerie client (OUTLOOK) ? Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile. Je crois encore à la solidarité. Bien à Vous.
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
Pourquoi le "machin" n'a pas été détecté ( en particulier par Kaspersky , ce qui est très étonnant !) ? Hypothèse :Un malware bidouillé au point d'être méconnaissable ( pas de signature reconnaissable )
D'où provient-il ? Hypothèse : le "crack" pour Webcreator peut-être ?
Pourquoi ne pas faire parvenir une copie de ce malware à Kaspersky pour fin d'analyse ? Je pense que les PRO de Kaspersky Lab pourraient mieux vous renseigner là-dessus et venir en aide à ceux qui attraperaient ce machin...
Salut fraternel à toi aussi ( et soit prudent )
-- Claude LaFrenière 2004-02-25 19:26:09 EDT http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel) PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.» Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger : http://cerbermail.com/?Oh14QiaR2y Pour m'envoyer une carte d'insultes (Balai à chiotte,enfoiré etc): http://www.waloa.com/Cartes/?r=Insultes&m
Le 25 Feb 2004 15:58:20 -0800
dans le msg <news:347d3cd4.0402251558.736c1afb@posting.google.com>
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5.
etc etc
J'ai quand même 2 questions sans réponse :
Par où a put provenir cette vacherie ,car je n'ai pas de messagerie
client (OUTLOOK) ?
Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile.
Je crois encore à la solidarité.
Bien à Vous.
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
Pourquoi le "machin" n'a pas été détecté ( en particulier par Kaspersky ,
ce qui est très étonnant !) ?
Hypothèse :Un malware bidouillé au point d'être méconnaissable ( pas de
signature reconnaissable )
D'où provient-il ?
Hypothèse : le "crack" pour Webcreator peut-être ?
Pourquoi ne pas faire parvenir une copie de ce malware à Kaspersky pour fin
d'analyse ? Je pense que les PRO de Kaspersky Lab pourraient mieux vous
renseigner là-dessus et venir en aide à ceux qui attraperaient ce machin...
Salut fraternel à toi aussi ( et soit prudent )
--
Claude LaFrenière 2004-02-25 19:26:09 EDT
http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel)
PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.»
Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger :
http://cerbermail.com/?Oh14QiaR2y
Pour m'envoyer une carte d'insultes (Balai à chiotte,enfoiré etc):
http://www.waloa.com/Cartes/?r=Insultes&m
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de LMSOFT.... Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. etc etc
J'ai quand même 2 questions sans réponse : Par où a put provenir cette vacherie ,car je n'ai pas de messagerie client (OUTLOOK) ? Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile. Je crois encore à la solidarité. Bien à Vous.
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
Pourquoi le "machin" n'a pas été détecté ( en particulier par Kaspersky , ce qui est très étonnant !) ? Hypothèse :Un malware bidouillé au point d'être méconnaissable ( pas de signature reconnaissable )
D'où provient-il ? Hypothèse : le "crack" pour Webcreator peut-être ?
Pourquoi ne pas faire parvenir une copie de ce malware à Kaspersky pour fin d'analyse ? Je pense que les PRO de Kaspersky Lab pourraient mieux vous renseigner là-dessus et venir en aide à ceux qui attraperaient ce machin...
Salut fraternel à toi aussi ( et soit prudent )
-- Claude LaFrenière 2004-02-25 19:26:09 EDT http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel) PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.» Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger : http://cerbermail.com/?Oh14QiaR2y Pour m'envoyer une carte d'insultes (Balai à chiotte,enfoiré etc): http://www.waloa.com/Cartes/?r=Insultes&m
Artic-C
*Hello Claude LaFrenière* qui nous a dit/ Who told us :
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une
patience que je n'ai pas du tout.
Alors, bravo aussi de ma part
*Hello Claude LaFrenière* qui nous a dit/ Who told us :
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une
*Hello Claude LaFrenière* qui nous a dit/ Who told us :
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une
patience que je n'ai pas du tout.
Alors, bravo aussi de ma part
daniel M.
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
Moi je me demande pourquoi il a un ordinateur ce gars la, vu qu'il en est un à lui tout seul ! Comment a t'il pû mémoriser ces 40 heures de boulot avec autant de détails et de précision ????? moi aussi je suis ébahi et admiratif d'un tel cerveau! tu diras merci à tes parents! En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire un backup journalier sur un disque dur branché sur une usb2 et de tout reinstaller en un clin d'oeil en cas de pepin de ce genre? bien cordialement daniel
*Hello Claude LaFrenière* qui nous a dit/ Who told us :
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une
patience que je n'ai pas du tout.
Alors, bravo aussi de ma part
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
Moi je me demande pourquoi il a un ordinateur ce gars la, vu qu'il en est un
à lui tout seul !
Comment a t'il pû mémoriser ces 40 heures de boulot avec autant de détails
et de précision ?????
moi aussi je suis ébahi et admiratif d'un tel cerveau! tu diras merci à tes
parents!
En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire
un backup journalier sur un disque dur branché sur une usb2 et de tout
reinstaller en un clin d'oeil en cas de pepin de ce genre?
bien cordialement
daniel
Je suis impressionné par votre patience et votre débrouillardise.
Moi je me demande pourquoi il a un ordinateur ce gars la, vu qu'il en est un à lui tout seul ! Comment a t'il pû mémoriser ces 40 heures de boulot avec autant de détails et de précision ????? moi aussi je suis ébahi et admiratif d'un tel cerveau! tu diras merci à tes parents! En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire un backup journalier sur un disque dur branché sur une usb2 et de tout reinstaller en un clin d'oeil en cas de pepin de ce genre? bien cordialement daniel
*Hello Claude LaFrenière* qui nous a dit/ Who told us :
Bonsoir RILECFE :-)
Eh bien quelle aventure !
Je suis impressionné par votre patience et votre débrouillardise.
A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une
patience que je n'ai pas du tout.
Alors, bravo aussi de ma part
Claude LaFrenière
Le Thu, 26 Feb 2004 03:14:44 +0100 dans le msg <news:#oJiQ5A$
En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire un backup journalier sur un disque dur branché sur une usb2 et de tout reinstaller en un clin d'oeil en cas de pepin de ce genre?
Salut Daniel :-)
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Par exemple : l'autre jour je consultait le site d'assiste.com et j'ai trouvé un "tweak" plutôt ingénieux pour éviter d'installer à son insu qq chose en navigant.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...
Pour ce qui est du backup : bonne idée mais la restauration n'éradiquera pas ( pas nécessairement ) le malware ...
Quand je pense à tout ce que j'ai testé et installé sur mon PC en fait de protection je me dis que c'est trop compliqué pour la plupart des utilisateurs de Windows...
Ce que ça prendrait ce serait un "package" de sécurité" qui centraliserait tous les contrôles de sécurité en permettant des paramétrages mettons du niveau "débutant" jusqu'à l'utilisateur avancé.
Voilà un projet qui qui pourrait mettre l'informatique de langue française à l'avant-garde au lieu d'être toujours à la traîne...
Mais là je rêve... (soupirs...)
Amicalement.
-- Claude LaFrenière 2004-02-25 21:51:23 EST http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel) PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.» Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger : http://cerbermail.com/?Oh14QiaR2y Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc): http://www.waloa.com/Cartes/?r=Insultes&m
Le Thu, 26 Feb 2004 03:14:44 +0100
dans le msg <news:#oJiQ5A$DHA.916@TK2MSFTNGP10.phx.gbl>
En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire
un backup journalier sur un disque dur branché sur une usb2 et de tout
reinstaller en un clin d'oeil en cas de pepin de ce genre?
Salut Daniel :-)
Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.
Par exemple : l'autre jour je consultait le site d'assiste.com et j'ai
trouvé un "tweak" plutôt ingénieux pour éviter d'installer à son insu qq
chose en navigant.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au
système elles ont été repérées par TUN et peuvent être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...
Pour ce qui est du backup : bonne idée mais la restauration n'éradiquera
pas ( pas nécessairement ) le malware ...
Quand je pense à tout ce que j'ai testé et installé sur mon PC en fait de
protection je me dis que c'est trop compliqué pour la plupart des
utilisateurs de Windows...
Ce que ça prendrait ce serait un "package" de sécurité" qui centraliserait
tous les contrôles de sécurité en permettant des paramétrages mettons du
niveau "débutant" jusqu'à l'utilisateur avancé.
Voilà un projet qui qui pourrait mettre l'informatique de langue française
à l'avant-garde au lieu d'être toujours à la traîne...
Mais là je rêve... (soupirs...)
Amicalement.
--
Claude LaFrenière 2004-02-25 21:51:23 EST
http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel)
PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.»
Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger :
http://cerbermail.com/?Oh14QiaR2y
Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc):
http://www.waloa.com/Cartes/?r=Insultes&m
Le Thu, 26 Feb 2004 03:14:44 +0100 dans le msg <news:#oJiQ5A$
En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire un backup journalier sur un disque dur branché sur une usb2 et de tout reinstaller en un clin d'oeil en cas de pepin de ce genre?
Salut Daniel :-)
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Par exemple : l'autre jour je consultait le site d'assiste.com et j'ai trouvé un "tweak" plutôt ingénieux pour éviter d'installer à son insu qq chose en navigant.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...
Pour ce qui est du backup : bonne idée mais la restauration n'éradiquera pas ( pas nécessairement ) le malware ...
Quand je pense à tout ce que j'ai testé et installé sur mon PC en fait de protection je me dis que c'est trop compliqué pour la plupart des utilisateurs de Windows...
Ce que ça prendrait ce serait un "package" de sécurité" qui centraliserait tous les contrôles de sécurité en permettant des paramétrages mettons du niveau "débutant" jusqu'à l'utilisateur avancé.
Voilà un projet qui qui pourrait mettre l'informatique de langue française à l'avant-garde au lieu d'être toujours à la traîne...
Mais là je rêve... (soupirs...)
Amicalement.
-- Claude LaFrenière 2004-02-25 21:51:23 EST http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel) PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.» Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger : http://cerbermail.com/?Oh14QiaR2y Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc): http://www.waloa.com/Cartes/?r=Insultes&m
numéro 6
salut, ben t'as du courage...bravo cela étant j'avais donné la soluce au problème autour du 15/2 sur ce NG j'ai eu cette infection le 9/2 et n'ai pu l'éradiquer que le 15/2 pour ma part je n'ai pratiquement utilisé que spybot pour trouver les noms de clés en particulier les CLSID. Le reste je l'ai fait à la main avec regedit et suppression manuelle des clés après lu leur contenu (dont les noms des dll qui changent effectivement d'une machine à l'autre). J'ai eu la petite rechute aussi (un truc que j'avais oublié de supprimer :) ).Une piqûre de rappel et c'en était définitivement fini de ce truc. J'ai fait un mail à ciment-teck : pas de réponse... cordialement numéro6
"RILECFE" a écrit dans le message de news:
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de LMSOFT.... Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. Aucun des deux n'a réagit. J'ai tout de suite pensé à un virus quand Explorer n'a plus réagit et ma CPU à 99 %. Après 3 heures de vaines recherches , j'ai lancé le scan manuel de AVP. D'habitude 10 minutes. Là 6h53mn à une vitesse lamentable pour une réponse négative. Je me suis arrété à 3h30. Lundi soir après le boulot , à 19h00 je me suis lancé dans un recherche de diagnostique : les outils que j'ai utilisé : 1) REGCLEANER pour vérifier et effacer des clés de registre (Free) j'ai commencé par virer InternetOptimizer mais je suis pas sur que c'est lui. 2) SPYBOT comme spyware (Free) A 23h00 je n'avais toujours rien trouvé j'ai décider de mettre les moyens : 3) QUICKVIEW PLUS , un utilitaire pour visualiser les fichiers , dll et autres en format text et Hexadécimal 4) REGMON chez www.sysinternals.com (Free) pour tracer les accès à la registry D'abord ne pas clicker ou lancer Explorer. Positionner le filtre de REGMON avec explore* lancer la capture , descendre la fenetre REGMON clicker sur Explore reouvir la fenetre REGMON 3 secondes suffisent pour avoir une vue du sinistre ,une magnifique boucle sur OpenKey HKLMSOFTWAREroimoimurses SUCCESS EnumValue HKLMSOFTWAREroimoimurses NOMORE CloseKey HKLMSOFTWAREroimoimurses SUCCESS OpenKey HKLMSOFTWAREroimoimurses SUCCESS ect ect pendant des pages et des pages. Donc c'est bien la boucle ! Pas moyen de la stopper autrement qu'avec un reboot. Je vais voir sur GOOGLE je trouve et surtout le groupe de discussion. C'est un TROJAN et je suis pas le seul dans la mouise!!!!! J'ai utilisé Regcleaner pour enlever ces clés : OK Je relance Regmon , filtre , start capture Je lance Explorer : idem : TOUT EST REVENU Reboot , Relance , je change le filtre de REGMON avec roimoi* et là je trouve une bardée d'appels murses , murses.dll , murses.exe Je tue toutes les clés avec REGCLEANER mais il faut supprimer les murses.dll et autres !!! et là pas de fonction Delete. Essai par le DOS , rien, pas trouvées. Je découvre dans SPYBOT en lançant les fonctions avancées , Outils , un destructeur. C'est un outil bien , sympa , facile. On peut leur faire un don , je vais le faire de 30 Euros , c'est le prix d'un logiciel anti mais payant (voir la polémique sur BOCLEAN) Je détruit toutes les clés de registre , je broie toutes les murses.xxx je vérifie que tout est supprimé. Par mesure de précaution , je reboot , je lance Explorer . Idem pas de réponse. Je reboot , je relance Regmon et là oh surprise TOUT EST REVENU comme si je n'avais rien fait. 4h40 j'arrête. Mardi 19h00 , un stock de sandwichs et un litre de café ! Je refais toutes les manips , deux fois , toujours sans résultats. Il y a quelque chose qui m'échappe. J'imprime la trace de REGMON. Les séquences sont absolument identiques. Je décide de remonter les opérations de la trace une par une. Quand vous cliquez sur une opération ,REGMON ouvre une fenetre , lance REGEDIT et vous montre où se trouve la clé .... Tant pis je les remonte une par une en commençant par la fin , juste au dessus de la boucle. 4h00 plus tard je n'ai rien trouvé sauf que les clés que j'ai eliminées avec REGCLEANER sont recrées et plus fort avec SPYBOT (je n'en dirai jamais assez de bien) , que j'utilise comme remplaçant de EXPLORER , les murses.xxx que j'avais broyées se sont toutes recrées. Je n'en crois pas mes yeux. Je refais tout.Je trouve dans la trace REGMON la recréation des clés donc des murses.machin (ça m'énerve). Il est 5h10 du matin. J'arrête. Mercredi : je demande mon après midi à mon patron (RTT pour une fois que je peux m'en servir. Aujourd'hui 14h00. Je refais le point. Si les clés se regénerent c'est que les programmes correspondants se recréent ! Donc il doit y en avoir une trace. Je retourne chez www.sysinternal.com et je descends FILEMON qui trace les modifications de fichiers .... Je vire tout à nouveau , je reboot , je pose le filtre sur REGMON Explore* , je lance FILEMON , je pose le même filtre Explore* et je lance Explore. Coté REGMON c'est toujours pareil. Coté FILEMON , à la quatrième opération , il y a un appel à une dll : H877G2341.DLL , 15 lignes plus loin , je vois la création des murses.machin .... Tiens tiens. J'arrête et je reboot pour être propre. La H877G2341.DLL est appelée dans C:WINDOWS. Je lance QUICKVIEW et je trouve: DYNAMIC LINK LIBRARY 32bit for Windows 95 and Windows NT
Technical File Information:
Image File Header
Signature: 00004550 Machine: Intel 386 Number of Sections: 0004 Time Date Stamp: 402c421a Symbols Pointer: 00000000 Number of Symbols: 00000000 Size of Optional Header 00e0 Characteristics: File is executable (i.e. no unresolved external references). Line numbers stripped from file. Local symbols stripped from file. 32 bit word machine. File is a DLL.
Image Optional Header
Magic: 010b Linker Version: 6.00 Size of Code: 0000b000 Size of Initialized Data: 00004000 Size of Uninitialized Data: 00000000 Address of Entry Point: 00001ac8 Base of Code: 00001000 Base of Data: 0000c000 Image Base: 11000000 Section Alignment: 00001000 File Alignment: 00001000 Operating System Version: 4.00 Image Version: 1.00 Subsystem Version: 4.00 Reserved1: 00000000 Size of Image: 00010000 Size of Headers: 00001000 Checksum: 00014b58 Subsystem: Image runs in the Windows GUI subsystem. DLL Characteristics: 0000 Size of Stack Reserve: 00100000 Size of Stack Commit: 00001000 Size of Heap Reserve: 00100000 Size of Heap Commit: 00001000 Loader Flags: 00000000 Size of Data Directory: 00000010 Export Directory Virtual Address: 0000b680 Export Directory Size: 000000a0 Import Directory Virtual Address: 0000ad04 Import Directory Size: 00000028 Resource Directory Virtual Address: 0000d000 Resource Directory Size: 00000b24 Base Relocation Table Virtual Address: 0000e000 Base Relocation Table Size: 00000fa8
Export Table
Name: wat.dll (pas trouvée ????) Characteristics: 00000000 Time Date Stamp: 402c421a Version: 0.00 Base: 00000001 Number of Functions: 00000004 Number of Names: 00000004
Ordinal Entry Point Name 0000 00003fbe DllCanUnloadNow 0001 00003f92 DllGetClassObject 0002 00003fa8 DllRegisterServer 0003 00003f7c DllUnregisterServer
Section name: .text Virtual Size: 0000a720 Virtual Address: 00001000 Size of raw data: 0000b000 Pointer to Raw Data: 00001000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains code Section is executable Section is readable
Section name: .data Virtual Size: 00000604 Virtual Address: 0000c000 Size of raw data: 00001000 Pointer to Raw Data: 0000c000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains initialized data Section is readable Section is writeable
Section name: .rsrc Virtual Size: 00000b24 Virtual Address: 0000d000 Size of raw data: 00001000 Pointer to Raw Data: 0000d000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains initialized data Section is readable
Section name: .reloc Virtual Size: 00001120 Virtual Address: 0000e000 Size of raw data: 00002000 Pointer to Raw Data: 0000e000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains initialized data Section can be discarded Section is readable
Header Information
Signature: 5a4d Last Page Size: 0090 Total Pages in File: 0003 Relocation Items: 0000 Paragraphs in Header: 0004 Minimum Extra Paragraphs: 0000 Maximum Extra Paragraphs: ffff Initial Stack Segment: 0000 Initial Stack Pointer: 00b8 Complemented Checksum: 0000 Initial Instruction Pointer: 0000 Initial Code Segment: 0000 Relocation Table Offset: 0040 Overlay Number: 0000 Reserved: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 Offset to New Header: 000000c0 Memory Needed: 2K
Je jette un coup d'oeil en visualisation HEXA dans le code et je vois : roimoi , murses , jimmyhelp.CBrowserHelper , jimmyhelp. Je dois pas être loin.... Je relance REGCLEANER , REGEDIT en cherchant 'jimmy' et je trouve une armée de clés qui pointent les une sur les autres ......et sur H877H2341.DLL. Je fais une copie de H877H2341.DLL en G877G2341 et je supprime à nouveau toutes les clés roimoi , murses , jimmy . Je reboot , je lancer Explore .... pareil. P..... je vais devenir fou ! Il y encore un truc. Je recharge tout REGMON , FILEMON avec pour filtre Explore*. Je trouve dans FILEMON l'appel à un programme csU2.exe qui serait dans mon démarrage (clé RUN). Je lance SPYBOT fonction avancée , Outils , liste de démarrage : il est bien là l'enf..... ! Avec ce bel outil SPYBOT , je supprime cette ligne de mon démarrage. Je regarde avec QUICKVIEW : il a été écrit en Visual Studio VB98 et c'est lui le PERE qui regénere tout. Je re-nettoye tout , je reboot , je lance EXPLORE : CA MARCHE A NOUVEAU . Il est 22h40 j'essaie le panneau de configuration c'est OK , je passe AVP c'est tout bon 11 minutes !!!!!! Je m'offre un GRAND bourbon , ce soir je ne conduis pas... J'ai renommé csU2.exe en copcsU2.exe. Ah la date est bien celle de dimanche pour H877H2341.DLL idem. Je sais j'ai été long mais ça fais presque 40 heures que je suis après .... Mon conseil , dans l'ordre : Chargez les outils , surtout SPYBOT et si vous avez quelques sous , faites leur un don vous ne le regretterez pas. Avec SPYBOT fonction avancée : liste de démarrage 1) virez les lignes 'bizarres' dans la liste NsUpdate "C:WindowsNsUpdate.exe UPDATE" (j'ai un doute connais pas ? je l'avais pas avant !) sys "regedit -s sysdll.reg" ???? zIXv2b "C:WINDOWScsU2.exe"
2) passez au déchiqueteur SPYBOT : csU2.exe et H877H2341.DLL 3) avec Regcleaner ou Regedit virez les clés roimoi et les clés dont voici la liste HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}
Voila : C'est sur ma machine . Je ne sais pas si vous aurez exactement les mêmes clés et les mêmes dll. Si ça ne marche pas , j'espère que ma démarche pourra servir à d'autres....
Je suis tolérant mais il y a vraiment des malfaisants. Trop qui font CHIER les autres en ce bas monde.
J'ai les copies des programmes et images des captures d'écran que je ne peux pas attacher. Si vous les voulez ou vous êtes intéressé par voir ce que contiennent les deux modules pourris , laissez moi votre email pour vous les envoyer mais faites attention !!!!!!
J'ai quand même 2 questions sans réponse : Par où a put provenir cette vacherie ,car je n'ai pas de messagerie client (OUTLOOK) ? Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile. Je crois encore à la solidarité. Bien à Vous.
salut,
ben t'as du courage...bravo
cela étant j'avais donné la soluce au problème autour du 15/2 sur ce NG
j'ai eu cette infection le 9/2 et n'ai pu l'éradiquer que le 15/2
pour ma part je n'ai pratiquement utilisé que spybot pour trouver les noms
de clés en particulier les CLSID. Le reste je l'ai fait à la main avec
regedit et suppression manuelle des clés après lu leur contenu (dont les
noms des dll qui changent effectivement d'une machine à l'autre). J'ai eu la
petite rechute aussi (un truc que j'avais oublié de supprimer :) ).Une
piqûre de rappel et c'en était définitivement fini de ce truc.
J'ai fait un mail à ciment-teck : pas de réponse...
cordialement
numéro6
"RILECFE" <rhudson@tiscali.fr> a écrit dans le message de
news:347d3cd4.0402251558.736c1afb@posting.google.com...
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. Aucun des deux
n'a réagit. J'ai tout de suite pensé à un virus quand Explorer n'a
plus réagit et ma CPU à 99 %. Après 3 heures de vaines recherches ,
j'ai lancé le scan manuel de AVP. D'habitude 10 minutes. Là 6h53mn à
une vitesse lamentable pour une réponse négative. Je me suis arrété à
3h30.
Lundi soir après le boulot , à 19h00 je me suis lancé dans un
recherche de diagnostique : les outils que j'ai utilisé :
1) REGCLEANER pour vérifier et effacer des clés de registre (Free)
j'ai commencé par virer InternetOptimizer mais je suis pas sur que
c'est lui.
2) SPYBOT comme spyware (Free)
A 23h00 je n'avais toujours rien trouvé
j'ai décider de mettre les moyens :
3) QUICKVIEW PLUS , un utilitaire pour visualiser les fichiers , dll
et autres en format text et Hexadécimal
4) REGMON chez www.sysinternals.com (Free) pour tracer les accès à la
registry
D'abord ne pas clicker ou lancer Explorer.
Positionner le filtre de REGMON avec explore*
lancer la capture , descendre la fenetre REGMON
clicker sur Explore
reouvir la fenetre REGMON
3 secondes suffisent pour avoir une vue du sinistre ,une magnifique
boucle sur
OpenKey HKLMSOFTWAREroimoimurses SUCCESS
EnumValue HKLMSOFTWAREroimoimurses NOMORE
CloseKey HKLMSOFTWAREroimoimurses SUCCESS
OpenKey HKLMSOFTWAREroimoimurses SUCCESS
ect ect pendant des pages et des pages.
Donc c'est bien la boucle !
Pas moyen de la stopper autrement qu'avec un reboot. Je vais voir sur
GOOGLE je trouve et surtout le groupe de discussion. C'est un TROJAN
et je suis pas le seul dans la mouise!!!!!
J'ai utilisé Regcleaner pour enlever ces clés : OK
Je relance Regmon , filtre , start capture
Je lance Explorer : idem : TOUT EST REVENU
Reboot , Relance , je change le filtre de REGMON avec roimoi* et là je
trouve une bardée d'appels murses , murses.dll , murses.exe
Je tue toutes les clés avec REGCLEANER mais il faut supprimer les
murses.dll et autres !!! et là pas de fonction Delete. Essai par le
DOS , rien, pas trouvées.
Je découvre dans SPYBOT en lançant les fonctions avancées , Outils ,
un destructeur. C'est un outil bien , sympa , facile. On peut leur
faire un don , je vais le faire de 30 Euros , c'est le prix d'un
logiciel anti mais payant (voir la polémique sur BOCLEAN)
Je détruit toutes les clés de registre , je broie toutes les
murses.xxx
je vérifie que tout est supprimé. Par mesure de précaution , je reboot
, je lance Explorer . Idem pas de réponse. Je reboot , je relance
Regmon et là oh surprise TOUT EST REVENU comme si je n'avais rien
fait. 4h40 j'arrête.
Mardi 19h00 , un stock de sandwichs et un litre de café !
Je refais toutes les manips , deux fois , toujours sans résultats. Il
y a quelque chose qui m'échappe. J'imprime la trace de REGMON. Les
séquences sont absolument identiques. Je décide de remonter les
opérations de la trace une par une. Quand vous cliquez sur une
opération ,REGMON ouvre une fenetre , lance REGEDIT et vous montre où
se trouve la clé .... Tant pis je les remonte une par une en
commençant par la fin , juste au dessus de la boucle. 4h00 plus tard
je n'ai rien trouvé sauf que les clés que j'ai eliminées avec
REGCLEANER sont recrées et plus fort avec SPYBOT (je n'en dirai jamais
assez de bien) , que j'utilise comme remplaçant de EXPLORER , les
murses.xxx que j'avais broyées se sont toutes recrées. Je n'en crois
pas mes yeux. Je refais tout.Je trouve dans la trace REGMON la
recréation des clés donc des murses.machin (ça m'énerve).
Il est 5h10 du matin. J'arrête.
Mercredi : je demande mon après midi à mon patron (RTT pour une fois
que je peux m'en servir.
Aujourd'hui 14h00. Je refais le point. Si les clés se regénerent c'est
que les programmes correspondants se recréent ! Donc il doit y en
avoir une trace.
Je retourne chez www.sysinternal.com et je descends FILEMON qui trace
les modifications de fichiers .... Je vire tout à nouveau , je reboot
, je pose le filtre sur REGMON Explore* , je lance FILEMON , je pose
le même filtre Explore* et je lance Explore. Coté REGMON c'est
toujours pareil. Coté FILEMON , à la quatrième opération , il y a un
appel à une dll : H877G2341.DLL , 15 lignes plus loin , je vois la
création des murses.machin .... Tiens tiens. J'arrête et je reboot
pour être propre.
La H877G2341.DLL est appelée dans C:WINDOWS. Je lance QUICKVIEW et je
trouve:
DYNAMIC LINK LIBRARY
32bit for Windows 95 and Windows NT
Technical File Information:
Image File Header
Signature: 00004550
Machine: Intel 386
Number of Sections: 0004
Time Date Stamp: 402c421a
Symbols Pointer: 00000000
Number of Symbols: 00000000
Size of Optional Header 00e0
Characteristics: File is executable (i.e. no unresolved external
references).
Line numbers stripped from file.
Local symbols stripped from file.
32 bit word machine.
File is a DLL.
Image Optional Header
Magic: 010b
Linker Version: 6.00
Size of Code: 0000b000
Size of Initialized Data: 00004000
Size of Uninitialized Data: 00000000
Address of Entry Point: 00001ac8
Base of Code: 00001000
Base of Data: 0000c000
Image Base: 11000000
Section Alignment: 00001000
File Alignment: 00001000
Operating System Version: 4.00
Image Version: 1.00
Subsystem Version: 4.00
Reserved1: 00000000
Size of Image: 00010000
Size of Headers: 00001000
Checksum: 00014b58
Subsystem: Image runs in the Windows GUI subsystem.
DLL Characteristics: 0000
Size of Stack Reserve: 00100000
Size of Stack Commit: 00001000
Size of Heap Reserve: 00100000
Size of Heap Commit: 00001000
Loader Flags: 00000000
Size of Data Directory: 00000010
Export Directory Virtual Address: 0000b680
Export Directory Size: 000000a0
Import Directory Virtual Address: 0000ad04
Import Directory Size: 00000028
Resource Directory
Virtual Address: 0000d000
Resource Directory Size: 00000b24
Base Relocation Table
Virtual Address: 0000e000
Base Relocation Table Size: 00000fa8
Export Table
Name: wat.dll (pas trouvée ????)
Characteristics: 00000000
Time Date Stamp: 402c421a
Version: 0.00
Base: 00000001
Number of Functions: 00000004
Number of Names: 00000004
Ordinal Entry Point Name
0000 00003fbe DllCanUnloadNow
0001 00003f92 DllGetClassObject
0002 00003fa8 DllRegisterServer
0003 00003f7c DllUnregisterServer
Section name: .text
Virtual Size: 0000a720
Virtual Address: 00001000
Size of raw data: 0000b000
Pointer to Raw Data: 00001000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains code
Section is executable
Section is readable
Section name: .data
Virtual Size: 00000604
Virtual Address: 0000c000
Size of raw data: 00001000
Pointer to Raw Data: 0000c000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section is writeable
Section name: .rsrc
Virtual Size: 00000b24
Virtual Address: 0000d000
Size of raw data: 00001000
Pointer to Raw Data: 0000d000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section name: .reloc
Virtual Size: 00001120
Virtual Address: 0000e000
Size of raw data: 00002000
Pointer to Raw Data: 0000e000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section can be discarded
Section is readable
Header Information
Signature: 5a4d
Last Page Size: 0090
Total Pages in File: 0003
Relocation Items: 0000
Paragraphs in Header: 0004
Minimum Extra Paragraphs: 0000
Maximum Extra Paragraphs: ffff
Initial Stack Segment: 0000
Initial Stack Pointer: 00b8
Complemented Checksum: 0000
Initial Instruction Pointer: 0000
Initial Code Segment: 0000
Relocation Table Offset: 0040
Overlay Number: 0000
Reserved: 0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
Offset to New Header: 000000c0
Memory Needed: 2K
Je jette un coup d'oeil en visualisation HEXA dans le code et je vois
: roimoi , murses , jimmyhelp.CBrowserHelper , jimmyhelp.
Je dois pas être loin.... Je relance REGCLEANER , REGEDIT en cherchant
'jimmy' et je trouve une armée de clés qui pointent les une sur les
autres ......et sur H877H2341.DLL. Je fais une copie de H877H2341.DLL
en G877G2341 et je supprime à nouveau toutes les clés roimoi , murses
, jimmy . Je reboot , je lancer Explore .... pareil. P..... je vais
devenir fou ! Il y encore un truc. Je recharge tout REGMON , FILEMON
avec pour filtre Explore*. Je trouve dans FILEMON l'appel à un
programme csU2.exe qui serait dans mon démarrage (clé RUN). Je lance
SPYBOT fonction avancée , Outils , liste de démarrage : il est bien là
l'enf..... ! Avec ce bel outil SPYBOT , je supprime cette ligne de mon
démarrage. Je regarde avec QUICKVIEW : il a été écrit en Visual Studio
VB98 et c'est lui le PERE qui regénere tout.
Je re-nettoye tout , je reboot , je lance EXPLORE :
CA MARCHE A NOUVEAU . Il est 22h40 j'essaie le panneau de
configuration c'est OK , je passe AVP c'est tout bon 11 minutes !!!!!!
Je m'offre un GRAND bourbon , ce soir je ne conduis pas...
J'ai renommé csU2.exe en copcsU2.exe. Ah la date est bien celle de
dimanche pour H877H2341.DLL idem.
Je sais j'ai été long mais ça fais presque 40 heures que je suis après
....
Mon conseil , dans l'ordre :
Chargez les outils , surtout SPYBOT et si vous avez quelques sous ,
faites leur un don vous ne le regretterez pas.
Avec SPYBOT fonction avancée : liste de démarrage
1) virez les lignes 'bizarres' dans la liste
NsUpdate "C:WindowsNsUpdate.exe UPDATE"
(j'ai un doute connais pas ? je l'avais pas
avant !)
sys "regedit -s sysdll.reg" ????
zIXv2b "C:WINDOWScsU2.exe"
2) passez au déchiqueteur SPYBOT : csU2.exe et H877H2341.DLL
3) avec Regcleaner ou Regedit virez les clés roimoi et les clés dont
voici la liste
HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}
Voila : C'est sur ma machine . Je ne sais pas si vous aurez exactement
les mêmes clés et les mêmes dll. Si ça ne marche pas , j'espère que ma
démarche pourra servir à d'autres....
Je suis tolérant mais il y a vraiment des malfaisants.
Trop qui font CHIER les autres en ce bas monde.
J'ai les copies des programmes et images des captures d'écran que je
ne peux pas attacher.
Si vous les voulez ou vous êtes intéressé par voir ce que contiennent
les deux modules pourris , laissez moi votre email pour vous les
envoyer mais faites attention !!!!!!
J'ai quand même 2 questions sans réponse :
Par où a put provenir cette vacherie ,car je n'ai pas de messagerie
client (OUTLOOK) ?
Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile.
Je crois encore à la solidarité.
Bien à Vous.
salut, ben t'as du courage...bravo cela étant j'avais donné la soluce au problème autour du 15/2 sur ce NG j'ai eu cette infection le 9/2 et n'ai pu l'éradiquer que le 15/2 pour ma part je n'ai pratiquement utilisé que spybot pour trouver les noms de clés en particulier les CLSID. Le reste je l'ai fait à la main avec regedit et suppression manuelle des clés après lu leur contenu (dont les noms des dll qui changent effectivement d'une machine à l'autre). J'ai eu la petite rechute aussi (un truc que j'avais oublié de supprimer :) ).Une piqûre de rappel et c'en était définitivement fini de ce truc. J'ai fait un mail à ciment-teck : pas de réponse... cordialement numéro6
"RILECFE" a écrit dans le message de news:
J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de LMSOFT.... Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. Aucun des deux n'a réagit. J'ai tout de suite pensé à un virus quand Explorer n'a plus réagit et ma CPU à 99 %. Après 3 heures de vaines recherches , j'ai lancé le scan manuel de AVP. D'habitude 10 minutes. Là 6h53mn à une vitesse lamentable pour une réponse négative. Je me suis arrété à 3h30. Lundi soir après le boulot , à 19h00 je me suis lancé dans un recherche de diagnostique : les outils que j'ai utilisé : 1) REGCLEANER pour vérifier et effacer des clés de registre (Free) j'ai commencé par virer InternetOptimizer mais je suis pas sur que c'est lui. 2) SPYBOT comme spyware (Free) A 23h00 je n'avais toujours rien trouvé j'ai décider de mettre les moyens : 3) QUICKVIEW PLUS , un utilitaire pour visualiser les fichiers , dll et autres en format text et Hexadécimal 4) REGMON chez www.sysinternals.com (Free) pour tracer les accès à la registry D'abord ne pas clicker ou lancer Explorer. Positionner le filtre de REGMON avec explore* lancer la capture , descendre la fenetre REGMON clicker sur Explore reouvir la fenetre REGMON 3 secondes suffisent pour avoir une vue du sinistre ,une magnifique boucle sur OpenKey HKLMSOFTWAREroimoimurses SUCCESS EnumValue HKLMSOFTWAREroimoimurses NOMORE CloseKey HKLMSOFTWAREroimoimurses SUCCESS OpenKey HKLMSOFTWAREroimoimurses SUCCESS ect ect pendant des pages et des pages. Donc c'est bien la boucle ! Pas moyen de la stopper autrement qu'avec un reboot. Je vais voir sur GOOGLE je trouve et surtout le groupe de discussion. C'est un TROJAN et je suis pas le seul dans la mouise!!!!! J'ai utilisé Regcleaner pour enlever ces clés : OK Je relance Regmon , filtre , start capture Je lance Explorer : idem : TOUT EST REVENU Reboot , Relance , je change le filtre de REGMON avec roimoi* et là je trouve une bardée d'appels murses , murses.dll , murses.exe Je tue toutes les clés avec REGCLEANER mais il faut supprimer les murses.dll et autres !!! et là pas de fonction Delete. Essai par le DOS , rien, pas trouvées. Je découvre dans SPYBOT en lançant les fonctions avancées , Outils , un destructeur. C'est un outil bien , sympa , facile. On peut leur faire un don , je vais le faire de 30 Euros , c'est le prix d'un logiciel anti mais payant (voir la polémique sur BOCLEAN) Je détruit toutes les clés de registre , je broie toutes les murses.xxx je vérifie que tout est supprimé. Par mesure de précaution , je reboot , je lance Explorer . Idem pas de réponse. Je reboot , je relance Regmon et là oh surprise TOUT EST REVENU comme si je n'avais rien fait. 4h40 j'arrête. Mardi 19h00 , un stock de sandwichs et un litre de café ! Je refais toutes les manips , deux fois , toujours sans résultats. Il y a quelque chose qui m'échappe. J'imprime la trace de REGMON. Les séquences sont absolument identiques. Je décide de remonter les opérations de la trace une par une. Quand vous cliquez sur une opération ,REGMON ouvre une fenetre , lance REGEDIT et vous montre où se trouve la clé .... Tant pis je les remonte une par une en commençant par la fin , juste au dessus de la boucle. 4h00 plus tard je n'ai rien trouvé sauf que les clés que j'ai eliminées avec REGCLEANER sont recrées et plus fort avec SPYBOT (je n'en dirai jamais assez de bien) , que j'utilise comme remplaçant de EXPLORER , les murses.xxx que j'avais broyées se sont toutes recrées. Je n'en crois pas mes yeux. Je refais tout.Je trouve dans la trace REGMON la recréation des clés donc des murses.machin (ça m'énerve). Il est 5h10 du matin. J'arrête. Mercredi : je demande mon après midi à mon patron (RTT pour une fois que je peux m'en servir. Aujourd'hui 14h00. Je refais le point. Si les clés se regénerent c'est que les programmes correspondants se recréent ! Donc il doit y en avoir une trace. Je retourne chez www.sysinternal.com et je descends FILEMON qui trace les modifications de fichiers .... Je vire tout à nouveau , je reboot , je pose le filtre sur REGMON Explore* , je lance FILEMON , je pose le même filtre Explore* et je lance Explore. Coté REGMON c'est toujours pareil. Coté FILEMON , à la quatrième opération , il y a un appel à une dll : H877G2341.DLL , 15 lignes plus loin , je vois la création des murses.machin .... Tiens tiens. J'arrête et je reboot pour être propre. La H877G2341.DLL est appelée dans C:WINDOWS. Je lance QUICKVIEW et je trouve: DYNAMIC LINK LIBRARY 32bit for Windows 95 and Windows NT
Technical File Information:
Image File Header
Signature: 00004550 Machine: Intel 386 Number of Sections: 0004 Time Date Stamp: 402c421a Symbols Pointer: 00000000 Number of Symbols: 00000000 Size of Optional Header 00e0 Characteristics: File is executable (i.e. no unresolved external references). Line numbers stripped from file. Local symbols stripped from file. 32 bit word machine. File is a DLL.
Image Optional Header
Magic: 010b Linker Version: 6.00 Size of Code: 0000b000 Size of Initialized Data: 00004000 Size of Uninitialized Data: 00000000 Address of Entry Point: 00001ac8 Base of Code: 00001000 Base of Data: 0000c000 Image Base: 11000000 Section Alignment: 00001000 File Alignment: 00001000 Operating System Version: 4.00 Image Version: 1.00 Subsystem Version: 4.00 Reserved1: 00000000 Size of Image: 00010000 Size of Headers: 00001000 Checksum: 00014b58 Subsystem: Image runs in the Windows GUI subsystem. DLL Characteristics: 0000 Size of Stack Reserve: 00100000 Size of Stack Commit: 00001000 Size of Heap Reserve: 00100000 Size of Heap Commit: 00001000 Loader Flags: 00000000 Size of Data Directory: 00000010 Export Directory Virtual Address: 0000b680 Export Directory Size: 000000a0 Import Directory Virtual Address: 0000ad04 Import Directory Size: 00000028 Resource Directory Virtual Address: 0000d000 Resource Directory Size: 00000b24 Base Relocation Table Virtual Address: 0000e000 Base Relocation Table Size: 00000fa8
Export Table
Name: wat.dll (pas trouvée ????) Characteristics: 00000000 Time Date Stamp: 402c421a Version: 0.00 Base: 00000001 Number of Functions: 00000004 Number of Names: 00000004
Ordinal Entry Point Name 0000 00003fbe DllCanUnloadNow 0001 00003f92 DllGetClassObject 0002 00003fa8 DllRegisterServer 0003 00003f7c DllUnregisterServer
Section name: .text Virtual Size: 0000a720 Virtual Address: 00001000 Size of raw data: 0000b000 Pointer to Raw Data: 00001000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains code Section is executable Section is readable
Section name: .data Virtual Size: 00000604 Virtual Address: 0000c000 Size of raw data: 00001000 Pointer to Raw Data: 0000c000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains initialized data Section is readable Section is writeable
Section name: .rsrc Virtual Size: 00000b24 Virtual Address: 0000d000 Size of raw data: 00001000 Pointer to Raw Data: 0000d000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains initialized data Section is readable
Section name: .reloc Virtual Size: 00001120 Virtual Address: 0000e000 Size of raw data: 00002000 Pointer to Raw Data: 0000e000 Pointer to Relocations: 00000000 Pointer to Line Numbers: 00000000 Number of Relocations: 0000 Number of Line Numbers: 0000 Characteristics: Section contains initialized data Section can be discarded Section is readable
Header Information
Signature: 5a4d Last Page Size: 0090 Total Pages in File: 0003 Relocation Items: 0000 Paragraphs in Header: 0004 Minimum Extra Paragraphs: 0000 Maximum Extra Paragraphs: ffff Initial Stack Segment: 0000 Initial Stack Pointer: 00b8 Complemented Checksum: 0000 Initial Instruction Pointer: 0000 Initial Code Segment: 0000 Relocation Table Offset: 0040 Overlay Number: 0000 Reserved: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 Offset to New Header: 000000c0 Memory Needed: 2K
Je jette un coup d'oeil en visualisation HEXA dans le code et je vois : roimoi , murses , jimmyhelp.CBrowserHelper , jimmyhelp. Je dois pas être loin.... Je relance REGCLEANER , REGEDIT en cherchant 'jimmy' et je trouve une armée de clés qui pointent les une sur les autres ......et sur H877H2341.DLL. Je fais une copie de H877H2341.DLL en G877G2341 et je supprime à nouveau toutes les clés roimoi , murses , jimmy . Je reboot , je lancer Explore .... pareil. P..... je vais devenir fou ! Il y encore un truc. Je recharge tout REGMON , FILEMON avec pour filtre Explore*. Je trouve dans FILEMON l'appel à un programme csU2.exe qui serait dans mon démarrage (clé RUN). Je lance SPYBOT fonction avancée , Outils , liste de démarrage : il est bien là l'enf..... ! Avec ce bel outil SPYBOT , je supprime cette ligne de mon démarrage. Je regarde avec QUICKVIEW : il a été écrit en Visual Studio VB98 et c'est lui le PERE qui regénere tout. Je re-nettoye tout , je reboot , je lance EXPLORE : CA MARCHE A NOUVEAU . Il est 22h40 j'essaie le panneau de configuration c'est OK , je passe AVP c'est tout bon 11 minutes !!!!!! Je m'offre un GRAND bourbon , ce soir je ne conduis pas... J'ai renommé csU2.exe en copcsU2.exe. Ah la date est bien celle de dimanche pour H877H2341.DLL idem. Je sais j'ai été long mais ça fais presque 40 heures que je suis après .... Mon conseil , dans l'ordre : Chargez les outils , surtout SPYBOT et si vous avez quelques sous , faites leur un don vous ne le regretterez pas. Avec SPYBOT fonction avancée : liste de démarrage 1) virez les lignes 'bizarres' dans la liste NsUpdate "C:WindowsNsUpdate.exe UPDATE" (j'ai un doute connais pas ? je l'avais pas avant !) sys "regedit -s sysdll.reg" ???? zIXv2b "C:WINDOWScsU2.exe"
2) passez au déchiqueteur SPYBOT : csU2.exe et H877H2341.DLL 3) avec Regcleaner ou Regedit virez les clés roimoi et les clés dont voici la liste HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}
Voila : C'est sur ma machine . Je ne sais pas si vous aurez exactement les mêmes clés et les mêmes dll. Si ça ne marche pas , j'espère que ma démarche pourra servir à d'autres....
Je suis tolérant mais il y a vraiment des malfaisants. Trop qui font CHIER les autres en ce bas monde.
J'ai les copies des programmes et images des captures d'écran que je ne peux pas attacher. Si vous les voulez ou vous êtes intéressé par voir ce que contiennent les deux modules pourris , laissez moi votre email pour vous les envoyer mais faites attention !!!!!!
J'ai quand même 2 questions sans réponse : Par où a put provenir cette vacherie ,car je n'ai pas de messagerie client (OUTLOOK) ? Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?
Salut fraternel à tous ceux qui sont dans la colle sur la toile. Je crois encore à la solidarité. Bien à Vous.
Alain Vouillon
Bonjour, Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés. J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui normalement doit remettre les paramètres de la bdr en état, et donc revenir à une situation ou les virus ou trojans ne se lancent pas au démarrage...
Attention certains utilitaires récents et complexes sont aussi embarrasant que les virus...à la moindre action, ils vous demanderont de la justifier...
-- @:-) FAQ Windows XP ==> http://a.vouillon.online.fr/
Bonjour,
Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des
modifications au système elles ont été repérées par TUN et peuvent
être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui
normalement doit remettre les paramètres de la bdr en état, et donc
revenir à une situation ou les virus ou trojans ne se lancent pas au
démarrage...
Attention certains utilitaires récents et complexes sont aussi
embarrasant que les virus...à la moindre action, ils vous demanderont de
la justifier...
--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés. J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui normalement doit remettre les paramètres de la bdr en état, et donc revenir à une situation ou les virus ou trojans ne se lancent pas au démarrage...
Attention certains utilitaires récents et complexes sont aussi embarrasant que les virus...à la moindre action, ils vous demanderont de la justifier...
-- @:-) FAQ Windows XP ==> http://a.vouillon.online.fr/
Claude LaFrenière
Le Thu, 26 Feb 2004 08:17:55 +0100 dans le msg <news:eoM1miD$
Bonjour Alain Vouillon :-)
Merci de ton intervention :-) Je me demandais justement si la restauration permettait de remettre aussi la BdR à l'état antérieur ( je veux dire complètement...).
Bonne journée.
-- Claude LaFrenière 2004-02-26 07:21:44 EST http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel) PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.» Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger : http://cerbermail.com/?Oh14QiaR2y Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc): http://www.waloa.com/Cartes/?r=Insultes&m
Le Thu, 26 Feb 2004 08:17:55 +0100
dans le msg <news:eoM1miD$DHA.2292@TK2MSFTNGP12.phx.gbl>
Bonjour Alain Vouillon :-)
Merci de ton intervention :-)
Je me demandais justement si la restauration permettait de remettre aussi
la BdR à l'état antérieur ( je veux dire complètement...).
Bonne journée.
--
Claude LaFrenière 2004-02-26 07:21:44 EST
http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel)
PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.»
Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger :
http://cerbermail.com/?Oh14QiaR2y
Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc):
http://www.waloa.com/Cartes/?r=Insultes&m
Le Thu, 26 Feb 2004 08:17:55 +0100 dans le msg <news:eoM1miD$
Bonjour Alain Vouillon :-)
Merci de ton intervention :-) Je me demandais justement si la restauration permettait de remettre aussi la BdR à l'état antérieur ( je veux dire complètement...).
Bonne journée.
-- Claude LaFrenière 2004-02-26 07:21:44 EST http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel) PGP Clé Publique 0xC3C0E2C2
«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.» Gustave Flaubert , Dict. des idées reçues.
Pour m'engueuler en direct sur Messenger : http://cerbermail.com/?Oh14QiaR2y Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc): http://www.waloa.com/Cartes/?r=Insultes&m
daniel M.
Interessant ceci, alain! Donc, pour toi une simple restauration à une date anterieur à l'infection rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu confirmes celà? Car si c'est le cas, c'est une revolution dans le domaine de la securité! ( je ne parle pas bien sûr des infections par les virus connus et généralement indentifiés par les anti_virus et pare feux) mais de toutes ces petites saloperies qui nourissent tous les forums - de discutions interminables - quand à la façon de s'en sortir - indemne si possible!). bien cordialement daniel
"Alain Vouillon" a écrit dans le message de news:eoM1miD$
Bonjour, Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés. J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui normalement doit remettre les paramètres de la bdr en état, et donc revenir à une situation ou les virus ou trojans ne se lancent pas au démarrage...
Attention certains utilitaires récents et complexes sont aussi embarrasant que les virus...à la moindre action, ils vous demanderont de la justifier...
-- @:-) FAQ Windows XP ==> http://a.vouillon.online.fr/
Interessant ceci, alain!
Donc, pour toi une simple restauration à une date anterieur à l'infection
rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu
confirmes celà?
Car si c'est le cas, c'est une revolution dans le domaine de la securité!
( je ne parle pas bien sûr des infections par les virus connus et
généralement indentifiés par les anti_virus et pare feux) mais de toutes
ces petites saloperies qui nourissent tous les forums - de discutions
interminables - quand à la façon de s'en sortir - indemne si possible!).
bien cordialement
daniel
"Alain Vouillon" <emaildansFAQXP@wanadoo.fr> a écrit dans le message de
news:eoM1miD$DHA.2292@TK2MSFTNGP12.phx.gbl...
Bonjour,
Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des
modifications au système elles ont été repérées par TUN et peuvent
être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui
normalement doit remettre les paramètres de la bdr en état, et donc
revenir à une situation ou les virus ou trojans ne se lancent pas au
démarrage...
Attention certains utilitaires récents et complexes sont aussi
embarrasant que les virus...à la moindre action, ils vous demanderont de
la justifier...
--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/
Interessant ceci, alain! Donc, pour toi une simple restauration à une date anterieur à l'infection rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu confirmes celà? Car si c'est le cas, c'est une revolution dans le domaine de la securité! ( je ne parle pas bien sûr des infections par les virus connus et généralement indentifiés par les anti_virus et pare feux) mais de toutes ces petites saloperies qui nourissent tous les forums - de discutions interminables - quand à la façon de s'en sortir - indemne si possible!). bien cordialement daniel
"Alain Vouillon" a écrit dans le message de news:eoM1miD$
Bonjour, Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés. J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui normalement doit remettre les paramètres de la bdr en état, et donc revenir à une situation ou les virus ou trojans ne se lancent pas au démarrage...
Attention certains utilitaires récents et complexes sont aussi embarrasant que les virus...à la moindre action, ils vous demanderont de la justifier...
-- @:-) FAQ Windows XP ==> http://a.vouillon.online.fr/
P
Hello *daniel M.* !
Interessant ceci, alain! Donc, pour toi une simple restauration à une date anterieur à l'infection rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu confirmes celà? Car si c'est le cas, c'est une revolution dans le domaine de la securité! ( je ne parle pas bien sûr des infections par les virus connus et généralement indentifiés par les anti_virus et pare feux) mais de toutes ces petites saloperies qui nourissent tous les forums - de discutions interminables - quand à la façon de s'en sortir - indemne si possible!). bien cordialement daniel
"Alain Vouillon" a écrit dans le message de news:eoM1miD$
Bonjour, Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés. J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui normalement doit remettre les paramètres de la bdr en état, et donc revenir à une situation ou les virus ou trojans ne se lancent pas au démarrage...
Attention certains utilitaires récents et complexes sont aussi embarrasant que les virus...à la moindre action, ils vous demanderont de la justifier...
-- @:-) FAQ Windows XP ==> http://a.vouillon.online.fr/
C'est fait pour cela. C'est pas nouveau car cette technologie existe depuis Windows Me! Allez sur la faq d'Alain Vouillon et recherchez restauration. Vous aurez un lien sur un article de Thierry Mille qui présente très bien le fonctionnement! Bonne piste
-- Bien cordialement, Aide toi le ciel t'aidera : http://pagesperso.laposte.net/laboyse/Forums.htm Pour m'écrire ou prendre contact "En ligne" : http://minilien.com/?1xjHkMIEp0
Hello *daniel M.* !
Interessant ceci, alain!
Donc, pour toi une simple restauration à une date anterieur à l'infection
rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu
confirmes celà?
Car si c'est le cas, c'est une revolution dans le domaine de la securité!
( je ne parle pas bien sûr des infections par les virus connus et
généralement indentifiés par les anti_virus et pare feux) mais de toutes
ces petites saloperies qui nourissent tous les forums - de discutions
interminables - quand à la façon de s'en sortir - indemne si possible!).
bien cordialement
daniel
"Alain Vouillon" <emaildansFAQXP@wanadoo.fr> a écrit dans le message de
news:eoM1miD$DHA.2292@TK2MSFTNGP12.phx.gbl...
Bonjour,
Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des
modifications au système elles ont été repérées par TUN et peuvent
être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui
normalement doit remettre les paramètres de la bdr en état, et donc
revenir à une situation ou les virus ou trojans ne se lancent pas au
démarrage...
Attention certains utilitaires récents et complexes sont aussi
embarrasant que les virus...à la moindre action, ils vous demanderont de
la justifier...
--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/
C'est fait pour cela. C'est pas nouveau car cette technologie existe
depuis Windows Me!
Allez sur la faq d'Alain Vouillon et recherchez restauration. Vous
aurez un lien sur un article de Thierry Mille qui présente très bien le
fonctionnement!
Bonne piste
--
Bien cordialement, P@pyNet
Aide toi le ciel t'aidera :
http://pagesperso.laposte.net/laboyse/Forums.htm
Pour m'écrire ou prendre contact "En ligne" :
http://minilien.com/?1xjHkMIEp0
Interessant ceci, alain! Donc, pour toi une simple restauration à une date anterieur à l'infection rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu confirmes celà? Car si c'est le cas, c'est une revolution dans le domaine de la securité! ( je ne parle pas bien sûr des infections par les virus connus et généralement indentifiés par les anti_virus et pare feux) mais de toutes ces petites saloperies qui nourissent tous les forums - de discutions interminables - quand à la façon de s'en sortir - indemne si possible!). bien cordialement daniel
"Alain Vouillon" a écrit dans le message de news:eoM1miD$
Bonjour, Claude LaFrenière écrivait:
Mouais... Tu sais les solutions trop "lourdes" finissent par être abandonnées par les utilisateurs après un certain temps.
Cela conciste à lancer Total Uninstall et depuis TUN lancer le navigateur...À la fin du surf retour à TUN.S'il y a eu des modifications au système elles ont été repérées par TUN et peuvent être désintallés. J'ai testé et ça marche mais un peu lourd et un brin parano...
Il y a aussi la fonction standard "Restauration du système" qui normalement doit remettre les paramètres de la bdr en état, et donc revenir à une situation ou les virus ou trojans ne se lancent pas au démarrage...
Attention certains utilitaires récents et complexes sont aussi embarrasant que les virus...à la moindre action, ils vous demanderont de la justifier...
-- @:-) FAQ Windows XP ==> http://a.vouillon.online.fr/
C'est fait pour cela. C'est pas nouveau car cette technologie existe depuis Windows Me! Allez sur la faq d'Alain Vouillon et recherchez restauration. Vous aurez un lien sur un article de Thierry Mille qui présente très bien le fonctionnement! Bonne piste
-- Bien cordialement, Aide toi le ciel t'aidera : http://pagesperso.laposte.net/laboyse/Forums.htm Pour m'écrire ou prendre contact "En ligne" : http://minilien.com/?1xjHkMIEp0