petite infection

jeanphy · le 5 août 2009

Forcer, si c'est grisé, pas trop.
En installer un autre oui, si les restrictions en vigueur sont ok. Il n'y a pas de firewall via une passerelle réseau ?

Tu peux toujours tenter d'installer Online Armor free, mais ce n'est pas garanti que ça passe :

http://dl1.online-armor.com/downloads/Onli...up_Free_FRA.exe

Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

et bah j'ai pris l'initiative de désinstaller avira pour le réinstaller. J'ai fais ca et mon pare feu c'est miraculeusement activé....

le scan en ligne est en cours! Sur ce que tu a vus des différents rapport, pour toi il y a toujours quelque chose?

Sinon petit HS. Sur mes autres ordi j'utilise mc afee total protection qui m'a l'air bien (qu'en penses tu?) Par contre il prend pas mal de ressources (surtout quand le parefeu est actif!) et j'arrive pas a le paramétrer pour me faire un scan de ma machine une fois par jour. sais-tu si c'est possible?

Je voudrais pas abuser de ta gentillesse mais tant qu'a faire je vais essayer de mettre en place une stratégie de sécurité légèrement plus performante pour mes ordis....

Merci

Falkra · le 5 août 2009

et bah j'ai pris l'initiative de désinstaller avira pour le réinstaller. J'ai fais ca et mon pare feu c'est miraculeusement activé....

C'est curieux, surtout si c'est l'antivir gratuit, mais tant mieux.

Le scan en ligne est en cours! Sur ce que tu a vus des différents rapport, pour toi il y a toujours quelque chose?

Oui, ça revient au lieu d'abdiquer et partir à la poubelle. Pour gagner du temps, on va faire quelques vérifications de plus.

Sur mes autres ordi j'utilise mc afee total protection qui m'a l'air bien (qu'en penses tu?) Par contre il prend pas mal de ressources (surtout quand le parefeu est actif!) et j'arrive pas a le paramétrer pour me faire un scan de ma machine une fois par jour. sais-tu si c'est possible?

Les produits de McAfee, je les trouve lourds, et très bof côté efficacité. Bon pour du PC d'entreprise, comme Norton quoi. Je ne sais pas pour le scan, mais il doit y avoir moyen de bricoler.

jeanphy · le 5 août 2009

C'est curieux, surtout si c'est l'antivir gratuit, mais tant mieux.

Oui, ça revient au lieu d'abdiquer et partir à la poubelle. Pour gagner du temps, on va faire quelques vérifications de plus.

Les produits de McAfee, je les trouve lourds, et très bof côté efficacité. Bon pour du PC d'entreprise, comme Norton quoi. Je ne sais pas pour le scan, mais il doit y avoir moyen de bricoler.

aprés avoir refait une analyse avira voila le résultat:

aprés un petit scan avec avira:

http://img33.imageshack.us/img33/2905/94182617.jpg

et quand je fait réparer il me met ca:

http://img34.imageshack.us/img34/8014/49986775.jpg

que puis je faire?

Falkra · le 5 août 2009

Argh, ne redémarre pas hein, c'était le truc à ne pas faire.

Tu viens de lui faire virer un driver NTFS important (infecté, sans doute, mais vital pour windows). Il faut en restaurer un sinon tu ne démarreras plus (ou alors on entre dans des procédures bien pénibles).

Donne lui le CD SP3 si tu l'as, sinon exécute ce fichier batch :

http://senduit.com/81583c

Il te fera un rapport à poster, au passage, et devrait restaurer une copie du fichier.

jeanphy · le 5 août 2009

aprés avoir refait une analyse avira voila le résultat:

aprés un petit scan avec avira:

http://img33.imageshack.us/img33/2905/94182617.jpg

et quand je fait réparer il me met ca:

http://img34.imageshack.us/img34/8014/49986775.jpg

que puis je faire?

rapport:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptsvc]

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00

"Description"="Fournit trois services de gestion : le service de base de données de catalogue, qui confirme la signature des fichiers Windows; le service de racine protégée, qui ajoute et supprime des certificats d'autorité de certification de racine approuvés et le service Clé, qui fournit une aide dans l'inscription de cet ordinateur pour les certificats. Si ce service est arrêté, ces services de gestion ne fonctionneront pas correctement. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas."

"DisplayName"="CryptSvc"

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"ObjectName"="LocalSystem"

"Start"=dword:00000002

"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptsvc\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

63,00,72,00,79,00,70,00,74,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\

00

"ServiceMain"="CryptServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptsvc\Security]

"Security"=hex:00,00,0e,00,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptsvc\Enum]

"0"="Root\\LEGACY_CRYPTSVC\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

ⴠⴭⴭⴭⴭⴭⴭ਍Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon]

"Description"="Permet le démarrage des processus sous d'autres informations d'identification. Si ce service est arrêté, ce type d'ouverture de session sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas."

"DisplayName"="Secondary Logon"

"ErrorControl"=dword:00000000

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"Objectname"="LocalSystem"

"Start"=dword:00000002

"Type"=dword:00000120

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

73,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,2e,00,64,00,6c,00,6c,00,00,\

00

"ServiceMain"="SvcEntry_Seclogon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\

05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\

23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\

02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon\Enum]

"0"="Root\\LEGACY_SECLOGON\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

ⴠⴭⴭⴭⴭⴭⴭ਍Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler]

"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00

"Description"="Charge des fichiers en mémoire pour une impression ultérieure."

"DisplayName"="Spouleur d'impression"

"ErrorControl"=dword:00000001

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,e8,47,0c,\

00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

"Group"="SpoolerGroup"

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,70,00,6f,00,6f,00,6c,00,73,00,76,00,2e,00,65,00,78,00,65,00,00,00

"ObjectName"="LocalSystem"

"Start"=dword:00000002

"Type"=dword:00000110

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler\Performance]

"Close"="PerfClose"

"Collect"="PerfCollect"

"Collect Timeout"=dword:000007d0

"Library"="winspool.drv"

"Object List"="1450"

"Open"="PerfOpen"

"Open Timeout"=dword:00000fa0

"WbemAdapFileSignature"=hex:bd,83,ab,a6,1e,8a,cc,c8,d9,ff,b8,69,f2,94,18,ce

"WbemAdapFileTime"=hex:00,29,52,e3,7a,79,c4,01

"WbemAdapFileSize"=dword:00023c00

"WbemAdapStatus"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\

05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\

23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\

02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler\Enum]

"0"="Root\\LEGACY_SPOOLER\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

ⴠⴭⴭⴭⴭⴭⴭ਍

Impossible de remettre la main sur le cd.....arrgghh je cherche.

en exécutant ton batch ca suffit?

Argh, ne redémarre pas hein, c'était le truc à ne pas faire.
Tu viens de lui faire virer un driver NTFS important (infecté, sans doute, mais vital pour windows). Il faut en restaurer un sinon tu ne démarreras plus (ou alors on entre dans des procédures bien pénibles).

Donne lui le CD SP3 si tu l'as, sinon exécute ce fichier batch :

http://senduit.com/81583c

Il te fera un rapport à poster, au passage, et devrait restaurer une copie du fichier.