Nicolas Coolman

Bonjour fafa89, En fait, il est très difficile d'en déterminer l'origine, spyware, ver, trojan que sais-je ? L'origine d'une infection peut provenir par exemple d'une faille de sécurité Windows ou de son navigateur IE dans laquelle s'engoufrent les pirates de tous genres.

Bonjour Michel8992 et bienvenue sur Zébulon, Il s'agit des répertoires de mises à jour de Windows, si ton système est stable, tu peux les supprimer, mais par précaution concerves ceux du mois en cours dans le cas où tu aurais à faire une restauration du système à une date antérieure.

Bonsoir, Je te transfère dans le forum sécurité.

Bonjour Ast3rix, Question posée dans la FAQ : Comment désactiver Active Desktop (Windows XP) ? Consulter éventuellement cet article Comment configurer Active Desktop ?

Gof, Concerne le lien donné dans cette FAQ : http://forum.zebulon.fr/index.php?showtopic=91438 En effet, j'ai donc supprimé le lien et démandé un nouveau par MP à hddmaster Bonne journée.

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu’ils ont peut-être une solution toute trouvée (s’ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu’il est inutile de continuer à se creuser la tête sur le problème (à moins d’avoir des suppléments d’informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [Résolu]. Merci, à l’avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d’induire les gens en erreur ) Se positionner sur le 1° message Cliquer sur et choisir "Edition complète" Aller sur le titre et le préfixer avec le mot [Résolu]

Bonsoir Ti-Lou, Question sur la FAQ : http://forum.zebulon.fr/index.php?showtopi...mp;#entry920265 Il s'agit de ntdll.dll, je ne comprend pas ton lien vers la ressource vb6fr.dll ?

Bonjour Basphet, Je te transfère dans le forum "Programmation" ou tu pourras obtenir de l'aide sur VB6. Bonne journée...

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu’ils ont peut-être une solution toute trouvée (s’ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu’il est inutile de continuer à se creuser la tête sur le problème (à moins d’avoir des suppléments d’informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [Résolu]. Merci, à l’avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d’induire les gens en erreur ) Se positionner sur le 1° message Cliquer sur et choisir "Edition complète" Aller sur le titre et le préfixer avec le mot [Résolu]

Il y a un peu de nettoyage à faire, Je te transfère sur le forum sécurité, un expert sécu te prendra en charge pour t'indiquer la marche à suivre. Bonne soirée...

Bonjour Christian54, Tu peux laisser la lettre "V" par défaut. Verifier que la clé "Start" à bien la donnée "3" en hexadécimal Pour cette branche, si la valeur DWORD "DisableMSI" n'est pas créée alors ne rien faire. Je rappelle que que toutes ces clés "DisableMSI", "Start", "ImagePath" sont succeptibles d'être modifiées ou ajoutés par un malware mais aussi involontairement par un utilisateur. Si toutes ces clés sont OK, il ne faut pas se polariser sur la BDR, le problème doit être ailleurs... Si tu as Hijackthis, poste un rapport, si je suspecte la présence inutile de processus ou de services succeptibles d'interférer avec WI , je t'indiquerais la marche à suivre et éventuellement te rapprocherais d'un expert en sécurité...

Bonjour à tous, Quelques autres pistes dans cette FAQ Windows update met un message d'erreur !

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu’ils ont peut-être une solution toute trouvée (s’ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu’il est inutile de continuer à se creuser la tête sur le problème (à moins d’avoir des suppléments d’informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [Résolu]. Merci, à l’avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d’induire les gens en erreur ) Se positionner sur le 1° message Cliquer sur et choisir "Edition complète" Aller sur le titre et le préfixer avec le mot [Résolu]

Bonjour Christian54, Question posée dans la FAQ : Comment résoudre mon problème avec Windows Installer As-tu bien cherché dans les branches "HKEY_LOCAL_MACHINE" et non pas "HKLM" qui n'est qu'une contraction ?

Bonjour à tous, Consulter aussi les pistes données dans cette FAQ Comment résoudre mon problème audio ?

Sujet fermé Merci de bien vouloir vous conformer à la Charte du forum

Bonsoir silhouette et bienvenue sur Zébulon, 01) De quel type de message s'agit-il ? 02) Peux-tu en faire une copie d"écran ? 03) Préciser le navigateur et le système utilisé.

Bonjour Bak, A la vue du message d'érreur du journal d'évènement, il semble que ta station en panne soit sous SP1, ce n'est pas très prudent car de nombreuse failles de sécurités sont comblées avec le SP2. Le passage en SP2 devrait résoudre ce problème, enfin je l'espère ! A bientôt...

Bonsoir fil57, Voilà l'info : FAQ (Foire Aux Questions) La Base De Registre (BDR)

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu’ils ont peut-être une solution toute trouvée (s’ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu’il est inutile de continuer à se creuser la tête sur le problème (à moins d’avoir des suppléments d’informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [Résolu]. Merci, à l’avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d’induire les gens en erreur ) Se positionner sur le 1° message Cliquer sur et choisir "Edition complète" Aller sur le titre et le préfixer avec le mot [Résolu]

Bonjour topludo, Généralement lorsqu'un système fonctionne bien avec la versions des pilotes installés, il est plus prudent de ne rien toucher. Dans le cas contraire, précise les symptômes que tu constates.

Bonjour fil57, Oui cela arrive, en fait il faut passer ton antivirus et ton parefeu en mode "non surveillé" par windows. En cliquant sur le bouclier rouge de windows XP, ou en passant par le "Centre de sécurité" tu accèdes à un écran sécurité. 01) Cliquer sur "Recommandations" de la rubrique "Protection antivirus" 02) Cocher "J'ai un progamme antivirus..." PS : Une modification directe de la BDR est aussi possible, j'en donne le détail dans une FAQ sur la BDR.

Bonjour à tous, Comme vous le savez, il est impossible de répondre à une FAQ, sauf après passage par un filtre de la modération. Je vous indique le lien vers cette FAQ : Infection par le trojan Agent.qt Si vous avez des remarques, des précisions, des corrections à faire, merci de me les faire remonter via ce post.

Infection par le trojan Agent.qt Découvert en avril 2006, Il est considéré comme méchant. Il est généralement introduit pat l'utilisateur lors du téléchargement de cracks, ce qui a fait sa fulgurante propagation. Il peut aussi exploiter une faille de sécurité de Windows ou des navigateurs internet. Ce trojan se retrouve sous les noms : "Trojan.Agent.qt", "Troj/Agent-BIX", "Trojan.Win32.Agent.qt", "TrojanDownloader.Small.CML", "Backdoor.Win32.Hupigon.bv", "BackDoor-CVT", "Generic.UIK", "TR/Agent.QT.14", "Trj/Downloader.IWJ", "Troj/Bckdr-JCK", "Trojan.Agent.LH", "Trojan.Click.1152", "Trojan.Win32.Agent", "Trojan.Win32.Agent.qt", "W32/Agent.AAYI", "W32/Agent.CVT!tr", "Win32/TrojanDownloader.Small.CML", "Win32:Trojano-BJ", Les sources d'infection du trojan Agent.qt Voici une liste non-exhaustive de logiciels succeptibles d'introduire ce trojan. Ce sont généralement des crack de jeux ou de logiciels du commerce : Microsoft Internet Explorer (faille de sécurité), Crack de PowerQuest Partition Magic 8.0 Crack de Microsoft Office Professional Plus 2007 Beta2 Crack de Max Payne v1.0.2 No-CD Les effets du trojan Agent.qt Les effets de ce cheval de Troie sont multiples, il s'agit principalement de : des attaques répétées du navigateur internet jusqu'à la découverte et l'exploitation d'une faille de sécurité, une installation d'applications malwares, une diminution de la sécurité par vol d'informations, une régénération à chaque démarrage du système, installation d'occurrences dans le dossier de quarantaine de votre antivirus, installation d'occurences dans le dossier de restauration système "System Volume Information", Les Symptômes visibles du trojan Agent.qt Les symptômes de ce cheval de Troie que perçoivent les utilisateurs infectés sont multiples, il s'agit principalement de : une lenteur anormale du refraichissement des écrans dans votre navigateur internet, une diminution des performances de votre système, des alertes périodiques de sécurité de votre antivirus indiquant l'infection de votre système, un popup vers des sites pornographiques La détection Ewido du trojan Agent.qt Ewido détecte ce cheval de Troie. Voici quelques exemples rencontrés dans les rapports Ewido : La détection Hijackthis du trojan Hijackthis détecte ce cheval de Troie. Voici quelques exemples rencontrés dans les rapports Hijackthis : La détection Kaspersky du trojan L'antivirus Kaspersky détecte ce cheval de Troie. Voici quelques exemples rencontrés dans les rapports Kaspersky : L'utilitaire AVG Anti-Spyware Cet utilitaire permet d'éradiquer le trojan Agent.qt Rapport d'éradication Procédure d'éradication manuelle du trojan L'éradication manuelle de ce trojan est difficile. Les processus Arrêter le Processus "svchost.exe" --> "C:\WINDOWS\". Ce processus système lorqu'il est légitime est présent --> "C:\WINDOWS\system32". Les ressources dynamiques Décharger les fichiers de ressources dynamiques (DLL) : - Les ressources constituées avec le prefixe = "A0" et se terminant par un suffixe composé de six chiffres aléatoires. Voici une liste de ressources rencontrées dans les rapports : "A0002372.dll" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP28\" "A0007273.dll" --> "C:\System Volume Information\_restore{685712A9-A18E-4747-B7FC-B036ECAB1DC2}\RP8\" "A0007174.dll" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP28\" "A0010877.dll" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP75\" "A0011759.dll" --> "C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP59\" "A0039814.dll" --> "C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\" "A0039815.dll" --> "C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\" "A0326558.dll" --> "C:\System Volume Information\_restore{6309892D-1CD9-4050-BB84-B7D7408152CE}\RP423\" "A0326608.dll" --> "C:\System Volume Information\_restore{6309892D-1CD9-4050-BB84-B7D7408152CE}\RP423\" "A0326625.dll" --> "C:\System Volume Information\_restore{6309892D-1CD9-4050-BB84-B7D7408152CE}\RP423\" "A0330771.dll" --> "C:\System Volume Information\_restore{A2CF9F85-C401-4419-AE04-E811F4B24A7C}\RP567\" "A0330772.dll" --> "C:\System Volume Information\\_restore{A2CF9F85-C401-4419-AE04-E811F4B24A7C}\RP567\" "A0330773.dll" --> "C:\System Volume Information\\_restore{A2CF9F85-C401-4419-AE04-E811F4B24A7C}\RP567\" "A0185890.dll" --> "C:\System Volume Information\_restore{EDFCE279-96F5-4585-A7F6-8A69BC3D3202}\RP471\" "A0190766.dll" --> "C:\System Volume Information\_restore{EDFCE279-96F5-4585-A7F6-8A69BC3D3202}\RP474\" - Les ressources constituées avec le prefixe = "drv" et se terminant par un suffixe composé de trois lettres aléatoires. Elles se trouvent dans le dossier "C:\WINDOWS\system32\". Voici une liste de ressources rencontrées dans les rapports : "drvbav.dll", "drvcun.dll", "drvdab.dll", "drvfan.dll", "drvgav.dll", "drvguf.dll", "drvhak.dll", "drvjal.dll", "drvjus.dll", "drvmoc.dll", "drvnuj.dll", "drvroz.dll", "drvvac.dll", "drvwog.dll", - Les ressources constituées avec le prefixe = "Win" suivit de l'infixe composé de trois lettres aléatoires et se terminant par le suffixe = "32". Elles se trouvent dans le dossier "C:\WINDOWS\system32\". Voici une liste de ressources rencontrées dans les rapports : "winbfi32.dll", "winblh32.dll", "winbjt32.dll", "winbjv32.dll", "winccf32.dll", "windvw32.dll", "wineak32.dll", "wineij32.dll", "wineil32.dll", "winemx32.dll", "winetn32.dll", "winexy32.dll", "winffn32.dll", "winghy32.dll", "wingkb32.dll", "wingsa32.dll", "winhdn32.dll", "winhqd32.dll", "winjgf32.dll", "winjyg32.dll", "winjyp32.dll", "winhdn32.dll", "winhoq32.dll", "winhwc32.dll", "winhoo32.dll", "winino32.dll", "winjee32.dll", "winjrs32.dll", "winjvd32.dll", "winkvh32.dll", "winlgj32.dll", "winmbj32.dll", "winmfu32.dll", "winmmt32.dll", "winmxw32.dll", "winpdc32.dll", "winpsa32.dll", "winptp32.dll", "winrkp32.dll", "winrkq32.dll", "wintfj32.dll", "wintjs32.dll", "wintou32.dll", "wintuh32.dll", "winubg32.dll", "winunh32.dll", "winwea32.dll", "winwil32.dll", "winwly32.dll", "winwvw32.dll", "winzoa32.dll", "winzwr32.dll", "winzzd32.dll", - Les autres ressources. Voici une liste de ressources rencontrées dans les rapports : "AdServ.dll" --> "C:\WINDOWS\system32\", Les fichiers [*]Rechercher et supprimer les fichiers suivants : - Le fichier le plus fréquemment rencontré est "crack.exe". Voici une liste de fichiers rencontrées dans les rapports : "A0010292.exe" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP73\" "an0kf6or.exe" --> "C:\WINDOWS\Temp\" "ntkernel.exe" --> "C:\" "crack.exe" --> "C:\...\PowerQuest_Partition_Magic_8.0_.rar/" "crack.exe" --> "C:\...\Microsoft_Office_Professional_Plus_2007_Beta2.rar" "crack.exe" --> "C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\64LVPPSG\Max_Payne_v1.0.2_No-CD_Crack.rar" "srvfty.exe" --> "C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\GI2USCRX\" "__delete_on_reboot__w_i_n_f_f_n_3_2_._d_l_l_" --> "C:\WINDOWS\system32" "csfwazm7.exe" --> "C:\WINDOWS\Temp\" - Les fichiers constituées avec le prefixe "cli" et un suffixe aléatoire composé de 2 chiffres. Voici une liste de fichiers rencontrées dans les rapports : "cli40.tmp" --> "C:\Documents and Settings\...\Local Settings\Temp\" "cli64.tmp" --> "C:\Documents and Settings\...\Local Settings\Temp\" - Les fichiers constituées avec le prefixe "mst" et un suffixe héxadécimal aléatoire. Voici une liste de fichiers rencontrées dans les rapports : "mst10D.tmp" --> "C:\Documents and Settings\...\Local Settings\Temp\" "mst1C.tmp" --> "C:\WINDOWS\Temp\" "mst251.tmp" --> "C:\WINDOWS\Temp\" "mst274.tmp" --> "C:\WINDOWS\Temp\" "mst368.tmp" --> "C:\WINDOWS\Temp\" "mst44E.tmp" --> "C:\WINDOWS\Temp\" "mst49F.tmp" --> "C:\WINDOWS\Temp\" "mst4CD.tmp" --> "C:\WINDOWS\Temp\" "mstED.tmp" --> "C:\WINDOWS\Temp\" La prévention Penser à faire un nettoyage complet périodique des dossiers temporaires et notamment ceux concernant la navigation internet. Mettre systèmatiquement à jour les signatures antivirales. Installer de préférence un antivirus avec update automatique. Faire régulièrement les mises à jour du système Windows, et notamment celles qui portent sur le navigateur "Microsoft Internet Explorer" mais aussi sur les logiciels de messagerie "outlook" et "outlook Express". Mettre en place un gardien de Base de Registres en mode résidant comme SpyBot. Cette précaution permettra de vous prévenir en cas d'intrusion dans la BDR. Ne pas accepter de scan antimalware lorsqu'un message d'alerte vous indique que vous êtes infecté. Consulter régulièrement les processus qui tournent dans votre "Gestionnaire des tâches Windows". Index de traitement des infections Lexique des ressources dynamiques à supprimer. J'ai un problème avec une DLL !

Bonjour à tous, Comme vous le savez, il est impossible de répondre à une FAQ, sauf après passage par un filtre de la modération. Je vous indique le lien vers cette FAQ : Infection par le trojan SpyDawn Si vous avez des remarques, des précisions, des corrections à faire, merci de me les faire remonter via ce post.