Se connecter / S'enregistrer
Votre question

Fichiers Windows supprimés lors d’une analyse antivirus

Tags :
  • analyse
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Mars 2011 03:32:15

Bonjour,

Le 24 janvier, j’ai lancé une Analyse Complète avec mon antivirus, résultat : 63 objets infectés ont été placés en quarantaine et 9 objets infectés ont été supprimés.
Pendant l’analyse, cette fenêtre d’alerte Windows est apparue:

Protection de Fichiers Windows
"Des fichiers nécessaires au fonctionnement de Windows ont été remplacés par des fichiers d’une version non reconnue. Pour maintenir la stabilité du système, Windows doit restaurer la version originale de ces fichiers. Insérez votre CD du Service Pack 3 pour Windows XP".

"Voulez-vous vraiment garder ces fichiers non reconnus qui risquent de rendre Windows instable ?"

N’ayant pas de CD du Service Pack 3 car je l’avais installé par une mise à jour, j’ai du accepter.

Ce qui est inquiétant c’est que justement, les 9 fichiers infectés et supprimés sont des fichiers WINDOWS ! :

- C:\WINDOWS\system32\autorun\Drivers\Chipset\NET32\dotnetfx.exe
- C:\WINDOWS\$NtServicePackUninstall$\cacls.exe
- C:\i386\SYSPARSE.EXE
- C:\WINDOWS\ServicePackFiles\i386\ilasm.exe
- C:\WINDOWS\$NtServicePackUninstall$\wordpad.exe
- C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\ilasm.exe
- C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll
- C:\WINDOWS\system32\ERUpdateHidden.EXE
- C:\WINDOWS\system32\wbem\unsecapp.exe


J’ai écrit au SAV de mon antivirus, ils m’ont répondu : « Si vous faites une réparation du système cela va remettre les fichiers comme il le faut. Avez-vous des messages d’erreur car si tout fonctionne correctement c’est que les fichiers en question ont déjà été remplacés ou réparés ».

--------------------------------------------

J'ai fait une "vérification de fichiers système", les fichiers remplacés ne sont pas reconnus par Windows et les boites de dialogue suivantes s'ouvrent:

Protection de Fichiers Windows
\!/ "Des fichiers nécessaires au fonctionnement de Windows ont été remplacés par des fichiers d'une version non reconnue. Veuillez insérer CD du Service Pack 3 pour Windows XP Professionnel dans votre lecteur de CD-ROM"
\!/ "Vous avez choisi de ne pas restaurer la version originale des fichiers.
Ceci peut affecter la stabilité de Windows. Voulez-vous vraiment garder ces versions de fichiers non reconnues ?" [ OUI ] [ NON ]
\!/ "Les fichiers nécessaires au fonctionnement de Windows doivent être copiés dans le dossier DLL Cache"
\!/ " Insérez votre CD du Service Pack 3 pour Windows XP".

-------------------------------------------

En suivant les conseils du Tuto (19/08/2010) de "Guigui 0001" : «Réparer Windows sans le CD d’installation», j’ai créé un CD ISO du Service Pack 3 pour Windows XP car Windows étant préinstallé sur mon PC portable ACER, je n’ai pas eu le CD d’installation à l’achat.

Malheureusement la boite de dialogue "Protection de fichiers Windows" me dit :
\!/ "Le CD que vous avez fourni n'est pas le bon. Veuillez insérer CD du Service Pack 3 pour Windows XP Professionnel dans votre lecteur de CD-ROM".
Malgré cela j’ai poursuivi le scan de "Réparation" avec « sfc/scannow » et le CD ISO du SP3 que j’ai créé; quatre fois on me demande d’insérer le CD du SP3 et plus loin vers la fin, quatre fois on me demande d’insérer le CD Windows XP Professional CD2.
Donc en tout, la fenêtre suivante s’ouvre 8 fois:
\!/ "Les fichiers nécessaires au fonctionnement de Windows doivent être copiés dans le dossier DLL Cache".
\!/ "Si vous annulez maintenant, Windows peut vous demander d’insérer un CD-ROM ultérieurement"

Voici ma question :

- Comment connaitre les fichiers de Windows qui doivent être copiés dans le dossier DLL Cache et surtout où les trouver ??????

Merci d’avance pour votre aide.
Doriarella

Autres pages sur : fichiers windows supprimes analyse antivirus

a b 8 Sécurité
16 Mars 2011 19:22:47

Bonjour Doriarella,

Je vais prendre ton sujet, nous allons donc faire une procédure de désinfection et de remplacement de ces fichiers.

__________________


Pour le bon déroulement de la désinfection :[/#ff]


  • Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

  • Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

  • Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

  • Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

  • Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données ;) 

  • Pour finir, sache que je suis actuellement en formation, ce qui signifie que mes réponses doivent être validées par un helper confirmé avant de les poster, le temps entre mes réponses pourrait donc être allongé.

    __________________


    Si tu es prêt(e), allons-y :

    Pour commencer, tu aurais le rapport de l'antivirus qui a viré les fichiers ?

    Ensuite :

    [#ff9000]Diagnostic :


  • Télécharge OTL (de [#ff9000]OldTimer[/#ff]) sur ton Bureau.

  • Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

  • Une fenêtre apparaît.

  • Coche la case : Tous les utilisateurs

  • Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    unsecapp.exe
    /md5stop
    CREATERESTOREPOINT


  • Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

  • A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    A+ :hello: 
    Contenus similaires
    17 Mars 2011 04:27:43


    Citation :
    Pour commencer, tu aurais le rapport de l'antivirus qui a viré les fichiers ?



    Bonjour Guigui,

    Oui, j'ai le rapport complet de l'antivirus qui a viré les fichiers. Que dois-je en faire, veux-tu que je te l'envoie ?

    Je ne peux pas m'empécher de penser que dans la réalité il n'y a jamais eu d'infection et qu'il s'agit de "faux-positif" mais enfin le résultat est là, les fichiers ont bien été supprimés !
    Depuis, mes nouvelles analyses n'ont détecté aucun virus.

    Je suis absente de chez moi et n'ai pas pris mon PC. Je serai de retour samedi 19 et je commencerai à faire le Diagnostic avec OTL.

    Merci de prendre mon sujet et à bientôt…


    a b 8 Sécurité
    17 Mars 2011 16:22:10

    Re,

    Oui, ça serait bien que tu me copie/colles le rapport de ton Antivirus ici s'il te plaît ;) 

    Oki, à samedi donc :hello: 
    19 Mars 2011 06:09:17

    guigui0001 a dit :
    Re,

    Oui, ça serait bien que tu me copie/colles le rapport de ton Antivirus ici s'il te plaît ;) 

    Oki, à samedi donc :hello: 

    Re,
    Voici le rapport complet de mon Antivirus:


    Produit : BitDefender Internet Security 2011
    Tâche d'analyse : Analyse Complète
    Date du journal : lundi 24 janvier 2011 05:02:21
    Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\6f349eda-6759-4378-b3c9-9174905515f7\1295833814_1_02.xml
    Chemins d'analyse :
    Chemin : C:\
    Chemin : D:\
    [-]Synthèse des Résultats de l'Analyse

    [-]Problèmes résolus
    Chemin d'accès à l'objet Nom de la menace État final
    Fichier: C:\WINDOWS\system32\autorun\Drivers\Chipset\NET32\dotnetfx.exe Backdoor.Hupigon.20185 Supprimé
    Fichier: C:\WINDOWS\system32\wupdmgr.exe Trojan.Generic.27268 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\mmc.exe Trojan.Starter.EA Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\bootvrfy.exe Trojan.Generic.61096 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\drwtsn32.exe Trojan.Generic.93270 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\charmap.exe Trojan.Agent.AJBQ Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\autofmt.exe Trojan.Generic.75270 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\tracert6.exe Trojan.Generic.61150 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\driverquery.exe Trojan.Generic.160101 Déplacé(s) en quarantaine
    Fichier: C:\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe Trojan.Generic.27229 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\msoobe.exe Backdoor.Generic.27044 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\comp.exe Trojan.Generic.164455 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\attrib.exe Trojan.Generic.86101 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\cacls.exe Trojan.Generic.104136 Supprimé
    Fichier: C:\WINDOWS\system32\dllcache\wupdmgr.exe Trojan.Generic.27268 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\dwwin.exe Trojan.Generic.91963 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\calc.exe Trojan.Generic.160525 Déplacé(s) en quarantaine
    Fichier: C:\i386\SYSPARSE.EXE Trojan.Starter.CV Supprimé
    Fichier: C:\WINDOWS\system32\dllcache\drwtsn32.exe Trojan.Generic.93270 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\ServicePackFiles\i386\ilasm.exe Trojan.Generic.602422 Supprimé
    Fichier: C:\WINDOWS\system32\dllcache\tracert6.exe Trojan.Generic.61150 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\autochk.exe Trojan.Generic.75280 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\evtrig.exe Trojan.Generic.161680 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\wordpad.exe Win32.Worm.Wace.J Supprimé
    Fichier: C:\WINDOWS\system32\dllcache\comp.exe Trojan.Generic.164455 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\fontview.exe Trojan.Generic.161575 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\verifier.exe Trojan.Generic.144642 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtUninstallKB956572$\sc.exe Trojan.Generic.27277 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\ilasm.exe Trojan.Generic.602422 Supprimé
    Fichier: C:\WINDOWS\system32\dllcache\calc.exe Trojan.Generic.160525 Déplacé(s) en quarantaine
    Fichier: C:\Documents and Settings\DORIA\Mes documents\A-BitDefender_Uninstall_Tool.exe Backdoor.Hupigon.9012 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\reset.exe Trojan.Generic.73980 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll Trojan.WSPatch.B Supprimé
    Fichier: C:\WINDOWS\system32\ping6.exe Trojan.Generic.61134 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\mspaint.exe Trojan.Starter.IV Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\shutdown.exe Trojan.Generic.171905 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\ERUpdateHidden.EXE Backdoor.Hupigon.20185 Supprimé
    Fichier: C:\WINDOWS\system32\wbem\unsecapp.exe Trojan.Generic.144654 Supprimé
    Fichier: C:\WINDOWS\system32\dllcache\verifier.exe Trojan.Generic.144642 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\syskey.exe Trojan.Starter.DM Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\taskkill.exe Trojan.Generic.27365 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dwwin.exe Trojan.Generic.91963 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\fc.exe Trojan.Generic.185193 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\write.exe Trojan.Generic.102924 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\unsecapp.exe Trojan.Generic.144654 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\rsvp.exe Trojan.Generic.103201 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\icwtutor.exe Trojan.Generic.27229 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\regedit.exe Backdoor.Hupigon.17830 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\bootok.exe Trojan.Generic.102337 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\reset.exe Trojan.Generic.73980 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\ping6.exe Trojan.Generic.61134 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\chkntfs.exe Trojan.Generic.104984 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\drvqry.exe Trojan.Generic.160101 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\eventtriggers.exe Trojan.Generic.161680 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\help.exe Trojan.Generic.103527 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\syskey.exe Trojan.Starter.DM Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Trojan.Generic.109461 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\fc.exe Trojan.Generic.185193 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\mpnotify.exe Trojan.Generic.61175 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\rsvp.exe Trojan.Generic.103201 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\write.exe Trojan.Generic.102924 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\chkdsk.exe Trojan.Generic.102746 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\bootok.exe Trojan.Generic.102337 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\bootvrfy.exe Trojan.Generic.61096 Déplacé(s) en quarantaine
    Fichier: C:\Documents and Settings\DORIA\Mes documents\IOMEGA - logiciels\Roxio Retrospect Express HD pour Windows- Iomega\Retrospect Express HD 2.5\Retrospect\FR\Installer\dotnetfx20.exe Backdoor.Hupigon.20185 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\wextract.exe Backdoor.Hupigon.20185 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\charmap.exe Trojan.Agent.AJBQ Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\chkntfs.exe Trojan.Generic.104984 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\moviemk.exe Trojan.Generic.279006 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\mpnotify.exe Trojan.Generic.61175 Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\$NtServicePackUninstall$\stimon.exe Trojan.Starter.DN Déplacé(s) en quarantaine
    Fichier: C:\WINDOWS\system32\dllcache\chkdsk.exe Trojan.Generic.102746 Déplacé(s) en quarantaine

    [-]Objets non analysés :
    Chemin d'accès à l'objet Motif : État final
    Fichier: C:\WINDOWS\adobe\Adobe Reader 7.00.cab=>read0600win_ENUadbe0040.pdf Protégé par mot de passe Pas analysé (le fichier était protégé par mot de passe)

    [-]Résumé de l'analyse détaillé
    [-]Standard
    Objets analysés : 289338
    Élément(s) infecté(s) : 72
    Élément(s) suspect(s) : 0 (aucun élément suspect n'a été détecté)
    Élément(s) résolu(s) : 72
    Élément(s) non résolu(s) : 0 (aucun problème n'est demeuré non résolu)

    [-]Avancé
    Temps d'analyse : 02: 07: 56
    Fichiers par seconde : 37
    Élément(s) ignoré(s) : 39828
    Élément(s) avec mot de passe : 1
    Élément(s) ultra-compressé(s) : 0
    Archives analysées : 137
    Erreurs I/O : 12
    Secteurs de boot analysés : 4
    Processus analysés : 120
    Processus infectés : 0
    Clés de registre analysées : 357
    Clés de registre infectées : 0
    Cookies analysés : 47
    Cookies infectés : 0

    [-]Options d'analyse
    [-]Type des menaces ciblées
    Détecter les virus : Oui
    Détecter les adwares : Oui
    Détecter les spywares : Oui
    Détecter les applications : Oui
    Détecter les dialers : Oui
    Détecter les rootkits : Non
    Recherche de keyloggers : Oui

    [-]Options d'analyse antivirus :
    Analyse des clés de registre : Oui
    Analyser les cookies : Oui
    Analyser les secteurs de boot : Oui
    Analyser les processus mémoire : Oui
    Analyser les archives : Oui
    Analyser les packers lors de leur exécution : Oui
    Analyser les e-mails : Oui
    Analyser tous les fichiers : Oui
    Analyse heuristique : Oui
    Extensions analysées : non configuré
    Extensions exclues : non configuré

    [-]Traitement de la cible :
    Première action par défaut pour les objets infectés : Désinfecter
    Seconde action par défaut pour les objets infectés : Tout déplacer en quarantaine
    Première action par défaut pour les objets suspects : Tout déplacer en quarantaine
    Seconde action par défaut pour les objets suspects : Aucune
    Action par défaut pour les objets camouflés : Aucune
    Action par défaut pour les objets protégés par mot de passe : Enregistrer seulement

    [-]Résumé de l'analyse
    Signatures de virus : 6673845

    A bientôt pour le Diagnostic avec OTL,
    Doriarella

    19 Mars 2011 07:59:05

    Citation :
    A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    Bonjour,

    Voici le lien du rapport OTL. Txt :
    http://www.cijoint.fr/cjlink.php?file=cj201103/cijEADS5...

    Voici le lien du rapport Extras.Txt :
    http://www.cijoint.fr/cjlink.php?file=cj201103/cij75i0O...

    Alors Docteur, comment va le Malade ?

    A + :??: 
    a b 8 Sécurité
    20 Mars 2011 18:54:20

    Salut, désolé du délai, WE en montagne oblige :D 

    Ton Antivirus semble avoir viré des fichiers qui n'étaient pas infectieux, ça seraient donc effectivement des FP, mais tu n'es pas la seule : http://forum.bitdefender.com/lofiversion/index.php/t177...

    Bref, dans ton rapport, y a pas l'air d'avoir de séquelles suite à cette bourde de BitDefender, par contre il y a quelques saletés qu'on va virer, et des restes de ton ancien antivirus je pense, à savoir Norton :

    1)

    Désinstallation de programmes[/#FF]

    Va dans Démarrer > Panneau de configuration > Ajout/Suppression de programmes.

    Une liste des programmes installés va s'afficher, ici, désinstalle si présents :

  • SpywareBlaster

  • Spybot S&D (obsolète depuis longtemps, et pourrait gêner la désinfection)

    Si tu ne sais pas ce qu'est le programme Scan, désinstalle-le également.

    2)

    [#ff9000]Fix OTL :[/#ff]

  • Relance OTL.exe.

  • Copie exactement le texte ci-dessous :

    :OTL
    SRV - File not found [Auto | Stopped] -- -- (Planificateur LiveUpdate automatique)
    DRV - [2006/11/26 01:52:38 | 000,010,344 | ---- | M] (Symantec Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\symlcbrd.sys -- (symlcbrd)
    O3 - HKU\S-1-5-21-905660674-2167030778-1823705820-1005\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
    O3 - HKU\S-1-5-21-905660674-2167030778-1823705820-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
    [6 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
    [30 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2006/11/18 15:29:25 | 000,055,843 | ---- | C] () -- C:\WINDOWS\System32\Autorun.ini
    [2006/09/30 04:06:55 | 000,589,824 | ---- | C] () -- C:\WINDOWS\AntiV.EXE
    [2007/12/14 01:48:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\espionServerData

    :Files
    C:\Documents and Settings\DORIA\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    C:\Documents and Settings\DORIA\Application Data\Symantec

    :Commands
    [purity]
    [emptytemp]
    [emptyflash]
    [createrestorepoint]


  • Colle-le dans le cadre Personnalisation en bas à gauche.

  • Clique sur le bouton [#ff9000]Correction[/#ff] en haut à gauche.

  • Si le pc te demande de redémarrer, confirme l'opération.

  • Un rapport après le redémarrage va apparaître, copie/colle-le dans ta prochaine réponse.

    3)

  • Va sur le site Virustotal , un site qui analyse des fichiers avec tous les antivirus présents sur le marché.

  • Clique sur Choisissez un fichier .

  • Dans la fenêtre qui s'ouvre alors, en bas, il est marqué Nom du fichier . Mets alors
    C:\WINDOWS\System32\Interop.Shell32.dll
    (copie et colle avec Ctrl+V)

  • Appuie sur Ouvrir , puis clique sur Envoyer le fichier .

  • Attends quelques secondes. Si c'est marqué que le fichier a déjà été analysé, clique sur Reanalyser le fichier maintenant .

  • Ton fichier est alors analysé. Attends bien que ce soit marqué Situation actuelle : terminé .

  • Sélectionne le tableau (avec les anti-virus, la version, la dernière mise à jour, le résultat), et Colle-le dans ta prochaine réponse stp .

  • Fais de même pour C:\WINDOWS\system32\wbem\unsecapp.exe.

    4)

    [#ff9000]Analyse et suppression des logiciels malveillants


  • Télécharge Malwarebytes' Anti-Malware (MBAM) (de Marcin Kleczynski et Bruce Harriss).

  • Installe-le, puis mets bien à jour le programme à la fin de l'installation.

  • Une fois l'opération terminée, MBAM se lance. Vérifie que la case Examen rapide est bien cochée, puis appuye sur Rechercher (encadré en rouge dans l'image ci-dessous )



  • A la fin de l'analyse, un message va s'afficher :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ou bien :
    L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté.


  • Clique sur OK pour continuer. Si MBAM n'a rien trouvé, fais-le moi savoir et quitte le programme.

  • Si il a trouvé des malwares (donc si tu obtiens le message "Afficher les résultats' pour afficher tous les objets trouvés"), continue :

    Ferme toutes les applications en cours (à part MBAM) [/#ff]

  • Clique sur Afficher les résultats.

  • Coche toutes les cases et clique sur Supprimer la sélection. Ainsi, les malwares vont être mis en quarantaine.

  • Un rapport va s'afficher. Colle ce rapport dans ta prochaine réponse stp ;) 

    [#ffb200]Pour t'aider
  • : Tuto sur MBAM

    Poste le rapport de suppression.

    Peux-tu me dire si les fichiers que BitDefender a mis en quarantaine sont toujours en quarantaine (pour accéder à la quarantaine de ton antivirus, il faut le faire via son interface) ?
    :hello: 
    21 Mars 2011 07:10:16

    Bonjour,

    Un WE à la montagne, super !

    J’ai désinstallé SpywareBlaster et Spybot S&D, mais je n’ai pas de programme "Scan" ?

    Je ne sais pas si ça a un rapport mais depuis que j’ai fait les « Correction » avec OTL, j’ai eu ce message de la Barre d’outils Google à laquelle je tiens beaucoup à cause du traducteur des pages Web (car je ne comprends pas l’anglais !):
    "La barre d’outils Google a généré une erreur.
    Internet Explorer va se fermer."
    Et IE s’est bien fermé !

    Enfin voilà le nouveau rapport d'OTL:

    All processes killed
    ========== OTL ==========
    Service Planificateur LiveUpdate automatique stopped successfully!
    Service Planificateur LiveUpdate automatique deleted successfully!
    Service symlcbrd stopped successfully!
    Service symlcbrd deleted successfully!
    C:\WINDOWS\system32\drivers\symlcbrd.sys moved successfully.
    Registry value HKEY_USERS\S-1-5-21-905660674-2167030778-1823705820-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
    Registry value HKEY_USERS\S-1-5-21-905660674-2167030778-1823705820-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
    C:\WINDOWS\System32\dllcache\SET7F0.tmp deleted successfully.
    C:\WINDOWS\System32\dllcache\SET7F1.tmp deleted successfully.
    C:\WINDOWS\System32\dllcache\SET7F2.tmp deleted successfully.
    C:\WINDOWS\System32\dllcache\SET7F8.tmp deleted successfully.
    C:\WINDOWS\System32\dllcache\SET7F9.tmp deleted successfully.
    C:\WINDOWS\System32\dllcache\SET7FA.tmp deleted successfully.
    C:\WINDOWS\System32\SETDF.tmp deleted successfully.
    C:\WINDOWS\System32\SETD7.tmp deleted successfully.
    C:\WINDOWS\System32\SETD8.tmp deleted successfully.
    C:\WINDOWS\System32\SETD9.tmp deleted successfully.
    C:\WINDOWS\System32\SETDA.tmp deleted successfully.
    C:\WINDOWS\System32\SETE0.tmp deleted successfully.
    C:\WINDOWS\System32\SETE1.tmp deleted successfully.
    C:\WINDOWS\System32\SETE5.tmp deleted successfully.
    C:\WINDOWS\System32\SETE2.tmp deleted successfully.
    C:\WINDOWS\System32\SETF0.tmp deleted successfully.
    C:\WINDOWS\System32\SETE8.tmp deleted successfully.
    C:\WINDOWS\System32\SETE9.tmp deleted successfully.
    C:\WINDOWS\System32\SETEB.tmp deleted successfully.
    C:\WINDOWS\System32\SETF4.tmp deleted successfully.
    C:\WINDOWS\System32\SET184.tmp deleted successfully.
    C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
    C:\WINDOWS\System32\SET75B.tmp deleted successfully.
    C:\WINDOWS\System32\SET75C.tmp deleted successfully.
    C:\WINDOWS\System32\SET75D.tmp deleted successfully.
    C:\WINDOWS\System32\SET76E.tmp deleted successfully.
    C:\WINDOWS\System32\SET76F.tmp deleted successfully.
    C:\WINDOWS\System32\SET770.tmp deleted successfully.
    C:\WINDOWS\System32\SET7EE.tmp deleted successfully.
    C:\WINDOWS\System32\SET7EF.tmp deleted successfully.
    C:\WINDOWS\System32\SET7F6.tmp deleted successfully.
    C:\WINDOWS\System32\SET7F7.tmp deleted successfully.
    C:\WINDOWS\System32\SET812.tmp deleted successfully.
    C:\WINDOWS\System32\SET815.tmp deleted successfully.
    C:\WINDOWS\System32\SET904.tmp deleted successfully.
    C:\WINDOWS\System32\SET907.tmp deleted successfully.
    C:\WINDOWS\~GLH0000.TMP deleted successfully.
    C:\WINDOWS\003150_.tmp deleted successfully.
    C:\WINDOWS\S922F78B9.tmp deleted successfully.
    C:\WINDOWS\system32\Autorun.ini moved successfully.
    C:\WINDOWS\AntiV.EXE moved successfully.
    C:\Documents and Settings\All Users\Application Data\espionServerData folder moved successfully.
    ========== FILES ==========
    C:\Documents and Settings\DORIA\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini moved successfully.
    C:\Documents and Settings\DORIA\Application Data\Symantec folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Default User
    ->Temp folder emptied: 16384 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: All Users

    User: NetworkService
    ->Temp folder emptied: 393062 bytes
    ->Temporary Internet Files folder emptied: 1015561 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Administrateur
    ->Temp folder emptied: 16384 bytes
    ->Temporary Internet Files folder emptied: 32768 bytes

    User: DORIA
    ->Temp folder emptied: 28133194 bytes
    ->Temporary Internet Files folder emptied: 32216253 bytes
    ->Java cache emptied: 0 bytes
    ->Flash cache emptied: 8054 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 2868347 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 67773718 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 24138 bytes

    Total Files Cleaned = 127,00 mb


    [EMPTYFLASH]

    User: Default User

    User: All Users

    User: NetworkService

    User: LocalService

    User: Administrateur

    User: DORIA
    ->Flash cache emptied: 0 bytes

    Total Flash Files Cleaned = 0,00 mb

    Restore point Set: OTL Restore Point (0)

    OTL by OldTimer - Version 3.2.22.3 log created on 03212011_042731

    Files\Folders moved on Reboot...
    C:\WINDOWS\temp\Perflib_Perfdata_f28.dat moved successfully.

    Registry entries deleted on Reboot...

    Citation :
    • Sélectionne le tableau (avec les anti-virus, la version, la dernière mise à jour, le résultat), et Colle-le dans ta prochaine réponse stp .

    • Fais de même pour C:\WINDOWS\system32\wbem\unsecapp.exe.

    - Enfin, je ne suis pas allée plus loin car avec Virustotal je ne comprends pas ce que je dois « faire de même pour C:\WINDOWS\system32\wbem\unsecapp.exe » ?


    - Quant à la quarantaine de mon antivirus BitDefender:

    Après ma mésaventure avec les fichiers Windows supprimés, le SAV de BitDefender m’a conseillé de désinstaller cette version et de la réinstaller complètement. Avant de procéder à la désinstallation, j’avais vérifié et il n’y avait aucun fichier dans "la quarantaine".

    Merci encore pour ton travail et à bientôt pour la suite des opérations .......
    a b 8 Sécurité
    21 Mars 2011 13:13:43

    Hello, ok pour bitdefender, pour virustotal, "faire de même pour C:\WINDOWS\system32\wbem\unsecapp.exe" signifie recommencer les étapes du 3), mais au lieu de tester le fichier C:\WINDOWS\System32\Interop.Shell32.dll

    Tu testes C:\WINDOWS\system32\wbem\unsecapp.exe

    ;) 
    23 Mars 2011 03:13:31

    Bonjour,

    Voici le résultat de Virustotal pour le fichier C:\WINDOWS\System32\Interop.Shell32.dll :

    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: Interop.Shell32.dll
    Submission date: 2011-03-23 01:35:19 (UTC)
    Current status: queued queued analysing finished


    Result: 0/ 42 (0.0%)
    VT Community

    not reviewed
    Safety score: -

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2011.03.23.00 2011.03.22 -
    AntiVir 7.11.5.30 2011.03.22 -
    Antiy-AVL 2.0.3.7 2011.03.22 -
    Avast 4.8.1351.0 2011.03.22 -
    Avast5 5.0.677.0 2011.03.22 -
    AVG 10.0.0.1190 2011.03.23 -
    BitDefender 7.2 2011.03.23 -
    CAT-QuickHeal 11.00 2011.03.22 -
    ClamAV 0.96.4.0 2011.03.23 -
    Commtouch 5.2.11.5 2011.03.22 -
    Comodo 8068 2011.03.22 -
    DrWeb 5.0.2.03300 2011.03.23 -
    eSafe 7.0.17.0 2011.03.22 -
    eTrust-Vet 36.1.8230 2011.03.22 -
    F-Prot 4.6.2.117 2011.03.22 -
    F-Secure 9.0.16440.0 2011.03.23 -
    Fortinet 4.2.254.0 2011.03.22 -
    GData 21 2011.03.23 -
    Ikarus T3.1.1.97.0 2011.03.22 -
    Jiangmin 13.0.900 2011.03.22 -
    K7AntiVirus 9.94.4179 2011.03.22 -
    Kaspersky 7.0.0.125 2011.03.23 -
    McAfee 5.400.0.1158 2011.03.23 -
    McAfee-GW-Edition 2010.1C 2011.03.22 -
    Microsoft 1.6603 2011.03.22 -
    NOD32 5976 2011.03.22 -
    Norman 6.07.03 2011.03.22 -
    nProtect 2011-02-10.01 2011.02.15 -
    Panda 10.0.3.5 2011.03.22 -
    PCTools 7.0.3.5 2011.03.21 -
    Prevx 3.0 2011.03.23 -
    Rising 23.50.01.06 2011.03.22 -
    Sophos 4.63.0 2011.03.23 -
    SUPERAntiSpyware 4.40.0.1006 2011.03.23 -
    Symantec 20101.3.0.103 2011.03.23 -
    TheHacker 6.7.0.1.154 2011.03.22 -
    TrendMicro 9.200.0.1012 2011.03.22 -
    TrendMicro-HouseCall 9.200.0.1012 2011.03.23 -
    VBA32 3.12.14.3 2011.03.21 -
    VIPRE 8787 2011.03.23 -
    ViRobot 2011.3.22.4370 2011.03.22 -
    VirusBuster 13.6.264.0 2011.03.22 -
    Additional informationShow all
    MD5 : e6567dd17db2972c7ea3d9a6038e87e0
    SHA1 : 4be51783fb28d47a3fad7613e55bb0800271b1a4
    SHA256: 0e277f4a530e1a7d348b72734c472aa98a4e39cead77c842904bc3081e5aa92b
    ssdeep: 768:kCjoBePB5CbUutmrDDaBuONbP59g76+u3odoQ2MesthVyF6j7tr+B/h6Hzg:kCjoBePB5Cb
    Uqoao69wdu4YKRE
    File size : 53248 bytes
    First seen: 2010-07-17 17:50:40
    Last seen : 2011-03-23 01:35:19
    TrID:
    Generic .NET DLL/Assembly (67.0%)
    Win64 Executable Generic (23.3%)
    Windows Screen Saver (3.5%)
    Win32 Executable Generic (2.3%)
    Win32 Dynamic Link Library (generic) (2.0%)
    sigcheck:
    publisher....:
    copyright....:
    product......: Assembly imported from type library Shell32
    description..:
    original name: Interop.Shell32.dll
    internal name: Interop.Shell32
    file version.: 1.0.0.0
    comments.....:
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0xBD1E
    timedatestamp....: 0x438D6261 (Wed Nov 30 08:27:13 2005)
    machinetype......: 0x14c (I386)

    [[ 3 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x2000, 0x9D24, 0xA000, 5.62, 1b6b150512319efc8577512fda8488e2
    .rsrc, 0xC000, 0x360, 0x1000, 0.89, 773a30404f5ea841418174ede9115862
    .reloc, 0xE000, 0xC, 0x1000, 0.01, 2060bb8dd78bef046052dac23c5c3baf

    [[ 1 import(s) ]]
    mscoree.dll: _CorDllMain

    Symantec reputation:Suspicious.Insight


    Mais ce n'est pas un fichier de mon PC qui a été analysé ?

    :??: 










    23 Mars 2011 04:17:28

    Suite:

    Voici maintenant le résultat pour C:\WINDOWS\system32\wbem\unsecapp.exe

    1 VT Community user(s) with a total of 18 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: unsecapp.exe.
    Submission date: 2011-03-23 03:03:44 (UTC)
    Current status: queued (#5) queued (#5) analysing finished


    Result: 0/ 41 (0.0%)
    VT Community

    goodware
    Safety score: 100.0%

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2011.03.23.01 2011.03.23 -
    AntiVir 7.11.5.30 2011.03.22 -
    Antiy-AVL 2.0.3.7 2011.03.22 -
    Avast 4.8.1351.0 2011.03.22 -
    Avast5 5.0.677.0 2011.03.22 -
    AVG 10.0.0.1190 2011.03.23 -
    BitDefender 7.2 2011.03.23 -
    CAT-QuickHeal 11.00 2011.03.22 -
    ClamAV 0.96.4.0 2011.03.23 -
    Commtouch 5.2.11.5 2011.03.22 -
    Comodo 8068 2011.03.22 -
    DrWeb 5.0.2.03300 2011.03.23 -
    eSafe 7.0.17.0 2011.03.22 -
    eTrust-Vet 36.1.8230 2011.03.22 -
    F-Prot 4.6.2.117 2011.03.22 -
    F-Secure 9.0.16440.0 2011.03.23 -
    Fortinet 4.2.254.0 2011.03.23 -
    GData 21 2011.03.23 -
    Ikarus T3.1.1.97.0 2011.03.23 -
    Jiangmin 13.0.900 2011.03.22 -
    K7AntiVirus 9.94.4179 2011.03.22 -
    McAfee 5.400.0.1158 2011.03.23 -
    McAfee-GW-Edition 2010.1C 2011.03.22 -
    Microsoft 1.6603 2011.03.22 -
    NOD32 5976 2011.03.22 -
    Norman 6.07.03 2011.03.22 -
    nProtect 2011-02-10.01 2011.02.15 -
    Panda 10.0.3.5 2011.03.22 -
    PCTools 7.0.3.5 2011.03.21 -
    Prevx 3.0 2011.03.23 -
    Rising 23.50.01.06 2011.03.22 -
    Sophos 4.63.0 2011.03.23 -
    SUPERAntiSpyware 4.40.0.1006 2011.03.23 -
    Symantec 20101.3.0.103 2011.03.23 -
    TheHacker 6.7.0.1.154 2011.03.22 -
    TrendMicro 9.200.0.1012 2011.03.22 -
    TrendMicro-HouseCall 9.200.0.1012 2011.03.23 -
    VBA32 3.12.14.3 2011.03.21 -
    VIPRE 8788 2011.03.23 -
    ViRobot 2011.3.22.4370 2011.03.22 -
    VirusBuster 13.6.264.0 2011.03.22 -
    Additional informationShow all
    MD5 : e77b97d96a89de67dec6ad76f92c3655
    SHA1 : 39358e81cd77441e9ecd7c4340b099d6e248499d
    SHA256: 711f195f581686912772a2600dce2b8c6c24a8d05fe4943b37c785777a0cec51

    A + :??: 
    23 Mars 2011 07:54:36

    Suite,

    Pour Virustotal, j'ai compris en lisant et en appliquant un Tuto - c'est à dire en faisant la recherche Interop.Shell32.dll et wbem\unsecapp.exe manuellement que j'arrivais au même résultat et par conséquent qu'en déposant directement dans la fenêtre C:\WINDOWS\system32\wbem\unsecapp.exe, c'était bien un fichier de mon PC que j'avais analysé. C'est chouette, j'aime bien apprendre et comprendre les choses ! :wahoo: 

    Pour la suite des analyses avec MBAM : tout est OK, il n'a rien trouvé.

    Par contre, j'ai un nouveau problème:
    Lors d'une mise à jour de mon logiciel d'imprimante HP, voilà ce qui s'est affiché:
    Mise à jour HP
    Une erreur s'est produite à cause d'une bibliothèque logicielle manquante. Il se peut que vous deviez réinstaller l'application.
    L'application va se terminer. HPSU -0004

    J'ai réessayé plusieurs fois et j'ai toujours le même message.
    Dois-je réinstaller mon imprimante ? :sweat: 

    A+
    a b 8 Sécurité
    23 Mars 2011 16:30:24

    Re,

    Pour ton imprimante, ça m'étonnerait que ce soit lié avec ce que je t'ai fait faire, donc le mieux est de la réinstaller effectivement ;) 

    C'est en effet un fichier de ton PC qu'on a testé ;) 

    Il semblerait que tout s'est bien déroulé, on va vérifier tout ça (si le dernier rapport est clean, on pourra finaliser)

    1)

  • Relance OTL.

  • Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

  • Une fenêtre apparaît.

  • Coche la case : Tous les utilisateurs

  • Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop
    CREATERESTOREPOINT


  • Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

  • A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    2)

    [#ff0000]Important : purge de la restauration du système[/#ff]


    --> Il y a toujours des virus dans tes points de restauration. Suis ce tuto pour la purger.

    N'oublie pas de créer un nouveau point de restauration une fois l'opération effectuée (en appuyant sur le bouton créer)

    A+ :) 
    24 Mars 2011 02:39:25


    Citation :
  • A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


  • Re,

    Voici le lien du rapport d'OTL, mais cette fois il n'y a que le rapport OTL.Txt qui s'est ouvert. Je n'ai pas eu de rapport Extras.Txt, j'ai pourtant suivi la procédure ?????

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijMuRRY...


    Citation :
    --> Il y a toujours des virus dans tes points de restauration. Suis ce tuto pour la purger.


    - Alors j'ai des virus dans mes points de restauration ?
    Finalement j'ai quand même eu une véritable attaque de virus, pas que des FP ?

    A+ :hello: 
    a b 8 Sécurité
    25 Mars 2011 17:56:39

    Re,

    Pas grave pour extras.txt ;) 

    Citation :
    - Alors j'ai des virus dans mes points de restauration ?
    Finalement j'ai quand même eu une véritable attaque de virus, pas que des FP ?


    Oui, il y avait une infection mais je la qualifierais de mineure.

    Purge tes points de restauration donc, puis :

    Suite et fin dans l'ordre :

    Mets à jour Internet Explorer vers la version 9 (IE pas à jour = failles de sécurité)


    Prévention



    Les menaces diverses sur Internet étant de plus en plus nombreuses, je te conseille vivement de consulter ces liens, afin de mieux te protéger sur le Net :



    Les dangers du P2P (comme emule, limewire...) : http://forum.zebulon.fr/index.php?showtopic=85544

    Pour télécharger gratuitement et légalement, je te conseille Beezik , qui a pour avantages :

  • Une meilleure qualité de son

  • Pas de virus !

    Les dangers des cracks, des keygens : http://forum.malekal.com/danger-des-cracks-t893.html

    Rappels sur les OS piratés : http://redirectingat.com/?id=1402X522807&xs=1&url=http%...

    ********************************

    Logiciels de sécurité conseillés :

    Anti-virus : Avast 6.0

    Pour scanner tes fichiers : MBAM

    ********************************

    Attention, contrairement aux idées reçues :

  • Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

  • Les anti-spywares ne servent à rien !!

  • Je te conseille fortement de ne pas installer des packs de "transformation', qui donnent par exemple l'allure de Windows Vista à un Windows XP. Ce genre de programmes posent beaucoup de problèmes !!!

    Enfin, n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !

    A+ et bon surf :hello: 
    28 Mars 2011 07:01:24

    Re,

    1) J'ai purgé mes points de restauration.

    2) Quant à "Mettre à jour Internet Explorer vers la version 9 ", j'ai suivi ton lien mais dans "sélectionnez votre version" on propose Windows Vista (32 bits ou 64 bits), Windows 7 (32 bits ou 64 bits), Windows Server 2008 (32 bits ou 64 bits), j'ai donc l'impression qu'étant sous Windows XP 32 bits, ce n'est pas pour moi !

    3) Ne me servant jamais d'E-Mule, je l'ai désinstallé.

    4) Mauvaise nouvelle :

    J'ai refait une "vérification de fichiers système de Windows XP" :
    Démarrer > Exécuter > (tapez "sfc /scannow") et les boites de dialogue suivantes s'ouvrent toujours pendant le scan:

    Protection de Fichiers Windows
    \!/ "Des fichiers nécessaires au fonctionnement de Windows ont été remplacés par des fichiers d'une version non reconnue. Veuillez insérer CD du Service Pack 3 pour Windows XP Professionnel dans votre lecteur de CD-ROM"

    \!/ "Vous avez choisi de ne pas restaurer la version originale des fichiers.
    Ceci peut affecter la stabilité de Windows. Voulez-vous vraiment garder ces versions de fichiers non reconnues ?" [ OUI ] [ NON ]

    \!/ "Les fichiers nécessaires au fonctionnement de Windows doivent être copiés dans le dossier DLL Cache"
    \!/ " Insérez votre CD du Service Pack 3 pour Windows XP".
    -------------------------------------------
    Tantôt on me demande d’insérer le CD du SP3, tantôt on me demande d’insérer le CD Windows XP Professional CD2, donc en tout 8 fois la fenêtre suivante s’ouvre :

    \!/ "Les fichiers nécessaires au fonctionnement de Windows doivent être copiés dans le dossier DLL Cache".

    \!/ "Si vous annulez maintenant, Windows peut vous demander d’insérer un CD-ROM ultérieurement"
    -------------------------------------------

    J’en reviens toujours à ma question :
    Comment faire pour remettre les bons fichiers Windows sans le CD ??????
    :ouch: 




    a b 8 Sécurité
    28 Mars 2011 13:03:09

    Re,

    Pour Internet Explorer, c'est normal que ça ne fonctionne pas, ce n'est pas compatible avec Windows XP. Mets-le à jour vers la version 8 donc.

    Pour l'histoire du sfc/scannow, ne fais pas attention à ceci dans Windows XP, l'utilitaire fait souvent des fausses détections. Le PC est clean, il n'y a plus d'infections, donc ignore ce sfc qui ne reflète pas toujours la réalité ;) 

    30 Mars 2011 06:50:45

    Citation :
    Pour l'histoire du sfc/scannow, ne fais pas attention à ceci dans Windows XP, l'utilitaire fait souvent des fausses détections. Le PC est clean, il n'y a plus d'infections, donc ignore ce sfc qui ne reflète pas toujours la réalité

    Bonjour,

    Donc, je ne me préoccupe pas de sfc /scannow. C'est formidable d'avoir retrouvé un PC clean :bounce: 

    Dois-je maintenant supprimer le dossier _OTL dans C:\ , contenant le dossier « MovedFiles » ?

    Plus haut, tu me conseilles :

    AVAST : J’ai renouvelé ma licence avec BitDefender Internet Security en janvier 2011 pour 2 ans, je ne vais quand même pas l’abandonner !

    MBAM : Je l’avais dans mes programmes depuis longtemps, mais lors de l’installation de BitDefender Internet Security 2011, ils m’ont demandé de l’enlever car, paraît-il, pas compatible ensemble.
    Je l’ai réinstallé pour les tests à ta demande, en désactivant mon antivirus. Peut-être pourrais-je le garder et continuer de faire des analyses en désactivant BitDefender. Qu’en penses-tu ?

    Je voulais aussi te signaler que depuis environ 3 mois, lorsque je veux restaurer à un « Point de Restauration » créé, la fenêtre suivante s’affiche :
    « Restauration incomplète, aucun changement n’a été effectué sur votre ordinateur »
    J’ai trouvé une parade en le faisant en « mode sans échec » et ça marche.
    Mais est-ce normal de ne plus pouvoir y parvenir autrement ?

    Enfin je voulais te demander conseil pour un bon défragmenteur, j’ai un petit disque dur (C) de 50 Go.
    J’hésite entre le défragmenteur de Windows, Defraggler et Auslogics Disk Defrag.
    J’ai testé les 3 en « mode sans échec »
    Peut-être en connais-tu un mieux ?

    Un grand MERCI pour tout. :hello: 
    a b 8 Sécurité
    30 Mars 2011 13:11:51

    Salut, laisse tomber pour Avast, c'est pour les utilisateurs ne possédant pas d'antivirus.

    Pour MBAM, non, il faut que ton antivirus soit activé, mais tu fais des scans à la demande avec MBAM de préférence.
    Comme la version gratuite de MBAM ne possède pas de protection résidente, je ne vois pas pourquoi il y aurait un souci. :) 

    Pour la restauration, tu as essayé après qu'on ait désinfecté le PC ?

    Sinon, tu peux tenter un CHKDSK %SYSTEMDRIVE% et me donner le résultat (via l'invite de commandes)

    Pour défragmenter ton disque, prends soit celui de Windows, soit celui de Piriform (donc Defraggler). J'utilise personnellement ce dernier ;) 

    Si tu estimes que ton sujet est résolu, tu peux éditer ton premier post, afin d'éditer le titre de ton sujet et mettre [Résolu] devant ;) 
    2 Avril 2011 08:31:38

    Citation :
    Pour la restauration, tu as essayé après qu'on ait désinfecté le PC ?

    Sinon, tu peux tenter un CHKDSK %SYSTEMDRIVE% et me donner le résultat (via l'invite de commandes)

    Re,

    Oui, le problème persiste même depuis que l'on a désinfecté le PC.
    J'ai fait le "CHKDSK" et voici le lien avec la capture d'écran.
    J'ai l'imression qu'il y a des problèmes....

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijBnU4L...

    A+ :sweat: 
    a b 8 Sécurité
    2 Avril 2011 10:27:05

    Y a deux choses qui ne vont pas en fait,

  • Ton disque dur est défectueux

  • Il est formaté en FAT32... Pas terrible pour un XP, il vaudrait mieux avoir du NTFS...


    Correction des erreurs

  • Va dans Démarrer > Poste de travail > Clic droit sur le disque C: > Propriétés.

  • Dans l'onglet Outils, clique sur Vérification des erreurs. Coche les deux cases, comme dans l'image ci-dessous, et commence l'analyse.



    --> Le PC va te demander de redémarrer pour exécuter l'opération. Redémarre immédiatement. (il est possible que le redémarrage ne soit pas nécessaire, dans ce cas patiente pendant l'opération).

    --> L'ordi redémarre puis analyse ton disque dur. Cette opération peut durer plusieurs heures. A la fin, dis-moi ce qu'il s'est passé.
    3 Avril 2011 05:45:57

    Re,

    Malheureusement l’opération d’analyse n’a pas duré longtemps !
    --> Voilà ce qui s’est passé : au redémarrage de l’ordi une fenêtre bleue s’est ouverte :

    « Une vérification de disque a été planifiée.
    Windows va maintenant vérifier le disque.
    Windows vérifie les fichiers et les dossiers…
    0 pour cent effectués…
    3 pour cent effectués…
    6 pour cent effectués.

    Windows a terminé la vérification du disque. »

    La fenêtre bleue se ferme et le PC démarre.
    - J’ai refait 3 fois le processus et les 3 fois la vérification s’est arrêtée à « 6 pour cent ». :??: 

    Citation :
  • Il est formaté en FAT32... Pas terrible pour un XP, il vaudrait mieux avoir du NTFS...


  • --> Quant au formatage en NTFS, j’ai peur que ça m’apporte des complications de compatibilité.

    J’ai un disque dur externe de 250 Go au format FAT32 avec beaucoup de sauvegardes. Que vont-elles devenir ? Et mes clefs USB ?
    De plus, j’ai un MacBook Pro 13"(HFS+) avec lequel FAT32 est compatible.
    J’ai aussi un autre disque dur externe de 750 Go celui-ci au format NTFS et lorsque je le connecte au Mac il n’est compatible qu’en lecture seule.

    Et surtout, si je reformate mon PC qui est d’origine en FAT32 , ne vais-pas perdre le contenu du PC en passant en NTFS ?????

    A+ :sarcastic: 
    a b 8 Sécurité
    3 Avril 2011 10:50:23

    Re,

    Attention, je n'ai jamais dit que tu devais formater en NTFS, puisqu'effectivement, tu perdrais tes données. C'était juste une remarque.

    Par contre, si jamais tu formatais en NTFS, aucun effet sur ton dd externe :)  Perso, j'utilise un PC avec un dd en NTFS et un dd externe en FAT32, il n'y a jamais eu de soucis ;) 

    Tu pourrais refaire un CHKDSK %SYSTEMDRIVE% et me donner le résultat stp ?
    3 Avril 2011 19:31:09

    Re,

    J'ai donc refait un "CHKDSK" et voici le lien avec la capture d'écran :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cij7jU6S...

    -----------------------------------------

    Sinon, avant, j'ai fait une analyse avec BitDefender qui m'a trouvé un virus « Gen : Variant. Kazy. 16971 » dans un fichier qui est dans "Mes documents" depuis le 31 octobre 2007 et qu'il a eu l'occasion d'analyser un nombre incalculable de fois. Comment un virus pourrait arriver d'un seul coup dans un vieux fichier ?

    A+ :) 
    a b 8 Sécurité
    3 Avril 2011 20:58:12

    Salut,

    Ton disque dur est endommagé, et apparemment ce n'est pas réversible. Sauvegarde tes données, à mon avis il va bientôt lâcher... Cela explique pourquoi tu as des soucis durant les restaurations du système.

    Pour BitDefender, je pense que c'est encore un faux-positif, ça paraît bizarre effectivement.
    3 Avril 2011 23:41:58

    Re,

    Pour mon disque dur on ne peut vraiment rien faire ?
    Et s’il lâche, ça se remplace ?

    Mon PC portable ACER a 4 ans et demi.

    Faut-il aussi que je fasse une sauvegarde complète du système de façon à pouvoir tout remettre sur un nouveau disque dur ?
    Avec mon dd externe, j’ai eu un logiciel téléchargeable que j’ai installé sur le PC « Retrospect Express HD » qui fait des sauvegardes complètes du système à la demande. Mais mon système vaut-il le coup d’être sauvegardé ?

    Encore MERCI pour ton aide.

    a b 8 Sécurité
    4 Avril 2011 18:59:51

    Re

    Pour ton disque dur tu peux tenter de le réparer encore et encore mais à mon avis c'est mort. En même temps ce n'est pas étonnant vu l'âge du PC (durée de vie d'un dd = environ 5 ans)

    Oui ça se remplace

    A toi de voir si ton système vaut la peine d'être sauvegardé, XP est dépassé, ce qui est sûr c'est qu'il faut sauvegarder tes données, comme ça quand ça arrivera, pas de souci.
    8 Avril 2011 05:34:23

    Bonjour,

    Quand même au sujet du CHKDSK %SYSTEMDRIVE% (via l'invite de commandes) et suite au résultat :

    -->Windows a trouvé des erreurs sur le disque, mais ne les corrigera pas, car la vérification de disque a été effectuée sans le paramètre /F (correction).
    \WINDOWS\Prefetch\HPZIPM12.EXE-02312CF9.pf La première unité d’allocation n’est pas valide. L’entrée sera tronquée.
    La taille de l’entrée \WINDOWS\system32\wbem\logs\wbemess.lo_ est incorrecte.

    Vérification des fichiers et des dossiers terminée.
    Convertir les liens perdus en fichiers (O/N) ?

    ----------------

    - Pourrais-tu me dire comment faire pour "Réparer" les erreurs sur le disque ?

    Merci d'avance :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS