eusebe12

Bonjour Bon, comme mon amie commençait à avoir vraiment besoin de sa machine j'ai, en désespoir de cause, rechargé Windows. Bien qu'ayant utilisé les mêmes composants (du moins je le pense), il n'y a plus le problème d'alerte du Centre de Sécurité; mais je n'ai pas eu le temps de refaire le test avec Sophos anti-rootkit. Ce problème restera donc un mystère ... Désolé de t'avoir fait perdre du temps la dessus, et peut-être à une autre fois (mais je ne le souhaite pas). En tout cas merci encore pour ton aide. Cordialement

Bonjour Thanos, rien de nouveau sur le sujet sauf que, puis qu'il ne se lance pas tout seul, j'ai lancé moi même le petit programme (C:\WINDOWS\system32\wscntfy.exe) en charge d'afficher l'alerte dans la zone de notification (avec le petit bouclier rouge), et ce, aprés avoir désactivé Antivir. Il affiche bien l'alerte et, qui plus est, disparait lorsque l'on réactive l'antivirus. Le problème est donc, pourquoi n'est-il pas activé automatiquement par le Centre de Sécurité, qui pourtant se met à jour lui aussi ! Moi pas comprendre. Bon weekend

Re-salut J'ai tourné show.bat , voilà le résultat : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] J'ai aussi remplacé la démo Kaspersky par Avira, je confirme la version : Version du produit 9.0.0.67 04/08/2009 Moteur de recherche 8.02.01.07 25/08/2009 Fichier de définitions des virus 7.01.05.195 02/09/2009 Control Center 9.00.00.18 17/06/2009 Config Center 9.00.00.21 20/02/2009 Luke Filewalker 9.00.03.07 21/07/2009 AntiVir Guard 9.00.01.32 21/07/2009 Filtre 9.00.03.15 28/07/2009 Planificateur 9.00.00.09 13/05/2009 Updater 9.00.00.52 21/07/2009 Nos liens respectifs pointent bien sur le même serveur, mais les produits sont différents le tien est : antivir_workstation_winu_fr_h.exe alors que le mien est : avira_antivir_personal_fr.exe , c'est la version ci-dessus. Je l'ai configuré comme Angélique, mis à jour et lancé un scan complet; il n'a rien trouvé. Effectivement, il semble raisonnable au niveau des ressources utilisées, en particulier au démarrage. Par contre, pas de miracle, il ne déclenche pas d'alerte du centre de Sécurité lorsque Antivir Guard est désactivé, dommage. Une autre idée ?

salut Désolé mais ton fichier show.bat n'est plus accessible (File has expired); le piège des 30 minutes par défaut ? Pour l'erreur "error parsing raw registry hive S-1-5-18 ....." n'y a-t-il pas quelque chose que l'on puisse directement vérifier dans la BDR ? je ne sais pas trop à quoi cela fait référence. Merci pour tes commentaires et instructions pour Antivir, je vais donc m'orienter vers cette solution pour ce poste; j'espère juste qu'il n'est pas trop gourmand en mémoire et CPU (il n'y en a pas de rab). Bonne journée Edit: pour info, ton lien pour Antivir semble un peu obsolete; je pense que la derniere version est là : Avira AntiVir Personal - FREE Antivirus, Version 9 - date: 2009-08-17, version: 9.0.0.67 à partir du site Avira : Téléchargement Avira

Bon, j'ai fait la maj du registre, mais ça ne change rien au niveau de l'alerte; que je désactive le pare-feu ou l'anti-virus. Par contre dans la fenêtre du centre de sécurité, ils passent bien au rouge lorsqu'ils sont désactivés. Dans mes tentatives d'optimisation (ce portable est une vieille machine), aurais-je désactivé un service à tord ? Voici la liste des services actifs : Services Actifs N'y aurait-il pas un autre outil comparable à Sophos Anti-Rootkit pour confirmer/infirmer son analyse ? Du coup, j'ai fait un scan sur un autre PC (XP Home) avec ma clef USB insérée, et là, Sophos trouve des "Unknown hidden files" sur des fichiers de la clef USB qui sont pourtant des copies de fichiers stockés sur le HDD de ce PC !!! De plus en plus étrange ... Toujours de l'autre PC, j'ai re-formaté la clef USB, recopié les fichiers à partir du HDD et c'est toujours pareil : OK sur le HDD, en anomalie sur la clef. Y-a-t-il un outil pour faire un re-format (de bas niveau ?) de la clef afin d'être sur de bien la nettoyer ? Une derniere question plus pratique, ce PC n'est pas à moi, je me suis juste porté volontaire pour la migration W98 -> XP , il appartient à une amie qui l'utilise pour la messagerie, Internet et un peu de bureautique (Excel & Word). N'ayant plus de licence pour Kaspersky (j'utilise mes 3 licences), ça m'ennuie de lui demander d'en acheter une et je voudrais savoir si Avira AntiVir Personal (gratuit) pourrait être un remplaçant correct à la version d'éval de Kaspersky que j'ai mise pour l'installation de XP. Merci

Bonjour Thanos, le fichier wmploc.dll est bien là et semble identique à celui présent sur un autre poste : 7,90 Mo (8 292 352 octets) CRC32: 9C6F121D MD5: 4B46E9F60BC859FF0C442703E88F6B8F SHA-1: 0CD6C8AC41F08AA681437AD928D3661595FA6A20 La seule différence apparente est la date de création : lundi 14 avril 2008, 14:00:00 Non, le centre de sécurité n'affiche toujours pas l'alerte lorsque je désactive le pare-feu par exemple. Pas glop tout ça !

Bonjour Thanos, pas de problème pour l'attente, même l'équipe de sécurité à droit à son Dimanche, à condition bien sûr, de reprendre de bonne heure le Lundi matin, ce qui a été le cas N'ayant pas réussi à trouver un fichier log de Sophos, je l'ai relancé et envoyé une copie du premier écran : Screen Copy Sophos Il a trouvé 227 x "Unknown hidden files" en tout et toujours "error parsing raw registry hive S-1-5-18 ....." Voici le rapport de Malwarebytes' Anti-Malware, lui est beaucoup plus rassurant (le disque E: est ma clef USB). Malwarebytes' Anti-Malware 1.40 Version de la base de données: 2720 Windows 5.1.2600 Service Pack 3 31/08/2009 12:26:56 mbam-log-2009-08-31 (12-26-56).txt Type de recherche: Examen complet (C:\|E:\|) Eléments examinés: 120984 Temps écoulé: 2 hour(s), 25 minute(s), 23 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) Se pourrait-il que Sophos Anti-Rootkit se prenne les pieds dans le tapis ? A plus

Bonsoir Thanos et merci de bien vouloir t'occuper de moi. Je suis surpris que Kaspersky ne fonctionne pas car l'icone en bas à droite est bien présent, les options "Activer la protection" et "lancer au démarrage de l'ordinateur" bien selectionnées. De plus je trouve 2 processus avp.exe dans le task manager. Mais je suppose qu'il manque une entrée dans les "Running processes" de mon log HiJackThis. Cela m'inquiète aussi car sur 2 autres ordinateurs qui ont aussi Kaspersky, l'un (sous vista) ne montre rien non plus dans le log HiJackThis alors que l'autre montre une entrée : C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe C'est ça qui manque ? J'ai fais un scan complet avec Kaspersky il n'a rien trouvé, voici la log. J'en ai profité pour faire un test de création d'un fichier EICAR, et Kaspersky a bien empêché la sauvegarde du fichier. Rapport Kaspersky Date : Aujourd'hui (événements : 28) Kaspersky Anti-Virus (événements : 22) 29/08/2009 13:50:08 Protection La protection en temps réel ne fonctionne pas 29/08/2009 13:52:27 Antivirus Courrier Lancement de la tâche Antivirus Courrier 29/08/2009 13:52:27 Défense Proactive Lancement de la tâche Défense Proactive 29/08/2009 13:52:27 Antivirus IM ("Chat") Lancement de la tâche Antivirus IM ("Chat") 29/08/2009 13:52:27 Antivirus Fichiers Lancement de la tâche Antivirus Fichiers 29/08/2009 13:52:27 Antivirus Internet Lancement de la tâche Antivirus Internet 29/08/2009 13:53:54 Autodéfense Interdit REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default 29/08/2009 14:03:01 Analyse des Objets Lancement de la tâche Recherche de virus 29/08/2009 14:03:02 Analyse des Objets Fin de la tâche Recherche de virus 29/08/2009 14:03:58 Analyse des Objets Lancement de la tâche Analyse Complète 29/08/2009 14:22:32 Analyse des Objets Lancement de la tâche Recherche d'outils de dissimulation d'activité 29/08/2009 14:35:22 Analyse des Objets Fin de la tâche Recherche d'outils de dissimulation d'activité 29/08/2009 15:32:36 Analyse des Objets Fin de la tâche Analyse Complète 29/08/2009 15:56:25 Analyse des Objets Lancement de la tâche Recherche de virus 29/08/2009 15:56:25 Analyse des Objets Fin de la tâche Recherche de virus 29/08/2009 15:57:40 Analyse des Objets Lancement de la tâche Recherche de virus 29/08/2009 15:57:41 Analyse des Objets Fin de la tâche Recherche de virus 29/08/2009 15:58:44 Analyse des Objets Lancement de la tâche Recherche de virus 29/08/2009 15:58:44 Analyse des Objets Fin de la tâche Recherche de virus 29/08/2009 16:00:06 Mise à jour Lancement de la tâche Mise à jour 29/08/2009 16:07:08 Mise à jour Fin de la tâche Mise à jour 29/08/2009 16:12:30 Protection Un programme malveillant a été découvert Explorateur Windows (événements : 5) 29/08/2009 13:59:39 Autodéfense Interdit C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe 29/08/2009 16:12:29 Antivirus Fichiers Détectés: EICAR-Test-File C:\Documents and Settings\M-F\Mes documents\TEST.txt 29/08/2009 16:24:07 Antivirus Fichiers Non réparés: EICAR-Test-File C:\Documents and Settings\M-F\Mes documents\TEST.txt Ignoré par l'utilisateur 29/08/2009 16:24:08 Antivirus Fichiers Détectés: EICAR-Test-File C:\Documents and Settings\M-F\Mes documents\TEST.txt 29/08/2009 16:24:11 Antivirus Fichiers Non réparés: EICAR-Test-File C:\Documents and Settings\M-F\Mes documents\TEST.txt Ignoré par l'utilisateur HijackThis (événements : 1) 29/08/2009 14:01:38 Autodéfense Interdit C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe Rapport Gmer J'ai déconnecté Internet et arrété Kaspersky et Outpost avant le scan Mon scan GMER Celui-la je dois confesser que je n'y comprend pas grand chose ! en admettant que je comprenne un peu les autres (ce qui n'est pas tout a fait le cas). Merci encore et bon Dimanche

Bonjour, mise à jour de mon post : le problème semble s'étendre et maintenant Sophos Anti-Rootkit me trouve plus de 200 x "Unknown hidden files" Je ne sais plus quoi faire. Merci de vos conseils

Bonjour, ayant constaté une charge CPU importante de SPBBSvc.exe et CCEVTMGR.exe (Symantec AntiVirus Corporate Edition) sur une installation toute fraiche de Windows XP Pro (avec SP3 et mises à jour avec Windows Update) en remplacement d'un W98 chaotique, j'ai trouvé dans divers forums de nombreux posts faisant état de Rootkit pour ce genre de soucis. J'ai alors fait tourner Sophos Anti-Rootkit (1.5.0) et celui-ci après avoir trouvé le problème : "error parsing raw registry hive S-1-5-18. registry scan may not be supported on this version of windows." trouve maintenant, en plus, 37 x "Unknown hidden files" qui, pourtant semblent tout à fait normaux comme, par exemple : "C:\Program Files\Microsoft Silverlight\3.0.40723.0\agcore.dll" ou "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avzkrnl.dll" De plus, ces 2 fichiers sont reconnus 100% propres par VirusTotal. Mon deuxième motif d'inquiétude est le fait que le Centre de Sécurité Windows n'affiche pas l'alerte de sécurité lorsque l'on suspend l'antivirus ou le pare-feu; pourtant les options sont bien sélectées et le service associé démarré (automatique); j'ajoute que si on ouvre le centre de sécurité manuellement les informations sont bien mises à jour. J'ai maintenant remplacé le SAV CE par la version d'évaluation de Kaspersky 2010 (9.0.0.463), pour voir, et la charge CPU est maintenant acceptable; mais restent les problèmes mentionnés ci-dessus pour lesquels je sollicite votre aide. Je vous en remercie par avance. Ci-dessous, mon log HiJackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:56:54, on 26/08/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Lenovo\TrackPoint\tp4serv.exe C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll O3 - Toolbar: PrivBar - {300BC64A-BF32-4cc8-8917-91148CEFE700} - C:\DropMyRights\PrivBar.dll O4 - HKLM\..\Run: [TrackPointSrv] C:\Program Files\Lenovo\TrackPoint\tp4serv.exe O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall Pro\ie_bar.dll O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1249640070789 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1249958891900 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe -- End of file - 5076 bytes