Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque chargement
de "Windows XP SP3" (avec les dernières mises à jour), de plus elle n'a
jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que Win.ini
et System.ini... et la Dll est toujours là dans "C:WindowsSystem32" (j'ai
fait créer un journal de démarrage dans cette configuration et je vais
l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque chargement
de "Windows XP SP3" (avec les dernières mises à jour), de plus elle n'a
jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que Win.ini
et System.ini... et la Dll est toujours là dans "C:WindowsSystem32" (j'ai
fait créer un journal de démarrage dans cette configuration et je vais
l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque chargement
de "Windows XP SP3" (avec les dernières mises à jour), de plus elle n'a
jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que Win.ini
et System.ini... et la Dll est toujours là dans "C:WindowsSystem32" (j'ai
fait créer un journal de démarrage dans cette configuration et je vais
l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
*Bonjour Dudule* !
<49df41a0$0$15022$Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Il est possible de scanner le disque avec un autre anti-virus sans
installation. Essayer un scan en mode sans échec. Je serais curieux de
savoir ce qu'il se passe si on crée un fichier nommé Brodacrt.dll protégé
en Lecture Seule. Ou un dossier du même nom. Voir si cela génère une
erreur dans l'observateur d'événements.
--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
*Bonjour Dudule* !
<49df41a0$0$15022$426a74cc@news.free.fr>
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Il est possible de scanner le disque avec un autre anti-virus sans
installation. Essayer un scan en mode sans échec. Je serais curieux de
savoir ce qu'il se passe si on crée un fichier nommé Brodacrt.dll protégé
en Lecture Seule. Ou un dossier du même nom. Voir si cela génère une
erreur dans l'observateur d'événements.
--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
*Bonjour Dudule* !
<49df41a0$0$15022$Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Il est possible de scanner le disque avec un autre anti-virus sans
installation. Essayer un scan en mode sans échec. Je serais curieux de
savoir ce qu'il se passe si on crée un fichier nommé Brodacrt.dll protégé
en Lecture Seule. Ou un dossier du même nom. Voir si cela génère une
erreur dans l'observateur d'événements.
--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
"Dudule" a écrit dans le message de
news:49df41a0$0$15022$Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
sergioENLEVERfrance@orange.fr
"Dudule" <nivu@niconnu.com> a écrit dans le message de
news:49df41a0$0$15022$426a74cc@news.free.fr...
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
"Dudule" a écrit dans le message de
news:49df41a0$0$15022$Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec virus,
car Windows ne doit pas vouloir écraser mon fichier.
Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait plus
jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et explorer
s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo de nouveau
cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé bit à
bit à l'explorer d'une machine saine, ils sont identiques... sais-tu quels
sont les autres process lancés par explorer à son premier lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement
Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec virus,
car Windows ne doit pas vouloir écraser mon fichier.
Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait plus
jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et explorer
s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo de nouveau
cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé bit à
bit à l'explorer d'une machine saine, ils sont identiques... sais-tu quels
sont les autres process lancés par explorer à son premier lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement
Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec virus,
car Windows ne doit pas vouloir écraser mon fichier.
Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait plus
jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et explorer
s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo de nouveau
cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé bit à
bit à l'explorer d'une machine saine, ils sont identiques... sais-tu quels
sont les autres process lancés par explorer à son premier lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement
Merci,
Malheureusement, je n'y ai trouvé aucun conseil positif pour mon cas...
J'ai déjà utilisé plusieurs anti-malwares et anti-virus online.....
Merci tout de même
@+
"Azo4" a écrit dans le message de news:jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
"Dudule" a écrit dans le message de
news:49df41a0$0$15022$Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de
plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est
négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll,
j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans
cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Merci,
Malheureusement, je n'y ai trouvé aucun conseil positif pour mon cas...
J'ai déjà utilisé plusieurs anti-malwares et anti-virus online.....
Merci tout de même
@+
"Azo4" <sergeENLEVERazo@mvps.org> a écrit dans le message de news:
OkeS41euJHA.5764@TK2MSFTNGP05.phx.gbl...
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
sergioENLEVERfrance@orange.fr
"Dudule" <nivu@niconnu.com> a écrit dans le message de
news:49df41a0$0$15022$426a74cc@news.free.fr...
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de
plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est
négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll,
j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans
cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
Merci,
Malheureusement, je n'y ai trouvé aucun conseil positif pour mon cas...
J'ai déjà utilisé plusieurs anti-malwares et anti-virus online.....
Merci tout de même
@+
"Azo4" a écrit dans le message de news:jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
"Dudule" a écrit dans le message de
news:49df41a0$0$15022$Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de
plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est
négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll,
j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans
cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.
*Salut Dudule* !
<49df6ca8$0$4495$Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec
virus, car Windows ne doit pas vouloir écraser mon fichier.
Content que ça ait fonctionné. C'est un procédé qu'on utilise pour
protéger les clés USB de la création d'un autorun.inf sauvage. On crée un
dossier du même nom, c'est paraît-il plus efficace
http://fspsa.free.fr/contamination-lecteurs-amovibles.htmIl n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait
plus jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et
explorer s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo
de nouveau cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé
bit à bit à l'explorer d'une machine saine, ils sont identiques...
sais-tu quels sont les autres process lancés par explorer à son premier
lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement
C'est un début. Maintenant il faudrait essayer de tracer ce qui se passe.
L'observateur d'événements ne donnant pas de piste, je suppose que tu as
regardé, il reste l'artillerie lourde :
AUTORUNS, PROCESS EXPLORER et PROCESS MONITOR
http://technet.microsoft.com/fr-fr/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
*Salut Dudule* !
<49df6ca8$0$4495$426a34cc@news.free.fr>
Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec
virus, car Windows ne doit pas vouloir écraser mon fichier.
Content que ça ait fonctionné. C'est un procédé qu'on utilise pour
protéger les clés USB de la création d'un autorun.inf sauvage. On crée un
dossier du même nom, c'est paraît-il plus efficace
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait
plus jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et
explorer s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo
de nouveau cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé
bit à bit à l'explorer d'une machine saine, ils sont identiques...
sais-tu quels sont les autres process lancés par explorer à son premier
lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement
C'est un début. Maintenant il faudrait essayer de tracer ce qui se passe.
L'observateur d'événements ne donnant pas de piste, je suppose que tu as
regardé, il reste l'artillerie lourde :
AUTORUNS, PROCESS EXPLORER et PROCESS MONITOR
http://technet.microsoft.com/fr-fr/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
*Salut Dudule* !
<49df6ca8$0$4495$Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec
virus, car Windows ne doit pas vouloir écraser mon fichier.
Content que ça ait fonctionné. C'est un procédé qu'on utilise pour
protéger les clés USB de la création d'un autorun.inf sauvage. On crée un
dossier du même nom, c'est paraît-il plus efficace
http://fspsa.free.fr/contamination-lecteurs-amovibles.htmIl n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait
plus jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et
explorer s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo
de nouveau cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé
bit à bit à l'explorer d'une machine saine, ils sont identiques...
sais-tu quels sont les autres process lancés par explorer à son premier
lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement
C'est un début. Maintenant il faudrait essayer de tracer ce qui se passe.
L'observateur d'événements ne donnant pas de piste, je suppose que tu as
regardé, il reste l'artillerie lourde :
AUTORUNS, PROCESS EXPLORER et PROCESS MONITOR
http://technet.microsoft.com/fr-fr/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
Salut JF,
Merci de ton aide, je viens de télécharger "Process Monitor", j'ai rechargé
Windows XP SP3, sans "service Windows" ni aucun fichier dans "Démarrage".
J'avais vu que je pouvais régénérer cette DLL en arrêtant Explorer et en le
redémarrant avec "TaskMgr".
J'ai donc arrêté Explorer, démarré "Process Monitor", puis Explorer
(toujours avec le TaskMgr), et j'ai sauvé la trace de ce qui se passe.
Grace à cette trace, j'ai pu trouver qu'une autre DLL, "CANEVOLE.DLL", était
activée par explorer, elle même activant la création de "BRODACRT.DLL".
L'activation de CANEVOLE.DLL est faite par une clé du registre:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
Name: Cabomxml
Type: REG_SZ
Length: 78
Data: {9FCED1FF-C155-4B43-B75B-611E7DC8FE61}
qui active la clé:
HKCRCLSID{9FCED1FF-C155-4B43-B75B-611E7DC8FE61}InprocServer32(Default)
Type: REG_SZ
Length: 66
Data: C:WINDOWSsystem32canevole.dll
Et c'est CANEVOLE.DLL qui crée le "virus ??" BROADACRT.DLL détecté par
AVIRA.
Malheureusement je n'arrive pas à remonter à la source:
Quel est le process (exe ?) qui a créé ces clés de registre et cette
CANEVOLE.DLL
Je mets un lien vers la trace de "PROCESS MONITOR", si toi ou quelqu'un
d'autre peut m'aider (il faut "process monitor" pour l'analyser).
[URL=http://depositfiles.com/files/8wplxhnts]http://depositfiles.com/files/8wplxhnts[/URL]
En attendant en renommant CANEVOLE.DLL, je n'ai plus de création de
BRODACRT.DLL et plus de détection de virus.....
mais quoi d'autre est sous-jacent ???
Salut JF,
Merci de ton aide, je viens de télécharger "Process Monitor", j'ai rechargé
Windows XP SP3, sans "service Windows" ni aucun fichier dans "Démarrage".
J'avais vu que je pouvais régénérer cette DLL en arrêtant Explorer et en le
redémarrant avec "TaskMgr".
J'ai donc arrêté Explorer, démarré "Process Monitor", puis Explorer
(toujours avec le TaskMgr), et j'ai sauvé la trace de ce qui se passe.
Grace à cette trace, j'ai pu trouver qu'une autre DLL, "CANEVOLE.DLL", était
activée par explorer, elle même activant la création de "BRODACRT.DLL".
L'activation de CANEVOLE.DLL est faite par une clé du registre:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
Name: Cabomxml
Type: REG_SZ
Length: 78
Data: {9FCED1FF-C155-4B43-B75B-611E7DC8FE61}
qui active la clé:
HKCRCLSID{9FCED1FF-C155-4B43-B75B-611E7DC8FE61}InprocServer32(Default)
Type: REG_SZ
Length: 66
Data: C:WINDOWSsystem32canevole.dll
Et c'est CANEVOLE.DLL qui crée le "virus ??" BROADACRT.DLL détecté par
AVIRA.
Malheureusement je n'arrive pas à remonter à la source:
Quel est le process (exe ?) qui a créé ces clés de registre et cette
CANEVOLE.DLL
Je mets un lien vers la trace de "PROCESS MONITOR", si toi ou quelqu'un
d'autre peut m'aider (il faut "process monitor" pour l'analyser).
[URL=http://depositfiles.com/files/8wplxhnts]http://depositfiles.com/files/8wplxhnts[/URL]
En attendant en renommant CANEVOLE.DLL, je n'ai plus de création de
BRODACRT.DLL et plus de détection de virus.....
mais quoi d'autre est sous-jacent ???
Salut JF,
Merci de ton aide, je viens de télécharger "Process Monitor", j'ai rechargé
Windows XP SP3, sans "service Windows" ni aucun fichier dans "Démarrage".
J'avais vu que je pouvais régénérer cette DLL en arrêtant Explorer et en le
redémarrant avec "TaskMgr".
J'ai donc arrêté Explorer, démarré "Process Monitor", puis Explorer
(toujours avec le TaskMgr), et j'ai sauvé la trace de ce qui se passe.
Grace à cette trace, j'ai pu trouver qu'une autre DLL, "CANEVOLE.DLL", était
activée par explorer, elle même activant la création de "BRODACRT.DLL".
L'activation de CANEVOLE.DLL est faite par une clé du registre:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
Name: Cabomxml
Type: REG_SZ
Length: 78
Data: {9FCED1FF-C155-4B43-B75B-611E7DC8FE61}
qui active la clé:
HKCRCLSID{9FCED1FF-C155-4B43-B75B-611E7DC8FE61}InprocServer32(Default)
Type: REG_SZ
Length: 66
Data: C:WINDOWSsystem32canevole.dll
Et c'est CANEVOLE.DLL qui crée le "virus ??" BROADACRT.DLL détecté par
AVIRA.
Malheureusement je n'arrive pas à remonter à la source:
Quel est le process (exe ?) qui a créé ces clés de registre et cette
CANEVOLE.DLL
Je mets un lien vers la trace de "PROCESS MONITOR", si toi ou quelqu'un
d'autre peut m'aider (il faut "process monitor" pour l'analyser).
[URL=http://depositfiles.com/files/8wplxhnts]http://depositfiles.com/files/8wplxhnts[/URL]
En attendant en renommant CANEVOLE.DLL, je n'ai plus de création de
BRODACRT.DLL et plus de détection de virus.....
mais quoi d'autre est sous-jacent ???