[OK] Un script=un probléme

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Un script=un probléme

Messagede kbwebkb » 18 Aoû 2006, 13:49

Je suis sous WinXP Pro SP2.
Suite à une mise à jour (réelle ou ficitive), un script nouveau est apparu "disableFwl.vbs" dans le répertoire c:\windows\temp.

Ce script a crée une incompatibilité entre le firewall SP2 et Watchdog. A chaque activation de ce cernier, le Windows Firewall SP2 se desactive et à l'activation du Firewall, WatchDog s'arrete.

Une tentative de restauration systéme n'a rien changé. La restauration est effectuée mais le script reapparait.

Ayant supprimé à maintes reprises tout le contenu du repertoire Temp, en redemarrant Windows, le script reapparait.

Aprés la verification (Malware, Virus et CWS, tout voir, mode sans echec, execution de l'antiespion et de l'antivirus) le script continue a reapparaitre a chaque redemarrage.

Le log:
Logfile of HijackThis v1.99.1
Scan saved at 14:39:05, on 18/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Eset\nod32kui.exe
C:\plus\WINPAT~1\winpatrol.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Plus\WatchDog\Watchdog.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Plus\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Plus\Outils\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Plus\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: PrivBar - {300BC64A-BF32-4cc8-8917-91148CEFE700} - C:\WINDOWS\system32\PrivBar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WinPatrol] c:\plus\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [watchdog] C:\Plus\WatchDog\Watchdog.exe
O4 - HKLM\..\RunOnce: [IBM PCCO Brand Access Menu Uninstall] COMMAND.COM /C DELTREE /Y "C:\Ibmtools\Access Aptiva"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Plus\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Plus\Acrobat Reader\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://wkf2284.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ayant epuisé mes connaissances, et n'ayant aucune intention de bricoler, je voudrais avoir de l'aide afin que ce script disapraisse une fois pour toute.

Je termine en precisant qu'en cours de session, la suppression du script est définitive. C'est à dire qu'en cours de session, Windows Firewall et Watch Dog fonctionnent sans probléme mais c'est lors d'un demarrage que je suis obligé de repasser par le fichier Temp, vider son contenu et reactiver Windows Firewall et Watch Dog.
kbwebkb
 
Messages: 8
Inscription: 26 Juil 2006, 09:29

Messagede nickW » 18 Aoû 2006, 14:25

Bonjour,

Pourrais-tu envoyer en réponse le contenu du fichier C:\Windows\temp\disableFwl.vbs (il faut ouvrir le bloc-notes et y faire glisser le fichier).

Pourrais-tu aussi faire une recherche d'un ou plusieurs exécutables cachés:

Télécharger Blacklight (de F-Secure) depuis la page:
https://europe.f-secure.com/blacklight/try.shtml
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta")
Enregistrer le fichier sur le bureau.

Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche. Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Il y a eu création sur le Bureau d'un fichier rapport nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)
Envoyer le contenu de ce fichier en réponse.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suite

Messagede kbwebkb » 18 Aoû 2006, 15:19

Salut

1°/ Vous m'avez demandé le contenu disablefwl.VBS de Temp:
Option Explicit
Dim objShell
set objShell = CreateObject("Shell.Application")
Dim fwMgr
Dim profile
If objShell.IsServiceRunning("SharedAccess") = FALSE Then
objShell.ServiceStart "SharedAccess", TRUE
WScript.Sleep 1000
End If
Set fwMgr = CreateObject("HNetCfg.FwMgr")
Set profile = fwMgr.LocalPolicy.CurrentProfile
If profile.FirewallEnabled = TRUE Then
profile.FirewallEnabled = FALSE
End If

Ayant visité pour la premiére fois, le dossier Temp alors que je suis on line, et aprés avoir supprimer disablefwl.VBS et réactiver le Windows Firewall et WtachDog, j'ai constaté l'existence de: enablefwl.VBS et un fichier sans aucune extension NET1.
Le contenu de enable.VBS:
Option Explicit
Dim objShell
set objShell = CreateObject("Shell.Application")
Dim fwMgr
Dim profile
If objShell.IsServiceRunning("SharedAccess") = FALSE Then
objShell.ServiceStart "SharedAccess", TRUE
WScript.Sleep 1000
End If
Set fwMgr = CreateObject("HNetCfg.FwMgr")
Set profile = fwMgr.LocalPolicy.CurrentProfile
If profile.FirewallEnabled = FALSE Then
profile.FirewallEnabled = TRUE
End If

Le fichier NET1 étant sans extension, j'ai decidé de ne faire aucune manoeuvre. Il reste inconu.

2°/Vous m'avez demendé d'executer BlackLight de F-Secure.
Le test scan a duré Trente secondes et m'a indiqué, aucun fichier caché.

Le log:
08/18/06 16:06:34 [Info]: BlackLight Engine 1.0.46 initialized
08/18/06 16:06:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/18/06 16:06:34 [Note]: 7019 4
08/18/06 16:06:34 [Note]: 7005 0
08/18/06 16:06:49 [Note]: 7006 0
08/18/06 16:06:49 [Note]: 7011 1360
08/18/06 16:06:50 [Note]: 7026 0
08/18/06 16:06:50 [Note]: 7026 0
08/18/06 16:07:09 [Note]: FSRAW library version 1.7.1019
08/18/06 16:08:01 [Note]: 7007 0

Voila
Merci
kbwebkb
 
Messages: 8
Inscription: 26 Juil 2006, 09:29

Messagede nickW » 18 Aoû 2006, 16:50

Re-

Attention de ne pas confondre:

wdfmgr.exe: Il accompage Windows Media Player 10 (ou ultérieur).
http://www.generation-nt.com/processus/ ... mgrexe/85/

La liste de Pacman signale un malveillant que l'on trouve dans un log HijackThis sous la forme:
O4 ..... [MS_Update Check] ..... wdfmgr.exe
Cette ligne est absente de ton log.


Pourrais-tu envoyer une "StartupList":
Lancer HijackThis.
Cliquer sur le bouton Open the Misc Tools section
Dans la nouvelle fenêtre, cocher la case située devant List also minor sections (full), puis cliquer sur le bouton Generate StartupList log.
Cliquer sur Oui en réponse à Do you want to continue?

Copier en réponse le contenu de la fenêtre du Bloc-notes qui s'est ouverte (fichier startuplist.txt).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Un script=un probléme suite

Messagede kbwebkb » 18 Aoû 2006, 17:14

Salut

Vous avez parfaitement raison. Le "wdfmgr.exe" est celui du WMP 10.

Dans ces moments, il ne faut surtout pas paniquer, n'est ce pas? :oops:

Pour ce qui est de la "Start Up List" avec Hijackthis:
StartupList report, 18/08/2006, 18:02:18
StartupList version: 1.52.2
Started from : C:\Plus\Outils\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Eset\nod32kui.exe
C:\plus\WINPAT~1\winpatrol.exe
C:\Plus\WatchDog\Watchdog.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Plus\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Plus\Outils\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
Lancement rapide d'Adobe Reader.lnk = C:\Plus\Acrobat Reader\Reader\reader_sl.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SystemTray = SysTray.Exe
CnxDslTaskBar = "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
nod32kui = "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
WinPatrol = c:\plus\WINPAT~1\winpatrol.exe
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
watchdog = C:\Plus\WatchDog\Watchdog.exe
SunJavaUpdateSched = "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
AWMON = "C:\Plus\Ad-Aware SE Professional\Ad-Watch.exe"

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>IEPerUser] *
StubPath = RUNDLL32.EXE IEDKCS32.DLL,BrandIE4 SIGNUP

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA851-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = rundll32.exeadvpack.dll

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Regedit.exe has no CompanyName property! It is either missing or named something else.
- Regedit.exe has no OriginalFilename property! It is either missing or named something else.
- Regedit.exe has no FileDescription property! It is either missing or named something else.

Registry check failed!

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Plus\Acrobat Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

--------------------------------------------------

Enumerating Download Program Files:

[MSN Photo Upload Tool]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
CODEBASE = http://wkf2284.spaces.msn.com//PhotoUpload/MsnPUpld.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

AMON: \??\C:\WINDOWS\System32\drivers\amon.sys (autostart)
Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Service de transfert intelligent en arrière-plan: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Services de cryptographie: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Lanceur de processus serveur DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
Client DHCP: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Gestionnaire de disque logique: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Client DNS: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Journal des événements: %SystemRoot%\system32\services.exe (autostart)
Serveur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Station de travail: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Assistance TCP/IP NetBIOS: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
NOD32 Kernel Service: "C:\Program Files\Eset\nod32krn.exe" (autostart)
NVIDIA Driver Helper Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Plug-and-Play: %SystemRoot%\system32\services.exe (autostart)
Emplacement protégé: %SystemRoot%\system32\lsass.exe (autostart)
Appel de procédure distante (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Gestionnaire de comptes de sécurité: %SystemRoot%\system32\lsass.exe (autostart)
Planificateur de tâches: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Notification d'événement système: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Pare-feu Windows / Partage de connexion Internet: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Détection matériel noyau: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Raw Socket Lock Driver: \??\C:\WINDOWS\system32\socketlock.sys (autostart)
Spouleur d'impression: %SystemRoot%\system32\spoolsv.exe (autostart)
Windows Service Pack Installer update service: C:\WINDOWS\system32\spupdsvc.exe (autostart)
Service de restauration système: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Thèmes: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Windows User Mode Driver Framework: C:\WINDOWS\System32\wdfmgr.exe (autostart)
Horloge Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Infrastructure de gestion Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Centre de sécurité: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Mises à jour automatiques: %systemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOCUME~1\kbwebkb\LOCALS~1\Temp\A~NSISu_.exe


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 10 499 bytes
Report generated in 1,522 seconds

Voila

et Merci encore!
kbwebkb
 
Messages: 8
Inscription: 26 Juil 2006, 09:29

Messagede nickW » 18 Aoû 2006, 17:32

Re-re-arrreeeuuuuh,

Pourrais-tu recopier en réponse le contenu des deux fichiers:

C:\windows\Wininit.ini
C:\windows\Wininit.bak


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Un script=Un probléme

Messagede kbwebkb » 18 Aoû 2006, 19:26

Salut

Je ne trouve ni wininit.ini, ni wininit.bak à l'adresse évoquée?

Mais pouvez vous me permettre d'avoir un début d'explication à ce stade?

Merci nickW
kbwebkb
 
Messages: 8
Inscription: 26 Juil 2006, 09:29

Messagede Sphinx » 19 Aoû 2006, 14:09

Bonjour à tous,

As-tu fait une recherche sur ton disque de ce fichier ?

As-tu essayé un scan en ligne avec Panda : http://www.pandasoftware.com/products/ActiveScan.htm
(il est assez efficace question définitions de virus)

As-tu essayé Ewido ? http://www.ewido.net/en/download/ (vire les résidents Resident Shield + Automatic updates dans l'onglet "Status").

Note : la restauration système XP ne touche que le registre et les fichiers systèmes Windows. Elle peut donc créer un gros décalage entre les infos stockées dans le registre (après restauration) et les fichiers/leur version présents sur le disque réellement.
Si tu veux faire ce genre de backups, je ne vois que Drive Image ou Partition Saving pour le faire efficacement.

@+++
Sphinx, le prédateur du bug ;)
NT 5.x/Sarge en multiboot, Viguard, KAV, Sophos, F-Prot, AVAST, A²free, Antivir, Kerio, Sygate, Outpost, Thunderbird/firefox, OOo 2, Spybot/Adaware, Ewido, Spampal, proxomitron/webwasher, 802.11g+, Spamassassin, ClamAV, Prelude, Guarddog, etc
Sphinx
 
Messages: 42
Inscription: 19 Mar 2005, 23:51
Localisation: Paris

[OK]: un script=un probléme

Messagede kbwebkb » 20 Aoû 2006, 16:56

Bonjour tout le monde

Un salut spécial à Nick et Sphinx

Le problème persiste.

1°/ Avant l'intervention de Sphinx:
-Le démarrage remet les deux scripts precedemment decrits dans c:\windows\Temp
-Desactivation de Windows Firewall, WatchDog reste actif
-Je nettoie le repertoire Temp, tout revient à la normale.
-Je me connecte, l'antivirus ne signale aucun probléme et se met à jour
-Windows Firewall fonctionne et le log avec Fire Log le confirme
-WatchDog fonctionne

2°/ Aprés avoir lu Sphinx:
-Ewido refuse de s'installer mais a été télécharger
-Panda on Line ne signale aucun probléme
-Les tests firewall d'Assite sont corrects et indiquent "Blocked ou Stealth"

3°/Initiative perso:
-J'ai desinstallé WatchDog.
-Le probléme persistait.
-J'ai installé le navigateur et le client e-mail de la suite Mozilla par défaut.
-Le probléme persistait.
-Je suis passé à Spybot S&D
-J'ai installé Outpost Free pour éviter Windows Firewall. Le probléme a persisté et je ne savais pas que Outpost Free n'était pas reconnu par Windows Firewall.
-Je l'ai desinstallé en entier (en passant par le gestionnaire de péripherique pour afficher ce qu'il en reste)
j'ai installé ZoneAlarm et là, tout est revenu normal. Plus de script au demarrage, plus de desativation de firewall, plus de problémes.
-J'ai redemarré. Il n'y a toujours pas de script ni de probléme avec le Firewall.
-J'ai attendu d'avoir les mises à jour de WindowsUpdate car c'était le début de tout.
J'ai eu les mises à jours qui se sont installées et j'ai redemarré sans revoir les scripts.
J'ose espérer ne plus les revoir.

En continuant à surveiller attentivement ce qui se passe, je vous remercie.

Votre présence est aussi une arme pour nous les usagers.

A plus.
kbwebkb
 
Messages: 8
Inscription: 26 Juil 2006, 09:29

[OK] Un script=Un probléme

Messagede kbwebkb » 23 Aoû 2006, 22:12

Salut tout le monde apparemment ça va.
Je ne sais pas ce qui s'est passé mais j'ai lu recemment ceci:

"Un patch de Microsoft provoquerait une faille de sécurité dans Windows
Le récent correctif de l’éditeur, qui entraîne des problèmes de stabilité avec Internet Explorer, créerait également une faille dans Windows. C’est ce qu’affirme la société de sécurité eEye. Microsoft reporte la publication d’une mise à jour du patch.

Le remède serait-il pire que le mal? C'est la question que certains utilisateurs d'Internet Explorer sont en droit de se poser suite à la série de problèmes rencontrés avec un récent correctif de Microsoft.

Il s'agit d'une rustine résorbant une faille de sécurité présentée dans le bulletin MS06-42 de l'éditeur. Elle a été publiée le 8 août dans le cadre du correctif mensuel de l'éditeur.

Première déception: le 15 août, Microsoft a indiqué que ce patch pouvait poser des problèmes de stabilité avec Internet Explorer (dans sa version 6 Service Pack 1, tournant sur Windows XP SP1 ou Windows 2000 SP4). Une fois la rustine appliquée sur le système, IE risque alors de se bloquer lorsqu'il charge une page web utilisant le standard HTTP 1.1.

Suite sur zdnet.fr"

Comme j'utilisait IE mais sous XP SP2, et que mes problémes ont commencé avec justement une mise à jour, peut etre que ceci est l'explication.

Sinon, je suis content d'avoir reglé le probléme avec votre aide précieuse.

Merci et bonne continuation.
kbwebkb
 
Messages: 8
Inscription: 26 Juil 2006, 09:29


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités