Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Antivir et Heuristic/Exploit.HTML

cristobal61
 Partager

Messages recommandés

cristobal61 Member

cristobal61

Posté(e)
  • Auteur
Posté(e) (modifié)

Antivir ne s'est pas signalé à nouveau pour l'instant, ça commence à sentir bon...

 

Apparemment mon pc est sain, merci beaucoup tornado pour ton active contribution, et au-delà pour ta réactivité et la grande précision de tes conseils... quend on évolue sur ce genre de terrain, pour le moins dangereux pour qui n'est pas complètement averti sur le sujet, il est bien appréciable d'être guidé ainsi, et d'être bien pris en main. :P

 

Pour prolonger nos échanges, j'aurais quelques autres conseils à te demander...

Mon disque dur étant quasiment plein, j'envisage de faire un grand ménage de printemps : beaucoup de données à graver, pas de problème de ce côté là, et beaucoup de programmes à désinstaller.

 

- Concernant la désinstallation d'un programme donné, vaut-il mieux utiliser l'option proposée dans le menu démarrer/tous les programmes (quand elle est disponible) ou passer par l'ajout/suppression de programmes du panneau de config ?

- Une fois cette désinstallation effectuée, que faire pour éliminer les traces subsistantes ? par exemple peut-on éliminer manuellement le dossier dans C:\program files, quand il subsiste ? (je me pose la question en l'occurence au sujet de HijackThis, que je viens de désinstaller via le menu démarrer, mais le dossier est toujours présent dans c:\program files)

- Par ailleurs, j'ai vu que des logiciels comme CCleaner ou jv16 notamment proposaient des options de désinstallation de programmes... faut-il privilégier ces outils ?

 

Bref, je me pose encore pas mal de questions...

Merci de m'éclairer une nouvelle fois si tu le peux. :P

 

A+

Modifié par cristobal61

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

 

Apparemment mon pc est sain, merci beaucoup tornado pour ton active contribution, et au-delà pour ta réactivité et la grande précision de tes conseils... quend on évolue sur ce genre de terrain, pour le moins dangereux pour qui n'est pas complètement averti sur le sujet, il est bien appréciable d'être guidé ainsi, et d'être bien pris en main.

 

De rien, c'est un plaisir de t'aider... merci pour ces mots gentils :-P

 

 

Je vais maintenant tenter ( :P ) de répondre a tes questions :

 

 

- Concernant la désinstallation d'un programme donné, vaut-il mieux utiliser l'option proposée dans le menu démarrer/tous les programmes (quand elle est disponible) ou passer par l'ajout/suppression de programmes du panneau de config ?

 

Cela revient au même. L'entrée d'un programme dans "ajout/suppression de programmes" permet juste de lancer son désinstalleur, au même titre que le raccourci "désinstaller" dans Menu démarrer. Il arrive souvent que l'on ne trouve pas de raccourci désinstaller dans le menu démarrer, c'est là que l'outil cité est vraiment utile.

 

 

- Une fois cette désinstallation effectuée, que faire pour éliminer les traces subsistantes ? par exemple peut-on éliminer manuellement le dossier dans C:\program files, quand il subsiste ? (je me pose la question en l'occurence au sujet de HijackThis, que je viens de désinstaller via le menu démarrer, mais le dossier est toujours présent dans c:\program files)

 

Ca arrive souvent que les programmes ne soient pas correctement désintallés, car leur dossier dans C:\Program Files n'a pas été supprimé (il subsiste souvent les réglages de l'utilisateur pour un jeu par exemple, ou même des sauvegarde comme pour Hijackthis).

Sinon, ce n'est pas vraiment propre de supprimer le dossier d'un programme directement sans l'avoir désinstallé normalement car il peut subsister certains éléments du programme (services etc).

 

Dans les 2 cas, et même si tu procèdes correctement à la désinstallation du programme, un nettoyage du regsitre (avec jv16 powertools / regseeker par exemple) peut s'avérer utile, car certains programmes ne font pas par eux même la suppression de leurs clés/valeurs dans le registre, au cours de la désinstallation :P

 

Pour Hijackthis, il subsiste sûrement un dossier Backups (dans le dossier mère), qui contient les sauvegardes des lignes que tu as fixées... tu peux le supprimer sans problèmes.

 

Par ailleurs, j'ai vu que des logiciels comme CCleaner ou jv16 notamment proposaient des options de désinstallation de programmes... faut-il privilégier ces outils ?

 

Ils possèdent des similitudes avec l'outil d'ajout suppression de programmes, donc ils ne sont pas vraiment utiles.

Il est vrai qu'ils peuvent servir losrqu'un programme déjà désinstallé a toujours son entrée dans la liste "ajout/suppression de programmes". Il suffit alors de la supprimer; avec l'un des logiciels que tuy as cités.

 

Fais quand même bien attention à ne pas supprimer l'entrée d'un programme installé :-P

 

 

 

 

Pour finir, je vois que tu parles de nettoyage de printemps... et ton rapport Hijackthis est assez "long", beaucoup trop de programmes "inutiles" au fonctionnement correct de ton pc sont lancés au démarrage.

 

Je t'invite donc à poster ton rapport Hijackthis dans le forum "optimisation/sécurisation", en vue d'une optimisation du système...

 

 

 

 

A+ :P

 

 

PS: Wouhou ... la france a marqué :P:-(

Modifié par tornado
cristobal61 Member

cristobal61

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci de ta réponse,

 

Effectivement, y a pas mal de choses inutiles à enlever, ça fait longtemps que j'accumule sans prendre la peine de supprimer ce qui est inutile... je vais m'y atteler.

 

Cependant, encore quelques petites observations, qui amènent d'autres interrogations...

 

1. J'ai suivi tes instructions concernant l'élimination des points de restauration antérieurs. Pas de pb.

 

2. Sur ma lancée, j'ai passé un petit coup d'ad-aware et de spybot... RAS à signaler côté ad-aware (qui m'a juste proposé d'éliminer quelques cookies récupérés aujourd'hui, pas de problème). En revanche, spybot retrouve des éléments FunWebProducts :P qu'il trouvait déjà depuis longtemps, mais que je pensais voir éliminées par "notre" nettoyage de ces derniers jours... Je pense que ces cochonneries sont liées à ce "Mywebsearch", qui nous avait donné un peu de fil à retordre.

resultatspybotfunwebproducts20.jpg

 

3. J'ai constaté ce soir que je ne pouvais pas utiliser MSN messenger... je voyais mes interlocuteurs, mais mes messages ne pouvaient leur être distribués... bon, pas grave, peut-être une question de ports bloqués, ou de configuration, j'ai pas cherché plus loin. Mais à ce moment-là, ZoneAlarm m'alerte que "WMI tente d'accéder à la zone sûre", correspondant à l'application wmiprvse.exe. Pas le souvenir d'en avoir déjà entendu parler, et une rapide recherche google me donne des résultats tout à fait contradictoires : un processus windows d'un côté, un trojan de l'autre... ce wmiprvse.exe est présent dans le système dans le répertoire C:\WINDOWS\system32\wbem.

Qu'en penser ? deviens-je trop méfiant ? :P

 

4. Sinon, antivir est resté tranquille, tant mieux.

 

Merci de me donner ton avis éclairé quand tu pourras.

 

 

 

PS : Pas wouhou.... :P:-P:-( la corée a égalisé, pour le résultat qu'on sait... ça sent pas très bon... :P

Modifié par cristobal61
tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

 

 

2. Sur ma lancée, j'ai passé un petit coup d'ad-aware et de spybot... RAS à signaler côté ad-aware (qui m'a juste proposé d'éliminer quelques cookies récupérés aujourd'hui, pas de problème). En revanche, spybot retrouve des éléments FunWebProducts icon_mad.gif qu'il trouvait déjà depuis longtemps, mais que je pensais voir éliminées par "notre" nettoyage de ces derniers jours... Je pense que ces cochonneries sont liées à ce "Mywebsearch", qui nous avait donné un peu de fil à retordre.

 

 

Tu as raison, Funwebproducts est bien lié à Mywebsearch (un des programmes fourni avec)...

 

J'aimerais bien que tu agrandisses ta capture ... pour voir le nom des clés, et faire une suppression manuelle.

 

 

3. J'ai constaté ce soir que je ne pouvais pas utiliser MSN messenger... je voyais mes interlocuteurs, mais mes messages ne pouvaient leur être distribués... bon, pas grave, peut-être une question de ports bloqués, ou de configuration, j'ai pas cherché plus loin

 

Crée une régle pour Msn dans Zonealarm... ça devrait aller. Un petit tuto pour ZA => http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Mais à ce moment-là, ZoneAlarm m'alerte que "WMI tente d'accéder à la zone sûre", correspondant à l'application wmiprvse.exe. Pas le souvenir d'en avoir déjà entendu parler, et une rapide recherche google me donne des résultats tout à fait contradictoires : un processus windows d'un côté, un trojan de l'autre... ce wmiprvse.exe est présent dans le système dans le répertoire C:\WINDOWS\system32\wbem.

Qu'en penser ? deviens-je trop méfiant ? mhh.gif

 

Le chemin que tu indique : C:\WINDOWS\system32\wbem pour wmiprvse.exe montre que c'est bien un processus Windows et non un processus maleveillant => http://www.generation-nt.com/processus/mic...miprvseexe/220/

 

Donc tu peux autoriser "WMI à accéder à la zone sûre"

 

 

4. Sinon, antivir est resté tranquille, tant mieux.

 

Y a au moins une chose qui fonctionne :P :P ... nan je plaisante :-(

 

 

 

 

A+ :P

 

 

 

PS:

 

PS : Pas wouhou.... icon_frown.gif icon_frown.gif icon_frown.gif la corée a égalisé, pour le résultat qu'on sait... ça sent pas très bon... icon_frown.gif

 

Mouais... bis repetita :-P:P

Modifié par tornado
cristobal61 Member

cristobal61

Posté(e)
  • Auteur
Posté(e)

Re aussi,

 

Merci de tes précisions concernant wmiprvse.exe, c'est le fait de ne jamais avoir été confronté à cette application auparavant qui m'avait fait suspecter quelque chose de louche.

MSN semble fonctionner sans problème aujourd'hui, le problème rencontré hier était-il lié à cette demande d'accès à la zone sûre pour WMI ? peut-être que non finalement...

 

Voilà la capture, en plus lisible. Il est donc nécessaire d'intervenr directement sur le registre, c'est bien ça ? J'avoue avoir été tenté une fois ou deux, mais me suis abstenu de peur de commettre un impair fâcheux... :P

resultatspybotfunwebproducts31.jpg

 

Merci, à+

 

PS:

 

Mouais... bis repetita

y a encore moyen d'éviter le bis repetita complet, restons optimistes ne sombrons pas trop vite dans un pessimisme déprimant... :-P:P

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re,

 

 

Merci de tes précisions concernant wmiprvse.exe, c'est le fait de ne jamais avoir été confronté à cette application auparavant qui m'avait fait suspecter quelque chose de louche.

MSN semble fonctionner sans problème aujourd'hui, le problème rencontré hier était-il lié à cette demande d'accès à la zone sûre pour WMI ? peut-être que non finalement...

 

 

Ca pourrait être possible si l'on en croit cet article => http://www.zebulon.fr/articles/gestionnaire_taches.php

 

Winmgmt.exe ou wmiprvse.exe

Winmgmt.exe est un composant noyau de la gestion des clients sous Windows 2000. Ce processus s'initialise lorsque la première application cliente se connecte. Winmgmt.exe correspond au service WMI qui permet de monitorer par exemple des ressources sur la machine (mémoire, disque...).

Ce processus se nomme wmiprvse.exe sur XP.

Ce processus n'est pas obligatoire

 

Je ne préfère pas trop m'apesantir dessus... ce ne sont que des Hypothèses (bien que fondées)

 

 

 

Bon, pour les clés incriminées dans le registre, on va procéder manuellement, via Regedit, car il se peut qu'on ait besoin de modifier les autorisations sur la clé (sûrement une des raisons pour laquelle Spybot n'a aucun effet) :

 

 

- Va dans démarrer > exécuter > tape Regedit et clique sur OK

- Depuis la partie gauche du regedit (avec les 5 grandes branches), rend toi jusqu'à la clé suivante :

 

HKEY_USERS\S-1-5-18\Software\Fun Web Products

 

Voilà ce que ça donne (j'ai créé une clé bidon au même endroit) :

 

pasdenom1gy.jpg

 

 

- Fais un clic droit dessus et choisis Autorisations

- Dans Noms d'utilisateur ou de groupe, sélectionne ton nom d'utilisateur

- Ensuite, en laissant sélectionné ton nom, dans Autorisations pour [TON NOM D'UTILISATEUR] , choisis Autoriser pour toutes les lignes (Lecture/ contrôle total/ éventuellement Autorisations spéciales).

- Clique ensuite sur OK pour appliquer les changements

- Pour finir, supprime la clé Fun Web Products dont tu as modifié les droits : Fais un clic-droit dessus et choisis Supprimer. Clique sur OUI

 

 

Fais strictement la même manip pour les clés suivantes :

 

HKEY_USERS\S-1-5-19\Software\Fun Web Products

 

HKEY_USERS\S-1-5-20\Software\Fun Web Products

 

HKEY_USERS\.DEFAULT\Software\Fun Web Products

 

 

=======================================

 

 

- Après avoir fait ceci, scanne ton pc avec Spybot (met le à jour via [Vacciner] au préalable et indique moi le resultat du scan

 

 

 

 

 

 

A+ :P

cristobal61 Member

cristobal61

Posté(e)
  • Auteur
Posté(e)

Re,

 

1. Pas de problème pour supprimer la clé HKEY_USERS\S-1-5-18\Software\Fun Web Products. :-(

 

2. Pour les 2 clés suivantes :

 

HKEY_USERS\S-1-5-19\Software\Fun Web Products

 

HKEY_USERS\S-1-5-20\Software\Fun Web Products

 

je n'ai pas la possibilité de sélectionner mon nom d'utilisateur :P , seuls 4 choix sont possibles, aucun ne m'autorisant lecture et contrôle total :

- Administrateurs (CHRISTOPHE-V\Administrateurs)

- RESTRICTED

- SERVICE LOCAL

- SYSTEM

 

Faudrait-il passer par le mode sans échec ?

 

3. La clé

HKEY_USERS\.DEFAULT\Software\Fun Web Products
semble ne pas exister, il n'y a pas de dossier Fun Web Products dans le répertoire HKEY_USERS\.DEFAULT\Software. :P

Est-il possible qu'il soit caché ? ou que le fait d'avoir éliminé la clé dans mon paragraphe 1. ait éliminé celle-ci par la même occasion ?

 

Je préfère attendre tes instructions avant de relancer un scan Spybot.

 

Merci, à+ :-P

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

1. Pas de problème pour supprimer la clé HKEY_USERS\S-1-5-18\Software\Fun Web Products. :P

 

Ok

 

 

2. Pour les 2 clés suivantes :

je n'ai pas la possibilité de sélectionner mon nom d'utilisateur :P , seuls 4 choix sont possibles, aucun ne m'autorisant lecture et contrôle total :

- Administrateurs (CHRISTOPHE-V\Administrateurs)

- RESTRICTED

- SERVICE LOCAL

- SYSTEM

 

Faudrait-il passer par le mode sans échec ?

 

 

Sélectionne le mode Administrateurs (CHRISTOPHE-V\Administrateurs) et choisis Contrôle total uniquement.

Le mode "lecture" autorise l'utilisateur à lire le contenu de la clé, mais pas à la modifier, à l'inverse du mode contrôle total, qui permet de modifier son contenu (et a priori, cela permettrait de supprimer la clé)

Donc ça devrait normalement fonctionner ainsi (J'espère :-P )

 

 

3. La clé semble ne pas exister, il n'y a pas de dossier Fun Web Products dans le répertoire HKEY_USERS\.DEFAULT\Software. :P

Est-il possible qu'il soit caché ? ou que le fait d'avoir éliminé la clé dans mon paragraphe 1. ait éliminé celle-ci par la même occasion ?

 

 

Bizarre... étant donné que la sous-clé DEFAULT représente l'utilisateur par défaut, ses modifications devraient être appliquées à tous les utilisateurs (les autres sous clés) et non l'inverse . Je vais essayer de me renseigner, parce que là, je rame :P

 

 

 

A+ :-(

Modifié par tornado
cristobal61 Member

cristobal61

Posté(e)
  • Auteur
Posté(e)

Re,

 

Sélectionne le mode Administrateurs (CHRISTOPHE-V\Administrateurs) et choisis Contrôle total uniquement.

 

1. En fait, je n'avais pas bien fait attention, ce mode Administrateurs active par défaut les modes lecture et contrôle total. En utilisant ce "nom d'utilisateur", j'ai donc pu supprimer sans autre problème supprimer les 2 clés suivantes :

HKEY_USERS\S-1-5-19\Software\Fun Web Products

HKEY_USERS\S-1-5-20\Software\Fun Web Products

On avance, on avance !! :P:-P

 

2. J'insère ci-dessous une capture de l'éditeur de registre.

extraitediteurregistre29rz.jpg

Comme tu peux le voir, la clé HKEY_USERS\.DEFAULT\Software\Fun Web Products n'existe pas.

 

En revanche, les 4 répertoires entourés en rouge contiennent eux aussi des clés \Software\Fun Web Products... je serais bien tenté de les virer également, mais la plus élémentaire sagesse m'incite à te demander ton avis avant... :P

 

Qu'en penses-tu ?

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re,

 

 

 

 

J'ai pas vraiment trouvé de réponse claire à ta question, au sujet de tes sous-clés identiques de la clé .DEFAULT

 

Ne les supprime pas pour l'instant...

 

Cependant, je veux bien voir ce que donne un scan avec Spybot pour voir ce que cela donne :P

 

 

 

A+ :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...