Perte de comptes utilisateurs

[Dylav]

Je ne suis pas certain d'avoir chargé le bon truc ?

Il se dénomme en effet “Java 6 Update 11” seulement, alors que ma version antérieure s'intitulait “Java SE Runtime Environment 6 Update 1”. En outre, la 6u1 pesait 134 Mo, contre 96.89 Mo seulement pour la 6u11 ?

 

Par ailleurs, il doit falloir faire quelque chose pour que la 6u11 remplace la 6u1 ? Ensuite, il semble qu'on puisse désinstaller la 6u1 ?

 

Désolé pour toutes ces questions, mais je n'aime pas travailler sans guide utilisateur, et je trouve que tous ces sites ne sont pas extrêmement clairs dans l'explication de la marche à suivre…

[Loup blanc]

Désinstalle la version 6 update 1

 

Je te prépare aussi un fix pour nettoyer ta base de registres de restes d'infections (non actives)

[Dylav]

Désinstallation JRE 6u1 effectuée : OK.

 

Ces temps-ci, ZoneAlarm m'indique régulièrement deux process qui tentent d'accéder à Internet. Il s'agit de “Generic Host Process for Win32 Services” (application svchost.exe) et “Spooler SubSystem App” (application spoolsv.exe). J'ai un peu fait le tour du Net, où il semble se raconter beaucoup de choses à leur sujet, y compris des présomptions de virus ?

 

Par ailleurs, depuis que j'ai installé Java cet après-midi, ZoneAlarm ne cesse de m'indiquer que “Java Platform SE binary” (application jusched.exe) tente d'accéder à Internet. J'ai déjà répondu 2 ou 3 fois OK, mais ça continue, ce qui commence à m'inquiéter…

[Loup blanc]

Voilà la suite :

 

• Ouvre le Bloc-note puis copie/colle les lignes suivantes dedans (sans le mot Code) :
  

  Windows Registry Editor Version 5.00
  
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]
  
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

  
  

• Ouvre le menu Fichier et choisi Enregistrer puis navigue jusqu'à ton bureau .
  
• Dans le champ Type, choisi Tous les fichiers puis dans le champ Nom du fichier tape script.reg (attention, l'extension .reg est importante)
  
• Valide avec le bouton Enregistrer.
  
• Ferme le bloc note.
  
• Va ensuite sur ton bureau et fait un clic droit sur le fichier script.reg et dans le menu contextuel, choisis Fusionner .
  
• Accepte la fusion avec ta base de registre.
  
• Redémarre ton PC.
  

 

Pour Generic Host Process for Win32 Services c'est normal qu'il tente de se connecter, pense à cocher la case "Se souvenir..." la prochaine fois pour que ZA ne te pose plus la question.

 

Pour le spooler, est-ce que tu utilises une imprimante réseau ?

[Dylav]

Voilà, suivant tes instructions, j'ai fusionné ton script.reg dans la base de registre.

 

Indépendamment de ça, j'allais poster pour t'indiquer que je retrouve les premiers symptômes de dysfonctionnement qui m'ont fait ouvrir ce topic : je ne peux à nouveau pas ouvrir un de mes dossiers, le même que précédemment. J'ai fermé et rouvert ma session, puis éteint et relancé le PC, rien n'y fait. À l'aide du gestionnaire de tâches, j'ai vu explorer monter jusqu'à plus de 50% du CPU à la demande d'ouverture de ce dossier.

 

Mon profil, cette fois, ne semble pas endommagé, puisque la session s'ouvre. Mais toutes les opérations d'ouverture (jusques et y compris le lancement d'Antivir et de ZoneAlarm), sont très longues, de l'ordre d'au moins 3 fois les durées habituelles.

 

L'inquiétude revient. Que pouvons-nous faire ? Et, en particulier, quels diagnostics souhaites-tu que je te fournisse ? Je compte lancer en fin d'après-midi un scan Antivir complet (maintenant, il est trop tard, ça dure autour de 3h40)…

 

-edit- À propos de ce dossier qui refuse de s'ouvrir

 

Dans le gestionnaire de tâches, il m'indique “Pas de réponse”. Pour stopper explorer, je fais “fin de tâche”. La tâche disparaît, mais c'est aussi l'ensemble des icônes du bureau qui s'effacent, puis réapparaissent quelques secondes plus tard : je n'aime pas beaucoup cela (ça me rappelle certaines instabilités de NT4 au bureau, en 2000/2001).

Modifié le 15 décembre 2008 par dylav

[Loup blanc]

Bon on va vérifier avec un antivirus en ligne:

 

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur en bas à droite
  
• Accepte les conditions d'utilisations
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

 

AIDE : Configurer le contrôle des ActiveX

 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Edit : Refait aussi une nouvelle vérification de ton disque,

Modifié le 15 décembre 2008 par Loup blanc

[Dylav]

Voilà, Kaspersky est parti.

 

Pour le scan disque, il n'est peut-être pas très raisonnable de mener l'opération en parallèle ?

Modifié le 15 décembre 2008 par dylav

[Dylav]

Bonjour,

 

Précision : le dossier qui appartient à mes ressources propres (c'est un sous-dossier de “Mes documents”) que je n'arrive pas à ouvrir depuis ma session, je parviens à l'ouvrir et à naviguer dedans tout à fait normalement depuis la session “Administrateur” : c'est d'autant plus étonnant.

 

Voici le rapport Kaspersky (durée 5h27, j'ai bien fait de me coucher). Il se présente sous la forme d'une page HTML, que j'ai capturée. Mais ce n'est pas pratique à transmettre ! Ci-dessous, il s'agit d'un copier/coller du contenu de ladite page.

 

Juste une remarque : mon XP n'est pas “Professional”, mais “Media Center” (enfin, “Home Family”, quoi).

 

Mais que sont ces 85 objets apparaissant sous le titre “Nom de l'objet infecté” et dits verrouillés et ignorés (colonne “Nom du virus” : “L'objet est verrouillé” et colonne “Dernière action” : “ ignoré”) ?

 

KASPERSKY ON-LINE SCANNER REPORT

 

Monday, December 15, 2008 6:46:55 AM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky On-line Scanner version : 5.0.84.2

Dernière mise à jour de la base antivirus Kaspersky : 14/12/2008

Enregistrements dans la base antivirus Kaspersky : 1310243

 

Paramètres d'analyse

Analyser avec la base antivirus suivante : standard

Analyser les archives : vrai

Analyser les bases de messagerie : vrai

 

Cible de l'analyse Poste de travail

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

 

Statistiques de l'analyse

Total d'objets analysés 313642

Nombre de virus trouvés 0

Nombre d'objets infectés 0 / 0

Nombre d'objets suspects 0

Durée de l'analyse 05:13:57

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\MSDVRMM_2215009289_196608_24424 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE1.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\{BF19FA4F-39F5-4E4F-8494-CC992E163C67}.TmpSBE L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\content-prefs.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\cookies.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\downloads.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\formhistory.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\permissions.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\places.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\places.sqlite-journal L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\webappsstore.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Application Data\Mozilla\Firefox\Profiles\i2ywckxh.default\urlclassifier3.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Historique\History.IE5\MSHist012008121520081216\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Temp\etilqs_af9lwyJCfyGmNp2bp1dT L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dominique\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{F4F1F86F-DDEA-4499-AE45-67D5345A230B}\RP310\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\MEDIA-CENTER-PC.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{A21F612F-69C6-47A9-8BB3-C7760D1A2B7B}.crmlog L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_7e8.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT06346.TMP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

[Loup blanc]

Bonjour Dylav,

 

Rien d'inquiétant dans ce rapport, les fichiers verrouillées sont ceux en cours d'utilisation par le système ou les applications, donc rien d'inquiétant.

Pour le "ignoré", c'est parce que le scan en ligne de Kaspersky ne corrige pas ce qu'il trouve, il se contente de vérifier la présence de malwares.

 

Il reste une dernière chose à faire pour finir le nettoyage :

• Ferme toutes les applications ouvertes.
  
• Télécharge OTmoveit3 (de Old timer) sur ton bureau.
  
• Fait un double clic sur le fichier OTMoveIt3.exe
  
• Vérifie que « Unregister Dll's and Ocx's » soit bien cochée,
  
• Copie la totalité du texte ci-dessous (sans le mot Code) et colle le dans la fenêtre jaune Paste Instructions for Items to be Moved :
  

  Debut
  
  :processes
  explorer.exe
  
  :services
  adxapie
  ids00026
  ids0005c
  TSP
  
  :files
  C:\WINDOWS\system32\drivers\adxapie.sys
  C:\WINDOWS\system32\drivers\ids00026.sys
  C:\WINDOWS\system32\drivers\ids0005c.sys
  C:\WINDOWS\system32\drivers\TSP.sys 
  
  :commands
  [emptytemp]
  [reboot]

  
   
  

• Ensuite clique sur "Move IT".
  
• Ton bureau va disparaitre puis ton ordinateur redémarrera.
  
• Un rapport sera crée dans C:\_OTMoveIt\MovedFiles\xxxxxxxx .log (les xxxxx représente la date et l'heure de l'utilisation de OTmoveIt), poste son contenu.
  

[Dylav]

Bonjour Loup Blanc,

 

OK, je fais ça en fin d'après-midi.

Mais dois-je le lancer avant ou après le scan disque ?

Parce que ça va notablement changer l'heure de parution du résultat (de 3 heures)