Discussion:
suppression de mails polluant
(trop ancien pour répondre)
serge
2010-05-01 13:23:12 UTC
Permalink
Bonjour,
Depuis pas mal de temps, je reçois des mails de "moi-même" et oui c'est
bizarre.
L'objet étant : Cher ami, Re: et l'objet de l'un de mes messages
Voici ce qu'il contient:

"Cher ami,
Hey, what are you doing lately? Je tiens à vous présenter une
très bonne compagnie que je connaissais.
Sa page d'accueil de la société: www.ele-ups.com
Service en ligne MSN: ele-***@hotmail.com
Si vous avez des besoins, s'il vous pla?t contacter le Courrier
de l'entreprise.
Ils peuvent offrir toutes sortes de produits électroniques que
vous avez besoin, comme les motos, les ordinateurs portables,
téléphones portables, appareils photo Digial, TV LCD, X Box, PS3, GPS,
MP3 / 4, etc S'il vous pla?t prendre le temps de regarder qu'il doit y
avoir quelque chose que vous voulez acheter.
Espérons que vous avez un bon état d'esprit dans l'achat de votre
entreprise!
Observe"

J'ai créé une règle qui les supprime du serveur sous OE, le problmème c'est
qu'il arrive que ces mêmes messages sont envoyés à d'autres correspondants
en mon nom. j'utilise Avast 4.8 et spyboot qui non rien trouvé sur mon pc.
Que puis je faire ?
merci
serge
Jacquouille la Fripouille
2010-05-01 14:14:57 UTC
Permalink
*Bonjour serge*
Tu as tapoté sur ton clavier le message suivant
<news:e%***@TK2MSFTNGP06.phx.gbl> :

...
Post by serge
J'ai créé une règle qui les supprime du serveur sous OE, le problmème
c'est qu'il arrive que ces mêmes messages sont envoyés à d'autres
correspondants en mon nom. j'utilise Avast 4.8 et spyboot qui non rien
trouvé sur mon pc. Que puis je faire ?
merci
serge
Essaie MBAM mieux adapté à la détection des malwares espions :
http://www.malwarebytes.org/
--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.
serge
2010-05-01 15:10:07 UTC
Permalink
merci je viens de le faire, il m'en a trouvé 6
Fichier(s) infecté(s):
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP153\A0026911.exe
(Hacktool.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP168\A0029098.exe
(Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006519.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006521.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006522.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP108\A0014782.exe
(Trojan.Dropper) -> Quarantined and deleted successfully.

je ne connaisssais pas ce soft il m'a l'air très bien, spyboot n'avais pas
trouvé
serge
Post by Jacquouille la Fripouille
*Bonjour serge*
Tu as tapoté sur ton clavier le message suivant
...
Post by serge
J'ai créé une règle qui les supprime du serveur sous OE, le problmème
c'est qu'il arrive que ces mêmes messages sont envoyés à d'autres
correspondants en mon nom. j'utilise Avast 4.8 et spyboot qui non rien
trouvé sur mon pc. Que puis je faire ?
merci
serge
http://www.malwarebytes.org/
--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.
*Bonjour serge*
Tu as tapoté sur ton clavier le message suivant
...
Post by serge
J'ai créé une règle qui les supprime du serveur sous OE, le problmème
c'est qu'il arrive que ces mêmes messages sont envoyés à d'autres
correspondants en mon nom. j'utilise Avast 4.8 et spyboot qui non rien
trouvé sur mon pc. Que puis je faire ?
merci
serge
http://www.malwarebytes.org/
--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.
Luc
2010-05-01 16:09:41 UTC
Permalink
serge a écrit...
Post by serge
merci je viens de le faire, il m'en a trouvé 6
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP153\A0026911.exe
(Hacktool.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP168\A0029098.exe
(Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006519.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006521.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006522.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP108\A0014782.exe
(Trojan.Dropper) -> Quarantined and deleted successfully.
je ne connaisssais pas ce soft il m'a l'air très bien, spyboot
n'avais pas trouvé
Sauf que ça n'a rien à voir avec les spams envoyés avec ton adresse.
Post by serge
serge
--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/
Herser
2010-05-01 16:41:08 UTC
Permalink
Post by serge
merci je viens de le faire, il m'en a trouvé 6
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP153\A0026911.exe
(Hacktool.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP168\A0029098.exe
(Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006519.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006521.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006522.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP108\A0014782.exe
(Trojan.Dropper) -> Quarantined and deleted successfully.
je ne connaisssais pas ce soft il m'a l'air très bien, spyboot
n'avais pas trouvé
serge
Bonjour

Effectivement MBAM est un must en ce moment.
Comme Spybot l'a été en son temps.

Mais, comme dit Luc, ce que t'a trouvé MBAM n'a rien à voir avec tes mails.
Pour deux raisosn différentes :
1- il s'agit de spams et non de virus
2- les virus trouvés sont inactifs pour le moment.

En effet ton copier / coller est incomplet, ces virus sont dans :
System Volume Information (=SVI), dossier caché par défaut,
et qui renferme les points de restauration.

Tu as eu des virus, supprimés, mais conservés dans la restauration système.

Si tu fais une restauration sur ces points, tu les réinjectes.

Premier conseil : désactive, puis réactive la restauration :
http://www.libellules.ch/desactiver_restauration.php
(Tu parles de OE donc je suppose que tu es sous XP)

Deuxième conseil : 4 points de restauration espacés sont concernés
Ce qui signifie une fréquence anormale d'infection.
Quelques précautions toujours d'actualité :
http://forum.malekal.com/pourquoi-comment-fais-infecter-t3259.html

Si tu souhaites faire vérifier ton XP actuel, dis le, on peut faire un
diagnostic

Herser
serge
2010-05-01 22:22:50 UTC
Permalink
Merci c'est fait en ce qui concerne la restauration.
Je veux bien faire une vérification de mon XP.
Une petite question:
A quoi sert cette restauration car je ne m'en suis jamais servi, quand j'ai
un souci que je ne peux régler, je réinstalle une image et au pire je
formate et je réinstalle tout si j'échoue avec l'image ?
merci
serge
Post by serge
Post by serge
merci je viens de le faire, il m'en a trouvé 6
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP153\A0026911.exe
(Hacktool.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP168\A0029098.exe
(Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006519.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006521.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP32\A0006522.exe
(Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume
Information\_restore{3FB7E596-BBF9-4D3D-82AF-AE19B75A4155}\RP108\A0014782.exe
(Trojan.Dropper) -> Quarantined and deleted successfully.
je ne connaisssais pas ce soft il m'a l'air très bien, spyboot
n'avais pas trouvé
serge
Bonjour
Effectivement MBAM est un must en ce moment.
Comme Spybot l'a été en son temps.
Mais, comme dit Luc, ce que t'a trouvé MBAM n'a rien à voir avec tes mails.
1- il s'agit de spams et non de virus
2- les virus trouvés sont inactifs pour le moment.
System Volume Information (=SVI), dossier caché par défaut,
et qui renferme les points de restauration.
Tu as eu des virus, supprimés, mais conservés dans la restauration système.
Si tu fais une restauration sur ces points, tu les réinjectes.
http://www.libellules.ch/desactiver_restauration.php
(Tu parles de OE donc je suppose que tu es sous XP)
Deuxième conseil : 4 points de restauration espacés sont concernés
Ce qui signifie une fréquence anormale d'infection.
http://forum.malekal.com/pourquoi-comment-fais-infecter-t3259.html
Si tu souhaites faire vérifier ton XP actuel, dis le, on peut faire un
diagnostic
Herser
Herser
2010-05-02 08:05:36 UTC
Permalink
Post by serge
Merci c'est fait en ce qui concerne la restauration.
De rien
Post by serge
Je veux bien faire une vérification de mon XP.
Télécharge et installe ce logiciel de diagnostic :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Exécute le, le diagnostic génèrera un rapport : ZHPDiag.txt
Envoie ce rapport sur Cijoint avec le lien ici pour le récupérer :
http://cjoint.com/
Post by serge
A quoi sert cette restauration car je ne m'en suis jamais servi,
quand j'ai un souci que je ne peux régler, je réinstalle une image et
au pire je formate et je réinstalle tout si j'échoue avec l'image ?
merci
serge
- La restauration sauvegarde tous les jours (si PC allumé !) les fichiers
système.
Mais pas les documents, sauf s'ils sont sur le bureau, qui est un fichier
système.
En cas de problème lié à ces fichiers (registre modifié, virus qui patche un
fichier système....), la restauration permet de corriger en 2/3 minutes.
Une fausse rumeur fait dire que la restauration est inutile et ralentit le
système
Elle a pourtant souvent dépanné sur ces NG.
Et elle ne mobilise le système que quelques secondes par jour

- Un "ghost" est utile en cas de gros problème que la restauration n'arrive
pas à résoudre.
Type Virut qui désactive la restauration, le mode sans échec et désactive
les défenses.

- le formatage est inutile si on *vérifie* ses"ghosts" à leur création
et si on les sauvegarde en plusieurs exemplaires.

Ce sont donc des outils de niveau différent
Un peu comme un marteau, une masse, un marteau pilon
Le plus utile est quand même le marteau.
Mais on peut planter un clou avec la masse ou un marteau pilon.

Herser
serge
2010-05-02 19:04:46 UTC
Permalink
Voici le fichier, je n'y comprends rien
http://cjoint.com/?fcvdcUyLeU
merci pour le coup de main
serge
Post by Herser
Post by serge
Merci c'est fait en ce qui concerne la restauration.
De rien
Post by serge
Je veux bien faire une vérification de mon XP.
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Exécute le, le diagnostic génèrera un rapport : ZHPDiag.txt
http://cjoint.com/
Post by serge
A quoi sert cette restauration car je ne m'en suis jamais servi,
quand j'ai un souci que je ne peux régler, je réinstalle une image et
au pire je formate et je réinstalle tout si j'échoue avec l'image ?
merci
serge
- La restauration sauvegarde tous les jours (si PC allumé !) les fichiers
système.
Mais pas les documents, sauf s'ils sont sur le bureau, qui est un fichier
système.
En cas de problème lié à ces fichiers (registre modifié, virus qui patche
un fichier système....), la restauration permet de corriger en 2/3
minutes.
Une fausse rumeur fait dire que la restauration est inutile et ralentit le
système
Elle a pourtant souvent dépanné sur ces NG.
Et elle ne mobilise le système que quelques secondes par jour
- Un "ghost" est utile en cas de gros problème que la restauration
n'arrive pas à résoudre.
Type Virut qui désactive la restauration, le mode sans échec et désactive
les défenses.
- le formatage est inutile si on *vérifie* ses"ghosts" à leur création
et si on les sauvegarde en plusieurs exemplaires.
Ce sont donc des outils de niveau différent
Un peu comme un marteau, une masse, un marteau pilon
Le plus utile est quand même le marteau.
Mais on peut planter un clou avec la masse ou un marteau pilon.
Herser
Herser
2010-05-02 21:04:05 UTC
Permalink
Post by serge
Voici le fichier, je n'y comprends rien
http://cjoint.com/?fcvdcUyLeU
merci pour le coup de main
serge
Bonsoir

Essaie de répondre en dessosu das l'ordre habituel de lecture
Merci

Le rapport signale un possible rootkit.
Et quelques mises à jour à faire :


1 - Rootkit MBR c'est quoi :
http://forum.malekal.com/rootkit-mbr-psw-sinowal-backdoor-maosboot-trojan-mebroot-t10139.html
C'est un virus très caché qui cherche à voler les informations intéressantes
du PC.

Pour vérifier sa présence et le supprimer, si présent, refais ZHPDiag
Une fois le diagnostic terminé, clique sur l'icône ZHPFix (bouclier vert)
ZHPFix s'ouvre alors
Puis clique sur l'icône H et copie colle dans l'espace blanc :
MBRFix
Puis OK, "Tous" et "Nettoyer"

Envoie le rapport de ZHPFix sur Cijoint

2- Mises à jour

Tu es encore sous XPSP2, XPSP3 est plus sécurisé, est-ce volontaire ?
Tu es encore sous IE6, IE7 et IE8 sont plus sécurisés
Tu es encore sous Adobe 7 moins sécurisé.

Herser
serge
2010-05-02 21:43:45 UTC
Permalink
Post by Herser
Post by serge
Voici le fichier, je n'y comprends rien
http://cjoint.com/?fcvdcUyLeU
merci pour le coup de main
serge
Bonsoir
Essaie de répondre en dessosu das l'ordre habituel de lecture
Merci
Le rapport signale un possible rootkit.
http://forum.malekal.com/rootkit-mbr-psw-sinowal-backdoor-maosboot-trojan-mebroot-t10139.html
C'est un virus très caché qui cherche à voler les informations
intéressantes du PC.
Pour vérifier sa présence et le supprimer, si présent, refais ZHPDiag
Une fois le diagnostic terminé, clique sur l'icône ZHPFix (bouclier vert)
ZHPFix s'ouvre alors
MBRFix
Puis OK, "Tous" et "Nettoyer"
Envoie le rapport de ZHPFix sur Cijoint
2- Mises à jour
Tu es encore sous XPSP2, XPSP3 est plus sécurisé, est-ce volontaire ?
Tu es encore sous IE6, IE7 et IE8 sont plus sécurisés
Tu es encore sous Adobe 7 moins sécurisé.
Herser
Voici et désolé pour ma façon de répondre
http://cjoint.com/?fcxMWwyRan

Non SP2 ce n'est pas volontaire c'est un oubli je ne l'ai pas depuis
longtemps.

J'ai entendu dire que IE 7 ou 8 avait des failles c'est pour cela que
j'utilises firefox et que celui ci était mieux de toutes manières.

Que faut-il faire pour adobe, une miose à jour ou un autre logiciel dans le
même genre ?

serge
serge
2010-05-02 21:44:40 UTC
Permalink
Post by Herser
Post by serge
Voici le fichier, je n'y comprends rien
http://cjoint.com/?fcvdcUyLeU
merci pour le coup de main
serge
Bonsoir
Essaie de répondre en dessosu das l'ordre habituel de lecture
Merci
Le rapport signale un possible rootkit.
http://forum.malekal.com/rootkit-mbr-psw-sinowal-backdoor-maosboot-trojan-mebroot-t10139.html
C'est un virus très caché qui cherche à voler les informations
intéressantes du PC.
Pour vérifier sa présence et le supprimer, si présent, refais ZHPDiag
Une fois le diagnostic terminé, clique sur l'icône ZHPFix (bouclier vert)
ZHPFix s'ouvre alors
MBRFix
Puis OK, "Tous" et "Nettoyer"
Envoie le rapport de ZHPFix sur Cijoint
2- Mises à jour
Tu es encore sous XPSP2, XPSP3 est plus sécurisé, est-ce volontaire ?
Tu es encore sous IE6, IE7 et IE8 sont plus sécurisés
Tu es encore sous Adobe 7 moins sécurisé.
Herser
Voici et désolé pour ma façon de répondre
http://cjoint.com/?fcxMWwyRan

Non SP2 ce n'est pas volontaire c'est un oubli je ne l'ai pas depuis
longtemps.

J'ai entendu dire que IE 7 ou 8 avait des failles c'est pour cela que
j'utilises firefox et que celui ci était mieux de toutes manières.

Que faut-il faire pour adobe, une miose à jour ou un autre logiciel dans le
même genre ?

serge
Herser
2010-05-02 23:05:26 UTC
Permalink
Post by serge
Post by Herser
Herser
Voici et désolé pour ma façon de répondre
http://cjoint.com/?fcxMWwyRan
Il y avait bien un rootkit
ZHPFix semble avoir corrigé
Refais ZHPDiag pour confirmation
Post by serge
Non SP2 ce n'est pas volontaire c'est un oubli je ne l'ai pas depuis
longtemps.
Télécharge le SP3 et installe le manuellement :
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4
Post by serge
J'ai entendu dire que IE 7 ou 8 avait des failles c'est pour cela que
j'utilises firefox et que celui ci était mieux de toutes manières.
OK pour Firefox
Ce qui n'empêche pas de mettre à jour IE7 ou IE8
Post by serge
Que faut-il faire pour adobe, une miose à jour ou un autre logiciel
dans le même genre ?
Si ce n'est que pour lire les pdf, désinstalle Adobe Reader
Et installe Foxit Reader :
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid=49&lid=88
(attention aux barres additionnelles)
Ou encore PDF XChange Viewer :
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid=49&lid=1577Herser
serge
2010-05-03 06:07:51 UTC
Permalink
je te remercie pour tous tes conseils, voici le dernier fichier
http://cjoint.com/?fdh7FwhDK0
serge
Post by Herser
Post by serge
Post by Herser
Herser
Voici et désolé pour ma façon de répondre
http://cjoint.com/?fcxMWwyRan
Il y avait bien un rootkit
ZHPFix semble avoir corrigé
Refais ZHPDiag pour confirmation
Post by serge
Non SP2 ce n'est pas volontaire c'est un oubli je ne l'ai pas depuis
longtemps.
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4
Post by serge
J'ai entendu dire que IE 7 ou 8 avait des failles c'est pour cela que
j'utilises firefox et que celui ci était mieux de toutes manières.
OK pour Firefox
Ce qui n'empêche pas de mettre à jour IE7 ou IE8
Post by serge
Que faut-il faire pour adobe, une miose à jour ou un autre logiciel
dans le même genre ?
Si ce n'est que pour lire les pdf, désinstalle Adobe Reader
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid=49&lid=88
(attention aux barres additionnelles)
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid=49&lid=1577Herser
serge
2010-05-03 19:49:47 UTC
Permalink
ou lis tu que le virus est éradiqué ?
serge
Post by Herser
Post by serge
Post by Herser
Herser
Voici et désolé pour ma façon de répondre
http://cjoint.com/?fcxMWwyRan
Il y avait bien un rootkit
ZHPFix semble avoir corrigé
Refais ZHPDiag pour confirmation
Post by serge
Non SP2 ce n'est pas volontaire c'est un oubli je ne l'ai pas depuis
longtemps.
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4
Post by serge
J'ai entendu dire que IE 7 ou 8 avait des failles c'est pour cela que
j'utilises firefox et que celui ci était mieux de toutes manières.
OK pour Firefox
Ce qui n'empêche pas de mettre à jour IE7 ou IE8
Post by serge
Que faut-il faire pour adobe, une miose à jour ou un autre logiciel
dans le même genre ?
Si ce n'est que pour lire les pdf, désinstalle Adobe Reader
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid=49&lid=88
(attention aux barres additionnelles)
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid=49&lid=1577Herser
Herser
2010-05-03 20:46:28 UTC
Permalink
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
Et le rapport ZHPFix aussi même s'il dit :
Resultat après le fix :
user & kernel MBR OK

Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.

Ton PC a t'il des comportements bizarres ?

Herser
serge
2010-05-04 05:13:37 UTC
Permalink
Oui effectivement, il arrive que les applications soient longues à s'ouvrir.
Il arrive aussi que tout se bloque pendant 1 à 2 mn au point même que je
sois obligé de rebooter
serge
Post by Herser
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
user & kernel MBR OK
Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.
Ton PC a t'il des comportements bizarres ?
Herser
serge
2010-05-04 05:37:23 UTC
Permalink
les courriers des news ne partent pas immédiatement aussi je suis sous OE.
Pour acrobat, il m'arrive de vouloir insérer des pages ou même d'en
supprimer, quelle logiciel sans danger pourrait me faire cela ?
serge
Post by Herser
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
user & kernel MBR OK
Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.
Ton PC a t'il des comportements bizarres ?
Herser
Herser
2010-05-04 10:33:43 UTC
Permalink
Post by Herser
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
user & kernel MBR OK
Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.
Ton PC a t'il des comportements bizarres ?
Herser
Re !

Renseignement pris, ce serait plutôt pour un faux positif du à Alcohol.
Vérifie d'abord si Alcohol marche toujours, au cas où ZHPFix l'aurait
modifié.
Si tu n'en as pas l'utilité fréquente, essaie de le désinstaller
complétement.
Bien penser à démonter les images CD qui seraient sur le lecteur virtuel.
Et stopper le/les lecteurs, avant désinstallation.

La désinstallation de Alcohol est parfois difficile :
http://forum.zebulon.fr/lecteur-virtuel-impossible-a-supprimer-t93600.html

Puis refaire un ZHPDiag
Merci

Herser
serge
2010-05-04 18:09:40 UTC
Permalink
Post by Herser
Post by Herser
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
user & kernel MBR OK
Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.
Ton PC a t'il des comportements bizarres ?
Herser
Re !
Renseignement pris, ce serait plutôt pour un faux positif du à Alcohol.
Vérifie d'abord si Alcohol marche toujours, au cas où ZHPFix l'aurait
modifié.
Si tu n'en as pas l'utilité fréquente, essaie de le désinstaller
complétement.
Bien penser à démonter les images CD qui seraient sur le lecteur virtuel.
Et stopper le/les lecteurs, avant désinstallation.
http://forum.zebulon.fr/lecteur-virtuel-impossible-a-supprimer-t93600.html
Puis refaire un ZHPDiag
Merci
Herser
Oui il fonctionnait toujours, j'ai supprimé le lecteur virtuel et je l'ai
désinstallé, puis nettoyé la base de registre avec ccleaner.
Voici le dernier rapport.
http://cjoint.com/?feuiidSPtG
serge
Herser
2010-05-04 19:00:29 UTC
Permalink
Post by serge
Post by Herser
Post by Herser
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
user & kernel MBR OK
Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.
Ton PC a t'il des comportements bizarres ?
Herser
Re !
Renseignement pris, ce serait plutôt pour un faux positif du à
Alcohol. Vérifie d'abord si Alcohol marche toujours, au cas où
ZHPFix l'aurait modifié.
Si tu n'en as pas l'utilité fréquente, essaie de le désinstaller
complétement.
Bien penser à démonter les images CD qui seraient sur le lecteur
virtuel. Et stopper le/les lecteurs, avant désinstallation.
http://forum.zebulon.fr/lecteur-virtuel-impossible-a-supprimer-t93600.html
Puis refaire un ZHPDiag
Merci
Herser
Oui il fonctionnait toujours, j'ai supprimé le lecteur virtuel et je
l'ai désinstallé, puis nettoyé la base de registre avec ccleaner.
Voici le dernier rapport.
http://cjoint.com/?feuiidSPtG
serge
Ce qui ne change rien, malheureusement pour la possible détection MBR
Rootkit
Merci d'avoir fait l'essai
Quand tu auras besoin d'un lecteur virtuel, tu peux réinstaller.
Daemon Tools le fait aussi ainsi que Nero (ImageDrive)
Je relance l'équipe ZHP

Herser
serge
2010-05-04 20:36:50 UTC
Permalink
Post by Herser
Post by serge
Post by Herser
Post by Herser
Post by serge
ou lis tu que le virus est éradiqué ?
serge
Le dernier diagnostic laisse toujours planer le doute
user & kernel MBR OK
Je me renseigne auprès de l'auteur des ZHP Nicolas Coolman
Et reviens dire dès que possible.
Ton PC a t'il des comportements bizarres ?
Herser
Re !
Renseignement pris, ce serait plutôt pour un faux positif du à
Alcohol. Vérifie d'abord si Alcohol marche toujours, au cas où
ZHPFix l'aurait modifié.
Si tu n'en as pas l'utilité fréquente, essaie de le désinstaller
complétement.
Bien penser à démonter les images CD qui seraient sur le lecteur
virtuel. Et stopper le/les lecteurs, avant désinstallation.
http://forum.zebulon.fr/lecteur-virtuel-impossible-a-supprimer-t93600.html
Puis refaire un ZHPDiag
Merci
Herser
Oui il fonctionnait toujours, j'ai supprimé le lecteur virtuel et je
l'ai désinstallé, puis nettoyé la base de registre avec ccleaner.
Voici le dernier rapport.
http://cjoint.com/?feuiidSPtG
serge
Ce qui ne change rien, malheureusement pour la possible détection MBR
Rootkit
Merci d'avoir fait l'essai
Quand tu auras besoin d'un lecteur virtuel, tu peux réinstaller.
Daemon Tools le fait aussi ainsi que Nero (ImageDrive)
Je relance l'équipe ZHP
Herser
c'est moi qui te remercie
serge
Herser
2010-05-05 20:37:51 UTC
Permalink
Post by serge
Post by Herser
Ce qui ne change rien, malheureusement pour la possible détection MBR
Rootkit
Merci d'avoir fait l'essai
Quand tu auras besoin d'un lecteur virtuel, tu peux réinstaller.
Daemon Tools le fait aussi ainsi que Nero (ImageDrive)
Je relance l'équipe ZHP
Herser
c'est moi qui te remercie
serge
Bon, c'est bien Alcohol qui modifie le MBR.
Cette modification n'est pas changée à la désinstallation, c'est pourquoi
ZHPDiag voit toujours quelque chose.
D'ailleurs il reste encore des pilotes Alcohol sur le dernier ZHPDiag ::
C:\WINDOWS\system32\drivers\Vax347b.sys
C:\WINDOWS\system32\drivers\Vax347s.sys

Daemon Tools fait pareil, quelqu'un d'autre se débat avec le même problème.

Donc pas de souci de ce côté là.

Herser
serge
2010-05-05 21:20:27 UTC
Permalink
Post by Herser
Post by serge
Post by Herser
Ce qui ne change rien, malheureusement pour la possible détection MBR
Rootkit
Merci d'avoir fait l'essai
Quand tu auras besoin d'un lecteur virtuel, tu peux réinstaller.
Daemon Tools le fait aussi ainsi que Nero (ImageDrive)
Je relance l'équipe ZHP
Herser
c'est moi qui te remercie
serge
Bon, c'est bien Alcohol qui modifie le MBR.
Cette modification n'est pas changée à la désinstallation, c'est pourquoi
ZHPDiag voit toujours quelque chose.
C:\WINDOWS\system32\drivers\Vax347b.sys
C:\WINDOWS\system32\drivers\Vax347s.sys
Daemon Tools fait pareil, quelqu'un d'autre se débat avec le même problème.
Donc pas de souci de ce côté là.
Herser
comment vois tu cela et que dois faire maintenant, sachant que ça marche
mieux qu'avant ?
serge
Herser
2010-05-05 22:12:51 UTC
Permalink
Post by serge
comment vois tu cela et que dois faire maintenant, sachant que ça
marche mieux qu'avant ?
serge
Bonsoir

En fait la ligne importante était :
user & kernel MBR OK

Ce diagnostic MBR de ZHPDiag est récent.
Et nous sommes plusieurs "helpers" a avoir constaté ce possible MBR Rootkit
Et il y a alors toujours Alcohol ou Daemon Tools sur les PC.
Même après leur désinstallation, ce "possible rootkit" reste.

D'où la conclusion.

Que faire ?

Rien concernant la désinfection, c'est propre.

Je vois que tu es passé à XP SP3 et à IE8
Et que tu as remplacé Adobe par Foxit et PDF Viewer
Donc tout est à jour.

Attention au peer to peer avec Bit Tornado
Le P2P est un des principaux vecteurs de virus.

Bonne soirée / nuit
serge
2010-05-06 05:42:05 UTC
Permalink
Post by Herser
Post by serge
comment vois tu cela et que dois faire maintenant, sachant que ça
marche mieux qu'avant ?
serge
Bonsoir
user & kernel MBR OK
Ce diagnostic MBR de ZHPDiag est récent.
Et nous sommes plusieurs "helpers" a avoir constaté ce possible MBR Rootkit
Et il y a alors toujours Alcohol ou Daemon Tools sur les PC.
Même après leur désinstallation, ce "possible rootkit" reste.
D'où la conclusion.
Que faire ?
Rien concernant la désinfection, c'est propre.
Je vois que tu es passé à XP SP3 et à IE8
Et que tu as remplacé Adobe par Foxit et PDF Viewer
Donc tout est à jour.
Attention au peer to peer avec Bit Tornado
Le P2P est un des principaux vecteurs de virus.
Bonne soirée / nuit
Dois supprimer les fichier de Alcohol qui reste dans le system32 ?
Je vai supprimer bittornado et émule
je pense changer mon antivirus et parefeu par Kaspersky internet security
2010, qu'en penses tu ?
serge
Herser
2010-05-06 10:38:54 UTC
Permalink
Re !
Post by serge
Dois supprimer les fichier de Alcohol qui reste dans le system32 ?
Pas sûr qu'ils acceptent d'être supprimés mais essaie.
Tu n'as plus Alcohol, ils ne servent plus à rien
Post by serge
Je vai supprimer bittornado et émule
Beaucoup de "fakes" sur le P2P.
Tu crois charger un crack et c'est un virus
Ou un divx qui demande ensuite un codec, bingo virus
etc........
Donc il faut être très prudent.
Post by serge
je pense changer mon antivirus et parefeu par Kaspersky internet
security 2010, qu'en penses tu ?
Autant d'utilisateurs autant d'avis sur les antivirus.
AMHA KIS est un bon antivirus
Avast 5 aussi quand on ne prend pas des risques inconsidérés
Le meilleur gratuit : Antivir d'Avira


Mais avant de choisir son antivirus, veiller à appliquer les règles de
précaution :
- surfer sur une session standard, jamais en administrateur.
- activer son pare-feu
- combler les failles de sécurité de Windows et de tous ses logiciels :
http://forum.pcastuces.com/tutoriel_secunia_psi-f25s53229.htm
Les failles les + utilisées actuellement sont celles de Flash, Adobe et Java
- vacciner les supports USB :
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
- ne pas paniquer si messages alarmistes de type "vous êtes infecté"
Il s'agit le + souvent de "rogues" cherchant à inoculer leurs virus.
- réfléchir avant de cliquer

Herser
serge
2010-05-06 17:05:40 UTC
Permalink
Post by Herser
Re !
Post by serge
Dois supprimer les fichier de Alcohol qui reste dans le system32 ?
Pas sûr qu'ils acceptent d'être supprimés mais essaie.
Tu n'as plus Alcohol, ils ne servent plus à rien
Post by serge
Je vai supprimer bittornado et émule
Beaucoup de "fakes" sur le P2P.
Tu crois charger un crack et c'est un virus
Ou un divx qui demande ensuite un codec, bingo virus
etc........
Donc il faut être très prudent.
Post by serge
je pense changer mon antivirus et parefeu par Kaspersky internet
security 2010, qu'en penses tu ?
Autant d'utilisateurs autant d'avis sur les antivirus.
AMHA KIS est un bon antivirus
Avast 5 aussi quand on ne prend pas des risques inconsidérés
Le meilleur gratuit : Antivir d'Avira
Mais avant de choisir son antivirus, veiller à appliquer les règles de
- surfer sur une session standard, jamais en administrateur.
- activer son pare-feu
http://forum.pcastuces.com/tutoriel_secunia_psi-f25s53229.htm
Les failles les + utilisées actuellement sont celles de Flash, Adobe et Java
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
- ne pas paniquer si messages alarmistes de type "vous êtes infecté"
Il s'agit le + souvent de "rogues" cherchant à inoculer leurs virus.
- réfléchir avant de cliquer
Herser
merci pour ton aide et tes conseils.
serge
serge
2010-05-06 17:40:56 UTC
Permalink
Post by Herser
Re !
Post by serge
Dois supprimer les fichier de Alcohol qui reste dans le system32 ?
Pas sûr qu'ils acceptent d'être supprimés mais essaie.
Tu n'as plus Alcohol, ils ne servent plus à rien
Post by serge
Je vai supprimer bittornado et émule
Beaucoup de "fakes" sur le P2P.
Tu crois charger un crack et c'est un virus
Ou un divx qui demande ensuite un codec, bingo virus
etc........
Donc il faut être très prudent.
Post by serge
je pense changer mon antivirus et parefeu par Kaspersky internet
security 2010, qu'en penses tu ?
Autant d'utilisateurs autant d'avis sur les antivirus.
AMHA KIS est un bon antivirus
Avast 5 aussi quand on ne prend pas des risques inconsidérés
Le meilleur gratuit : Antivir d'Avira
Mais avant de choisir son antivirus, veiller à appliquer les règles de
- surfer sur une session standard, jamais en administrateur.
- activer son pare-feu
http://forum.pcastuces.com/tutoriel_secunia_psi-f25s53229.htm
Les failles les + utilisées actuellement sont celles de Flash, Adobe et Java
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
- ne pas paniquer si messages alarmistes de type "vous êtes infecté"
Il s'agit le + souvent de "rogues" cherchant à inoculer leurs virus.
- réfléchir avant de cliquer
Herser
Et comme pare-feu que conseilles tu ?
serge
Herser
2010-05-06 18:24:45 UTC
Permalink
Post by serge
Et comme pare-feu que conseilles tu ?
C'est un peu moins important aujourd'hui avec les box
Les box ont un parefeu qui filtrent ce qui rentre.
C'est bien de doubler avec un parefeu logiciel sur le système
d'exploitation.
Dans la plupart des cas celui de XP suffit.
Bien qu'il ne filtre lui aussi que ce qui rentre.

Si on veut vraiment filtrer ce qui entre et ce qui sort, il faut alors un
parefeu tiers.
J'utilise comme toi Kerio 4 (cf log ZHPDiag) qui est correct.
Le problème est qu'il faut savoir refuser ce qui ne devrait pas entrer ou
sortir.
Il faut donc savoir interprêter les messages et/ou faire une recherche.

Enfin les virus aujourd'hui savent désactiver les antivirus ainsi que les
parefeu

On en revient aux précautions d'usage.
Parefeu et antivirus sont les derniers remparts.
Il ne faut surtout pas croire qu'on ne craint rien.

Luc
2010-05-01 16:07:21 UTC
Permalink
serge a écrit...
Post by serge
Bonjour,
Bonjour,
Post by serge
Depuis pas mal de temps, je reçois des mails de "moi-même" et oui
c'est bizarre.
C'est assez classique, les spammeurs ne postent pas avec leur propre adresse
et parfois mettent l'adresse d'un des nombres destinataires dans le 'From'.

[...]
Post by serge
Que puis je faire ?
Il n'y a rien à faire.
Comme pour le courrier postal, n'importe qui peut mettre n'importe quelle
adresse au dos de l'enveloppe. Les spammeurs sont des plaies insaisissables
agissant à partir de régions du monde sans foi ni loi, c'est peine perdue de
chercher à faire quoi que ce soit.
Post by serge
merci
Padkoi
Post by serge
serge
--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/
woofy
2010-05-02 12:30:32 UTC
Permalink
Bonjour Serge et al,
le changement périodique de l'adresse de courrier électronique (je l'ai fait
à plusieurs reprises dans le passé) est en général la solution; je sais, si
tu as beaucoup de contacts, c'est un peu agaçant puisqu'il faut aviser tout
le monde.
NB j'utilise aussi MBAM à l'occasion.
Salutations,
woofy
Luc
2010-05-02 14:47:00 UTC
Permalink
woofy a écrit...
Post by woofy
Bonjour Serge et al,
Bonjour aussi,
Post by woofy
le changement périodique de l'adresse de courrier électronique (je
l'ai fait à plusieurs reprises dans le passé) est en général la
solution;
Ce n'est pas une solution au problème, même pas un évitement, et, dans la
pratique, totalement imbuvable.
--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/
woofy
2010-05-02 15:38:53 UTC
Permalink
Bonjour Luc,
"imbuvable": merci de m'expliquer, ça m'intéresse :-)
Salutations,
woofy
Luc
2010-05-02 15:49:43 UTC
Permalink
woofy a écrit...
Post by woofy
Bonjour Luc,
"imbuvable": merci de m'expliquer, ça m'intéresse :-)
Je n'ai pas vocation à me substituer au dictionnaire. Si tu souhaites une
précision, cite le contexte.
Post by woofy
Salutations,
woofy
--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/
Continuer la lecture sur narkive:
Loading...