winupgro.exe installé sur ma machine

[Mark]

Salut act

 

C'est à peu près ça, oui. Seuls les pilotes critiques au fonctionnement "minimal" sont chargés. Plusieurs Services ne sont pas chargés également (XP et Vista). Ce mode existe surtout pour le dépannage, lorsque des conflits existent par exemple. Il peut aussi servir pour supprimer des bestioles qui refusent d'être supprimées en mode Normal (Bagle par exemple, qui est pratiquement sans vie en Sans Échec, mais se protège en tuant les clés nécessaires au lancement du mode).

 

==============

 

Je vais te demander de regarder un truc dans Windows (une piste possible) :

 

Lance l'éditeur du registre ("Démarrer" >> "Exécuter..." >> tape regedit puis valide [Ok])

 

Regarde sous ces clés :

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00#\Control\SafeBoot

(où # est un chiffre de 1 à 3, parfois 4 et +)

 

Dans ces clés, il y a deux sous clés : Minimal et Network

 

Dis-moi si ces clés sont peuplées ou non (en cliquant le "+" devant elles) ; elles pourraient contenir une bonne trentaine de sous clés. Si oui, dis-moi laquelle ou lesquelles (exemple : ControlSet001) ; possible qu'elles soient vides aussi. Ne me liste pas le contenu, je veux juste savoir si les sous clés existent ou non. Ceci pourrait permettre une restauration de clé, si Bagle n'a pas tout vidé. Si tu y trouves les sous clés, je te ferai faire exporter la clé et je te prépare une manip. Sinon, je trouverai une clé par un autre moyen

 

@+

[act]

Alors voici les résultats de le vérification des clés

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00#\Control\SafeBoot

 

Il y a trois clés

ControlSet001\Control\SafeBoot

ControlSet002\Control\SafeBoot

CurrentControlSet\Control\SafeBoot

 

Dans ces clés, il y a bien deux sous clés : Minimal et Network

et ces clés sont peuplées, elles contiennent une bonne trentaine de sous clés.

Mince, je viens de me rendre compte que je n'ai pas vérifié si c'est bonne trentaine de sous clés contenaient quelque chose.

Bon je vais vérifier demain.

Ciao et bonne nuit

Modifié le 25 mars 2009 par act

[Mark]

Merci

 

Si elles sont peuplées, c'est bon signe. Je te prépare une petite manip dans quelques heures (là je manque de temps) que tu pourras exécuter demain.

 

Bonne nuit

[Mark]

Bonjour act

 

J'ai testé à nouveau chez moi, et j'ai une petite mauvaise nouvelle au sujet des clés SafeBoot : Bagle les supprime toutes dès qu'il s'installe. Tes clés sont peuplées, oui, mais avec les mauvaises sous clés (celles que je t'ai fait mettre l'autre jour - qui ne fonctionnent pas..). Pas de soucis par contre, car je pense avoir trouvé une source très fiable qui me fera parvenir la clé en question (la bonne), très bientôt. Je vais attendre pour cette clé et je reviens ici le plus tôt possible.

 

Je tiens également à te remercier : grâce à nos petites expériences, tu m'as fait découvrir une nouvelle technique pour virer cette saleté de Bagle (testée chez moi, sans Linux). Nos outils fonctionnent très bien sous 32 Bits, mais là j'ai une technique qui fonctionnera sous 32 et sous 64 Bits, sans risques je pense et sans les outils puissants. Je vais mettre ça au point, tout doucement. C'est toujours intéressant d'avoir une méthode alternative sous la main.

 

À três bientôt pour la suite des réparations (mineures).

[act]

Bonjour Qc001,

 

J'attends de tes nouvelles pour la suite, merci.

Bonne journée.

Ciao

[Mark]

Bonsoir act ;

 

J'ai le fichier qui, je l'espère, fera le travail cette fois-ci. Il vient d'un XP Pro 64 SP2. C'est par là >>

http://senduit.com/aacbc0

 

Même technique que la fois précédente :

 

- Sauvegarde-le sur le Bureau (Windows)

- Exécute-le et accepte la fusion avec le registre.

- Redémarre et tapote F8, puis essaie le mode Sans Échec.

 

J'attends de tes nouvelles pour la suite

 

@+

[act]

Salut Qc001,

 

Bon, parfait le mode sans échec fonctionne parfaitement.

Le PC aussi tourne comme une horloge.

Un petit "freeze" avec Live d'Ableton, mais je charge de gros projets, ça à l'air d'avoir un rapport avec la gestion de la RAM ?

Enfin bon, mon problème avec Live, n'est pas un problème de sécurité, je pense.

J'ai fait un nettoyage de tous mes périphériques de stockage avec Antivir et tout est "clean" maintenant.

Dois je faire d'autres manipulations maintenant ?

Merci

Ciao

[Mark]

Voilà une bonne nouvelle

 

Pour Live maintenant : je ne crois sincèrement pas que ce soit lié à l'infection. Si le programme avait été touché, il ne se lancerait plus du tout. Sur mon XP d'essaies, j'ai dû lancer Bagle une bonne quarantaine de fois et il tourne toujours assez rondement malgré les assaults, sans parler des autres bestioles qui ont tourné aussi.

 

Ta RAM : je vois que tu as 4 Gigas ce qui me semble très suffisant. Possible que les gros projets en bouffent une bonne partie mais ça devrait aller. Ton lecteur D: par contre arrive bientôt à saturation (juste 15% d'espace libre au début de nos manipulation) ; Windows n'aime pas trop les lecteurs ayant moins de 15% d'espace libre... Il te faudrait peut-être ajouter un DD, interne ou externe, surtout avec tes gros projets.

 

Là je vais te conseiller un truc à essayer mais il faut être très vigilant : désactive la protection d'AntiVir lorsque Live rame, juste pour voir. Tu fais ça avec un clic droit sur l'icône près de l'horloge (le parapluie) et puis clique sur "AntiVir Guard enable" (il y aura un crochet devant lorsqu'activé - pas de crochet lorsque désactivé et le parapluie se referme). Ne surfe pas sans le "Guard" par contre. Si ça aide pour Live, tu sauras quoi faire lorsque tu bosses.

 

Tu pourras aussi nettoyer/vider les fichiers temporaires et défragmenter les lecteurs. Pour les fichiers temporaires, il existe plusieurs petits softs gratuits qui le font, mais je ne sais pas s'ils tournent sous XP 64 Bits alors il serait prudent de le faire via Windows directement ("Démarrer" >> "Programmes" >>"Accessoires" >> "Outils système" >> "Nettoyage de disque").

 

==========

 

Là je vais te faire réactiver le Centre de Sécurité de Windows (désactivé par Bagle) :

 

"Démarrer" >> "Exécuter..." et tape ceci : services.msc (valide avec [OK])

 

- Dans la liste qui apparaît, retrouve "Centre de sécurité" et double-clique dessus ;

- Mets le "Type de démarrage" à "Automatique"

- Clique le bouton "Démarrer" (juste au-dessous) puis valide avec [OK]

 

Possible que tu aies une alerte du Centre de Sécurité (un bouclier près de l'horloge) qui t'avise que les mises à jour automatiques sont désactivées : tu pourras les réactiver à partir de là (double-clique sur le bouclier et suis les invites). Si tu ne veux pas de mises à jour auto pour Windows, tu pourras désactiver l'alerte via le Centre de Sécu (Panneau de Config >> Centre de Sécurité).

 

~~~~~~~~~~~~~~~~~

 

Pour supprimer OTListIt2 proprement : lance l'outil et clique le bouton "CleanUp" (au haut à droite).

 

Voilà, je crois que tout est en règle à présent

 

Pour AntiVir : à chaque mise à jour du logiciel, une fenêtre popup apparaît t'invitant à acheter la version Premium ; ceci est normal et tu peux simplement fermer la fenêtre avec la touche Échap, en cliquant "OK" ou en cliquant le "X" (au haut à droite).

 

Questions ? Pas de gêne

 

@+

[act]

La réactivation du Centre de Sécurité de Windows est effective.

Je vais faire du ménage sur mes disques durs, j'ai une copie de l'intégralité de mes documents maintenant.

OTListIt2 est supprimé et pour ce qui est d'antivir aucun problème, je l'ai déjà utilisé sur un vieux PC, je le connais un peu.

Une dernière question. Je cherche un firewall style ZoneAlarm Free qui malheureusement ne s'installe pas sous XP64.

Si tu as des pistes ?

A +

Bonne soirée

[act]

Salut Qc001 et toute l'équipe,

 

Cette courte réponse pour vous dire un grand merci pour votre soutiens et votre aide.

Enfin sur Zebulon j'ai trouvé un forum sérieux et efficace.

Mille merci

 

Pour ce qui est des firewalls j'ai trouvé un site bien fourni :

http://www.firewall-net.com/tools/firewall...knstop&l=fr

 

Et deux firewalls le premier gratuit et à configurer entièrement manuellement

http://www.ghostsecurity.com/ghostwall/

le deuxième qui se rapproche vraiment du fonctionnement de ZoneAlarm, mais qui coûte 29euros

http://www.looknstop.com/Fr/application_filtering.htm

 

Encore mille merci

A bientôt