Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]ProcessGuard en force

Thanos

Par Thanos
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut @tous :-P

 

Juste une petite question concernant PG:

 

Depuis que j'ai allumé le pc , PG affiche une bulle toutes les 3,4 secondes pour

 

dire que wmiprvse.exe s'est vu refusé la lecture de tel ou tel processus(winlogon,

 

csrss....)

 

Etant donné qu'il s'agit de WMI, je me suis dit que j'allais lui accorder des droits

 

de lecture pour qu'il arrete de me bassiner toutes les secondes :-(

 

Mais malgré le fait d'avoir coché la case"read from protected applications"ca revient!

 

J'avais mis ce service sur manuel(à partir du menu "services")

 

Quelqu'un peut-il me dire pourquoi il tente de tout lire , et pourquoi maintenant?

 

Merci d'avance :P

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour charles ingals, bonjour à tous,

 

Je n'utilise pas PG,je m'abstiendrais donc de parler de choses que je ne connais pas.

Par contre,j'aimerais bien que tu regardes si tu as les fichiers suivants sur ton pc:

 

userlogon.exe dans le dossier Windows

 

rsasec.dll et ntsvc.exe.

dans le dossier Windows\System32.

 

(Assure toi d'avoir accés à tous les fichiers )

 

@+

megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Bonjour Charles. Anormal en effet, d'autant que cet exe embarque parfois des trojans, ce qui peut donner une explication aux alertes de PG.

 

Rappel : ne jamais retirer les protections Modyfy et Terminate à une application qui jusque là ne demandait rien, c'est un signe d'une tentative d'intrusion car, si c'est toi qui modifie l'appli, PG va te demander ton autorisation.

 

edit : bonjour queruak et félicitations pour le 1000 message efficace, comme d'habitude Docteur Malware :P :-(

Modifié par megataupe
Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

salut Queruak,Mégataupe :-P

 

Je n'ai trouvé ni userlogon.exe dans le dossier Windows , ni rsasec.dll et ntsvc.exe.

 

dans le dossier Windows\System32. C'est bon signe? :-(

 

Anormal en effet, d'autant que cet exe embarque parfois des trojans

 

Pas rassurant cette histoire! J'ai mis ce service en manuel , mais c'est vrai que c'est la

 

première fois qu'il se manifeste (merci PG!)

 

Vous savez quoi? je vais faire un antivirus en ligne par curiosité , je vous donnerais

 

le résultat :-P

 

bonjour queruak et félicitations pour le 1000 message efficace, comme d'habitude Docteur Malware

 

Je n'ai qu'une chose à dire: :P (@ toute à l'heure!)

Léon9 Member

Léon9

Posté(e)
Posté(e)

Avant d'aller à l'onglet protection pour accorder les droits, il faut peut-être passer d'abord par l'onglet Sécurité, sélectionner wmiprvse.exe dans la liste déroulante, faire un clic droit dessus et sélectionnez Add to protection list.

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

re tout le monde :-(

 

Avant d'aller à l'onglet protection pour accorder les droits, il faut peut-être passer d'abord par l'onglet Sécurité, sélectionner wmiprvse.exe dans la liste déroulante, faire un clic droit dessus et sélectionnez Add to protection list.

 

Salut Léon9 , merci du conseil :-P c'est fait!

 

Rappel : ne jamais retirer les protections Modyfy et Terminate à une application qui jusque là ne demandait rien, c'est un signe d'une tentative d'intrusion car, si c'est toi qui modifie l'appli, PG va te demander ton autorisation.

 

Important de le souligner,Mégataupe. Voici le scan que j'ai éffectué sur Zeb:

Incident Statut Analyse

 

Adware:Adware/TopRebates No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\7793765D-8BF6-468D-9049-D8C638\AA02BA84-05F2-4006-B79E-15FE72

Adware:Adware/TopRebates No Désinfecté C:\Program Files\Microsoft AntiSpyware\Quarantine\7793765D-8BF6-468D-9049-D8C638\AC336404-9BC2-4AA9-90E2-275B87

Adware:Adware/SaveNow No Désinfecté C:\WINDOWS\system32\ap2nqrd4.dat

Adware:Adware/WUpd No Désinfecté C:\WINDOWS\system32\ap9h4qmo.ini

Adware:Adware/SaveNow No Désinfecté C:\WINDOWS\system32\baur5s9q.dat

Adware:Adware/SaveNow No Désinfecté C:\WINDOWS\system32\q10pvbrv.dat

Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\system32\ritsacnk.dat

Adware:Adware/WinTools No Désinfecté D:\help\microantispy\Quarantine\E1A9994F-803F-41E1-8F96-DEFEB8\F43C8590-AB43-4172-B793-61733B

Adware:Adware/WinTools No Désinfecté D:\help\microantispy\Quarantine\FF79DE28-D468-42D8-A8F6-AB6243\FDEC6F4C-B25D-42D1-9E11-ADA7A8

 

Il est pas beau le scan? :P

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Tu peux dire merci à Mister PG sinon, c'était 12 messages de plus pour l'ami queruak :-( et des sueurs froides pour toi.

 

Ceci dit, voilà le type d'action que bloque ProcessGuard si l'application n'est pas autorisée. Il s'agit ici d'une tentative de demande de rapport de ce brave Docteur Watson (encore un mouchard de Billou :P ) qui n'a pas droit de cité dans ma liste d'applis protégées :

 

Wed 08 - 09:59:01 [EXECUTION] "g:\windows\system32\drwtsn32.exe" was blocked from running

[EXECUTION] Started by "Unknown Process" [1588]

[EXECUTION] Commandline - [ drwtsn32 -p 1588 -e 680 -g ]

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour à tous,

 

Je n'ai trouvé ni userlogon.exe dans le dossier Windows , ni rsasec.dll et ntsvc.exe.

dans le dossier Windows\System32. C'est bon signe?

 

C'est bon signe dans le sens qu'il ne s'agit pas d'un trojan particulier (je n'ai plus le nom en tete ) lol

 

Par contre le scan en ligne n'est pas beau.

 

Voila ce que tu vas faire:

 

-1-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-Vide les quarantaines de:

*C:\Program Files\Microsoft AntiSpyware\Quarantine <--Tu vides tout le contenu

*D:\help\microantispy\Quarantine<--Tu vides tout le contenu

 

-2-Supprime les fichiers suivants.

 

.C:\WINDOWS\system32\ap2nqrd4.dat<-le fichier

.C:\WINDOWS\system32\ap9h4qmo.ini<-le fichier

.C:\WINDOWS\system32\baur5s9q.dat<-le fichier

.C:\WINDOWS\system32\q10pvbrv.dat<-le fichier

.C:\WINDOWS\system32\ritsacnk.dat<-le fichier

 

-Vide la corbeille.

 

NB

C'est quoi ce programme microantispy ???

 

@+

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

Salut à tous,

 

process guard est un excellent programme, le seul inconvéniant, c'est qui faut l'installer sur un pc nickel, sinon, c'est pas la peine, il risque d'accorder des droits à des programmes non fiables.....

Modifié par tesgaz
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
Salut à tous,

 

process guard est un excellent programme, le seul inconvéniant, c'est qui faut l'installer sur un pc  nickel, sinon, c'est pas la peine, il risque d'accorder des droits à des programmes non fiables.....

514566[/snapback]

 

Salut Tesgaz :P . C'est effectivement le seul problème que pose ce très bon soft et avant de l'installer, il est impératif de faire un nettoyage très soigneux + un petit coup d'Hijackthis avant de commencer la vaccination des applications.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...