[Résolu] Malware Virtumonde

[Mark]

Bien reçu, et Merci Voici donc les rapports :

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 12:24:58, 09/01/2006

+ Somme de contrôle: ECE4EAF6

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\MSEvents.MSEvents -> Spyware.VirtuMonde : Erreur

durant le nettoyage

HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CLSID -> Spyware.VirtuMonde :

Erreur durant le nettoyage

HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CurVer -> Spyware.VirtuMonde :

Erreur durant le nettoyage

HKLM\SOFTWARE\Classes\MSEvents.MSEvents.1 -> Spyware.VirtuMonde : Erreur

durant le nettoyage

C:\Program Files\Comureus\Cache\00004823_43a289d8_000c4994.mwt ->

Downloader.IstBar.j : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Voila le rapport de RegSearch:

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 09/01/2006 20:03:55 for strings:

; 'msevents'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00063077-0000-0000-C000-000000000046}]

@="ItemsEvents"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CLSID]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer]

@="MSEvents.MSEvents.1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1\CLSID]

 

; End Of The Log...

 

 

Et HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:08:57, on 09/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus1.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Shareaza\Shareaza.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.msn.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: FlashFXP Helper for Internet Explorer -

{E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}

- C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -

C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus!

3\MsgPlus1.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers

communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus

DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone

Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"

/background

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program

Files\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program

Files\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program

Files\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&xport to Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program

Files\Google\googletoolbar.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program

Files\Google\googletoolbar.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} -

http://adserver.sharewareonline.com/adserver/Install.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/...b?1128709150617

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 -

HKLM\System\CCS\Services\Tcpip\..\{413A4BAE-C6B7-47B2-BAB0-08F5129CBB0F}:

NameServer = 80.118.196.41 80.118.192.111

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program

Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -

Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f

"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

 

J'analyse le tout. J'ai un peu de recherche à faire... Réponse bientôt..

[Mark]

Ok, on attaque MSEvents. L'outil Regsearch de Bobbi ne fouille pas dans la ruche HKCR, donc on va faire autrement. Je te fais passer un fix "standard" pour la bdr. Prends le temps de bien lire les instructions qui suivent avant de procéder.

 

Ouvre le Bloc Notes, puis copie tout le contenu de la boîte Code ci-bas (sans le mot Code), puis colle tout ça dans le fichier texte :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}]

[-HKEY_CLASSES_ROOT\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39D2FC9B-041C-470E-AE72-F8C001247626}]

[-HKEY_CLASSES_ROOT\CLSID\{39D2FC9B-041C-470E-AE72-F8C001247626}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF7FCAFB-9FDB-4F5E-BAC6-68BDEE61D6C6}]

[-HKEY_CLASSES_ROOT\CLSID\{AF7FCAFB-9FDB-4F5E-BAC6-68BDEE61D6C6}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_CLASSES_ROOT\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBE0D59D-F985-4AC6-8826-FEE957065D42}]

[-HKEY_CLASSES_ROOT\CLSID\{CBE0D59D-F985-4AC6-8826-FEE957065D42}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7BF451AC-2010-4804-B256-DB2F0A8D9EB6}]

[-HKEY_CLASSES_ROOT\CLSID\{7BF451AC-2010-4804-B256-DB2F0A8D9EB6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{39D2FC9B-041C-470E-AE72-F8C001247626}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{AF7FCAFB-9FDB-4F5E-BAC6-68BDEE61D6C6}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CBE0D59D-F985-4AC6-8826-FEE957065D42}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7BF451AC-2010-4804-B256-DB2F0A8D9EB6}]
"Compatibility Flags"=dword:00000400


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152}]

[-HKEY_CLASSES_ROOT\CLSID\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152}]
"Compatibility Flags"=dword:00000400

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{827DC836-DD9F-4A68-A602-5812EB50A834}]

[-HKEY_CLASSES_ROOT\CLSID\{827DC836-DD9F-4A68-A602-5812EB50A834}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{827DC836-DD9F-4A68-A602-5812EB50A834}]
"Compatibility Flags"=dword:00000400


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{52B1DFC7-AAFC-4362-B103-868B0683C697}]

[-HKEY_CLASSES_ROOT\CLSID\{52B1DFC7-AAFC-4362-B103-868B0683C697}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{52B1DFC7-AAFC-4362-B103-868B0683C697}]
"Compatibility Flags"=dword:00000400

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}]

[-HKEY_CLASSES_ROOT\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}]
"Compatibility Flags"=dword:00000400

 

Clique sur le menu "Fichier" >> "Enregistrer sous.." puis choisis le Bureau comme destination. Nomme le fichier vundo.reg et change le Type: pour Tous les fichiers. Clique Enregistrer

 

De ton Bureau, double clique le fichier vundo.reg et accepte la fusion. Redémarre ton PC.

 

Supprime l'outil Regsearch (le dossier), ainsi que le dossier téléchargé de l'outil (regsearch.zip).

 

Télécharge l'outil Regsrch (de Billsway) de ce lien :

http://www.billsway.com/vbspage/

 

Va tout au bas de la page et télécharge Registry Search Tool sur ton Bureau. Dézippe le contenu sur le Bureau (fichier Regsrch.vbs). Double clique sur ce fichier. Si ton antivirus t'averti qu'un script tente de s'exécuter, accepte. Dans la boîte de recherche, tape (ou copie/colle) ceci :

 

MSEvents

 

..et click OK. Sois patient et tu verras le résultat de recherche apparaître. Clique OK et un fichier texte s'ouvrira. Copie/colle le contenu de ce fichier ici, dans ta prochaine réponse.

 

@ Plus tard

Modifié le 12 janvier 2006 par Qc001

[John77]

voila le résultat:

 

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "MSEvents" 11/01/2006 20:07:21

 

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00063077-0000-0000-C000-000000000046}]

@="ItemsEvents"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CLSID]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer]

@="MSEvents.MSEvents.1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1\CLSID]

 

Je t'attends pour la suite des évenements....

 

Bonne soirée et Merci.

[Mark]

Ok, on y arrive !! Supprime le fichier vundo.reg s'il te plaît.

 

Ouvre le Bloc Notes, puis copie tout le contenu de la boîte Code ci-bas (sans le mot Code), puis colle tout ça dans le fichier texte :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

 

Clique sur le menu "Fichier" >> "Enregistrer sous.." puis choisis le Bureau comme destination. Nomme le fichier vundo2.reg et change le Type: pour Tous les fichiers. Clique Enregistrer

 

De ton Bureau, double clique le fichier vundo2.reg et accepte la fusion. Redémarre ton PC.

 

Relance l'outil regsrch.vbs et recherche pour MSEvents à nouveau. Copie/colle le rapport dans ta prochaine réponse

Modifié le 12 janvier 2006 par Qc001

[John77]

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "MSEvents" 12/01/2006 19:54:59

 

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00063077-0000-0000-C000-000000000046}]

@="ItemsEvents"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CLSID]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer]

@="MSEvents.MSEvents.1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1\CLSID]

 

Merci.

[Mark]

Bonsoir John, et merci pour les manips !

 

As-tu eu une erreur qui s'affichait lors de la fusion du fichier .reg ?

 

J'ai vu un ou deux cas semblables il y a quelques mois. Ce qui semble se produire c'est que, par un phénomène inexpliqué, les droits d'accès à ces clés de registre ont été modifiés, dont tu ne peux les virer à la régulière. J'avais une manip avec RegLite (plutôt rigolotte...), mais l'outil a changé, et tout est en Anglais, donc je devrai bosser un peu afin de préparer quelque chose de potable. Ton infection n'est plus active, donc le temps nous presse un peu moins maintenant. Donne moi une journée ou deux, pis je reviendrai avec la technique.

 

À très bientôt

[John77]

Bonsoir John, et merci pour les manips !

 

As-tu eu une erreur qui s'affichait lors de la fusion du fichier .reg ?

 

J'ai vu un ou deux cas semblables il y a quelques mois. Ce qui semble se produire c'est que, par un phénomène inexpliqué, les droits d'accès à ces clés de registre ont été modifiés, dont tu ne peux les virer à la régulière. J'avais une manip avec RegLite (plutôt rigolotte...), mais l'outil a changé, et tout est en Anglais, donc je devrai bosser un peu afin de préparer quelque chose de potable. Ton infection n'est plus active, donc le temps nous presse un peu moins maintenant. Donne moi une journée ou deux, pis je reviendrai avec la technique.

 

À très bientôt

[John77]

Aucune erreur s'est affichée!!!!

 

A priori , "virtumonde" n'est qu'un spyware.... donc pas trés dangereux....C'est ça non??

 

En fait, je te posais des questions face à mon parefeu windows qu'il est impossible d'activer...Certes, Zonelabs est p étre mieux, mais le probléme, c'est que méme avant d'avoir installé le moindre parefeu....La case "installation", était impossible à activer!!!

 

Maintenant, pour revenir à le "restauration systéme"....L'affichage des points de restauration dans la fenétre apropriée est impossible: elle reste blanche!!!!

 

Pour finir, l'accés à mes comptes utilisateurs, notamment pour changer les mots de passe d'une session, reste impossible à accéder!!!La fenétre d'ouverture reste "blanche" également!!!

 

Donc, mon ultime question est celle ci:

Les problémes proviennent-ils d'un quelconque Malwares.....Ou, est-ce un dysfonctionnement de mon systéme d'exploitation....?

Je suis curieux de savoir ta réponse!!

 

Merci par avance...

 

@ bientot.

[Mark]

Bonsoir John, et désolé pour le délai

 

A priori , "virtumonde" n'est qu'un spyware.... donc pas trés dangereux....C'est ça non??

Virtumonde est un spyware (trojan) assez féroce, qui te produit beaucoup de popups et de ralentissements ; il est donc important de l'éradiquer. Dans ton cas, il était déjà neutralisé lorsque ti t'es présenté ici, mais il y avait d'autres infections coriaces. Ces clés MSEvents détectées n'étaient pas dangeureuses, mais seulement des rebus de l'infection Vundo originale (clés orphelines).

 

Pour ce qui est du parefeu Windows, de ta restauration et de l'accès aux comptes utilisateurs, ben ça sent effectivement la corruption de certains fichiers système (Windows). On peut tenter de réparer par contre Tu me parles de Zone Labs (parefeu Zone Alarm), mais toi tu as celui de Sygate (autre compagnie, très bon parefeu) ; est-il toujours en fonction ?

 

Ok, prochaine étape, le System File Checker de Windows, qui peut réparer des fichiers système manquants ou corrompus. Le CD de Windows est obligatoire pour cette manip (si tu l'as pas, on passera à une autre étape). Clique sur "Démarrer" >> "Exécuter" ; tape ceci dans la boîte :

 

sfc /scannow

 

..et clique OK (remarque l'espace après sfc). Le System File Checker va se lancer discrètement, et te demandera d'insérer la galette de XP. Laisse le bosser, et puis redémarre ton PC. Aucun rapport ne sera généré (dommage..). Tente d'accéder à la Restauration ; si tu réussis, désactive là. On verra pour la suite

[France Q]

 

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

 

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

 

 

John77, Qc001, bonjour!

 

Si vous voulez pardonner mon intrusion, j'aurais une petite question pour Qc001.

 

Pouquoi faites-vous décocher les fonctions Gardien d'arrière-plan et scan du menu contextuel dans Ewido?

 

Merci et Bonne journée!

 

Édit: Désolé de vous avoir dérangé! Vous pouvez supprimer mon message, si vous le désirez.

Modifié le 15 janvier 2006 par France Q