Virus qui sirote dans mon ordi ?

Démarré par Couet, 23 Avril 2011 à 09:28

0 Membres et 1 Invité sur ce sujet

J'ai un souci avec mon ordi.
Hier je navigue sur google images et en cliquant sur un site la fenêtre d'exploration se met toute petite et des alertes de windows anti virus ne cessent de revenir depuis.
Or ni avast ni ad aware ne trouvent de fichier infecté.
Mais je ne peux quand même pas lancer IE ou FF car windows anti virus bloque l'application.
Depuis ce matin avast me propose de lancer les applications sur une interface sécurisée.

J'ai pas vraiment envie de formater à cause d'office.


Quel OS précisément?
Tu peux nous faire control-alt-suppr et nous montrer la liste des processus tournants sur ta machine?

Quand tu nous dit "windows anti virus", c'est le système d'exploitation lui même qui bloque ou un truc style Microsoft Security Essentials? On peut avoir un screenshot de ce qu'il met précisément?


CitationDepuis ce matin avast me propose de lancer les applications sur une interface sécurisée.
Je ne connais pas Avast, mais si tu lui dis oui à cette "interface sécurisée", ça marche?

Je ne peux pas faire de screen shot je suis sur mon tel puisque les explorateurs sont bloqués.
Je parle de windows xp anti virus, MSE ne détectait rien hier et ce matin est bloqué par avast.


Ok, généralement c'est pas la meilleure idée d'avoir plusieurs anti virus en parallèle, ils ont tendance à se taper dans les genoux.


Sinon les bidouilles habituelles XP:

Essayes si tu peux de créer un nouveau compte utilisateur et de te connecter sous celui là, voir si ça avance le schmilblick (ne serait ce que pour voir si tu peux lancer Firefox ou quoi sous ce compte).

Mode sans échec

Rétablissement à un point de restoration

Anti virus xp n'est pas mon anti virus justement il me lance plein de scan et me propose de résoudre le problème en passant par la case achat.
Mes seules applications utilisées sont ad aware avast et MSE.
Posté le: 23 Avril 2011 à 09:55
Je suis sur une nouvelle session et sous FF, donc pas de blocage des explorateurs.
Par contre, avast m'a quand même proposé de démarrer winamp sous "Sandbox" comme il me le fait sur ma session principale.


23 Avril 2011 à 10:17 #5 Dernière édition: 23 Avril 2011 à 10:19 par lelinuxien
Pour ce qui est d'Avast, je recommanderais de le désinstaller car tu as déjà MSE qui est un bon AV gratuit et léger.

Pour ce qui est de Windows Antivirus, il s'agit à coup sûr d'un faux antivirus et donc d'un virus.
Pour le désinfecter, je suggère de démarrer l'ordinateur en mode sans échec avec prise en charge réseau, télécharger le logiciel gratuit Malwarebytes et effectuer via ce logiciel (après qu'il ait été installé et mis à jour) une analyse rapide de ton PC. A la fin du scan, il t'invitera à nettoyer les éléments infectés et à redémarrer l'ordinateur. Tu pourras alors redémarrer en mode normal et le malware devrait alors avoir été nettoyé.

Cette solution marche dans la plupart des cas et permet d'éviter le formatage. Dans les cas plus difficiles, il faut tout faire sans lancer l'Explorer (via l'Invite de commandes en mode sans échec).

Ok, par contre, je ne sais pas redémarrer en mode sans échec, je ne me souviens plus de la touche sur laquelle appuyer au moment du démarrage pour avoir le choix.


Il faut taper plusieurs fois sur F8, avant l'apparition du logo Windows. ;)

N'oublie pas la prise en charge réseau sinon tu ne pourras pas télécharger Malwarebytes en mode sans échec.

Aaah c'est ça !
Merci je vais essayer :)


Bon, pas réussi à démarrer en mode sans échec, la touche F8 m'amène au menu "BOOT" qui me propose une liste de 3 trucs (je suppose des disques, puisqu'il me semble avoir vu mon lecteur CD dans la liste)

Je me suis connectée sur ma nouvelle session pour télécharger malwarebytes, qui m'a trouvé 6 fichiers infectés, j'ai désinstallé avast, qui du coup ne me bloque plus l'accès aux explorateurs.
Par contre, au redémarrage, je n'ai certes plus le harcèlement de "Antivirus XP 2011", mais avant d'afficher toutes mes icônes, l'ordinateur me demande avec quoi je veux exécuter (je ne sais plus quoi), il me dit que les mises à jours sont désactivées et il m'a demandé avec quoi exécuter firefox.exe.

Sinon pour l'instant, rien d'autre. Je relance un scan de malwarebytes.
Je peux désinstaller adaware ? Il doit faire doublon avec malwarebytes non ?


Adaware ne présente aucun danger s'il est installé en plus de Malwarebytes. Mais il est beaucoup moins efficace que ce dernier.
Pour ce qui est du démarrage en mode sans échec, F8 fait en sorte que ton BIOS demande sur quel lecteur démarrer. Là, tu choisis de démarrer sur le disque dur et juste après, tu peux retaper sur F8 jusqu'à ce que Windows affiche le menu de démarrage.

Pour ce qui est de Firefox.exe, réagit-il comme ça avec tous les exécutables? Sinon, as-tu tenté de lancer Firefox depuis son dossier d'installation (situé dans Program Files) et non depuis un raccourci?

Sinon, un utilitaire anti-rootkit également très efficace: http://support.kaspersky.com/downloads/utils/tdsskiller.zip

Il fait ça pour tout oui.
J'ai pensé moi aussi aux raccourcis qui devaient avoir un chemin d'accès à redéfinir, mais j'ai essayé en cliquant sur le .exe directement, ça le fait aussi.

Pour le mode sans échec, c'est ce que j'ai fait, mais ça n'a pas marché.


23 Avril 2011 à 13:06 #12 Dernière édition: 23 Avril 2011 à 13:09 par lelinuxien
Je viens de trouver de quoi redéfinir les fichiers exécutables: http://www.commentcamarche.net/forum/affich-2209431-fichier-exe-demande-ouvrir-avec
Soit, suivre la procédure manuelle, en allant dans les Options des dossiers, Types de fichiers, etc de l'Explorateur. Soit, tenter avec le fichier registre: http://www.winhelponline.com/fileasso/exefix_vista.zip (devrait également fonctionner sous Windows XP).

Pour le démarrage en mode sans échec, il faut tapoter très vite plusieurs fois sur la touche F8 avant l'apparition du logo.


J'espère en tout cas que ça ne concerne que les .exe. S'il s'agit des raccourcis, .pif et .lnk c'est réparable aussi mais il faudra modifier d'autres entrées du registre.

Sinon, si les solutions ci-dessus ne marche pas, fais un clic droit sur les exécutables et vérifie qu'il y ait bien la fonction Ouvrir (en plus de la fonction Ouvrir avec qui est peut-être activée par défaut).

La solution proposée concerne vista :/
Je suis sous xp

Du coup j'ai essayé la méthode manuelle à savoir :
1- Aller dans : Options des dossiers/Types de fichiers
2- Cliquer sur "Nouveau"
3- Ajouter EXE dans "Extension du fichier" puis Choisir "Application" pour le champ "Type de fichier associé" (cliquer sur Avancé pour le faire apparaître le cas échánt)
4- Cliquer "OK"
5- Cliquer sur "Restaurer" (%1 doit apparaître en face de "S'ouvre avec : ")
6- Cliquer sur "Fermer"

Mais je n'ai pas accès à "Restaurer".

J'ai vérifié et j'ai accès à "Ouvrir", oui.


Bon !
J'ai refait un scan de Malwarebytes (je ne l'avais fait que sous ma session nouvellement créée sous le conseil de Nox), il m'a trouvé encore 3 fichiers infectés, trojan etc.
J'ai redémarré l'ordi suite au scan, tout est rétabli au niveau des applications et raccourcis, tout se met en route au démarrage.

Il ne reste que ce message me disant que les mises à jours sont désactivées + bouclier rouge avec croix dans la barre des tâches, mais en allant dans le panneau de configuration pour les réactiver, elles sont bien activées.
Comprends pas.

Sinon tout le reste est a priori ok :)


Il existe aussi des faux centres de sécurité. Assure-toi le bouclier rouge et le message proviennent bel et bien de celui de Windows et non d'un faux centre de sécurité (quand il s'agit d'un faux centre de sécurité, le bouclier rouge n'est pas tout à fait pareil et il y a de fortes chances que les messages affichés soient en anglais).
Sinon, utilises-tu bien MSE 2.0 (si c'est encore la 1.0, un message t'invite à mettre à niveau MSE)? Vérifie aussi qu'il se mette à jour.
Le bouclier rouge n'apparaît plus si les mises à jour Windows Update sont activées, que le pare-feu est activé et que l'antivirus est fonctionnel et à jour.
Enfin, va dans Démarrer => Exécuter => MSCONFIG
Dans Démarrage, il faut juste vérifier qu'il n'y ait pas de choses louches cochées pour être lancées au démarrage de Windows.

Je suis bien à la 2.0 mais il ne veut pas se mettre à jour à cause d'un problème lié à la connectivité du réseau ou d'internet.


Certains programmes dépendent du paramétrage d'Internet Explorer pour fonctionner correctement: Windows Live Messenger et Outlook Express par exemple (et probablement d'autres logiciels Microsoft tel que Microsoft Security Essentials).
Dans ce cas, il suffit d'aller dans le Panneau de configuration, Options Internet puis dans l'onglet Connexions. Sauf si tu utilises un ancien modem USB, normalement "Ne jamais établir de connexion" doit être coché. Il faut également aller dans Paramètres réseau et aucune des cases ne doit être cochée (je pense surtout à la case "Utiliser un serveur proxy").

Enfin, le fichier hosts (qui peut être ouvert avec Bloc-notes) situé dans C:\Windows\System32\drivers\etc ne doit rien comporter de particulier (mis à part 127.0.0.1 pour localhost).

Tout est bon de ce côté là :
"Ne jamais établir de connexion"
Aucune case cochée dans paramètres réseau
hosts ne comporte que 127.0.0.1 localhost et deux lignes pour un mmorpg.


Il faudrait alors voir dans MSE lui-même s'il n'y a pas un paramètre à ajuster. Sinon, le désinstaller et le réinstaller.

J'ai réinstallé MSE et comme j'avais toujours ce message d'erreur, je suis allée voir sur le site de MSE s'il y avait quelque chose à ce sujet.
Ils conseillent d'exécuter la commande services.msc, puis de redémarrer "mises à jour automatiques", mais je ne l'ai pas. :/


Y'a pas un truc similaire à "mise à jour automatiques" dans la liste des services ? Genre Windows update ou un synonyme mais en anglais ?

    







Non, j'y ai pensé en effet mais il n'y a pas.
Posté le: 24 Avril 2011 à 18:45
En fouillant le net, j'ai trouvé que ça pouvait s'appeler "Centre de sécurité", ce que j'ai, c'était démarré, j'ai fait redémarrer mais j'ai toujours ce message d'alerte dans la barre des tâches.


J'ai pas tout à fait suivi l'ensemble du topic, mais ton problème actuel ça concerne les mises à jour cochées comme étant activées et  automatiques, mais Windows te signale le contraire c'est bien ça ?

On peux lancer Windows update sous XP, ou c'est qu'à partir de Vista que ça se trouve en programme "ouvrable" ? Si tu le peux, lance une recherche de nouvelles màj/installe-les, ça aidera p'tet ?
Ah, aussi, tu as essayé de désactiver les mises à jour (dans le panneau de configuration comme tu le disais plus haut), rebooter, et les réactiver ?

    







Citation de: Daru13 le 24 Avril 2011 à 23:18
J'ai pas tout à fait suivi l'ensemble du topic, mais ton problème actuel ça concerne les mises à jour cochées comme étant activées et  automatiques, mais Windows te signale le contraire c'est bien ça ?
Yep

CitationOn peux lancer Windows update sous XP, ou c'est qu'à partir de Vista que ça se trouve en programme "ouvrable" ? Si tu le peux, lance une recherche de nouvelles màj/installe-les, ça aidera p'tet ?
Je suis sous XP et j'ai demandé une màj de MSE qui est bloquée, cf plus haut.
CitationAh, aussi, tu as essayé de désactiver les mises à jour (dans le panneau de configuration comme tu le disais plus haut), rebooter, et les réactiver ?
Non j'ai essayé de désactiver puis réactiver, mais pas de reboot entre les deux.
Posté le: 24 Avril 2011 à 23:25
Citation de: Daru13 le 24 Avril 2011 à 23:18
Ah, aussi, tu as essayé de désactiver les mises à jour (dans le panneau de configuration comme tu le disais plus haut), rebooter, et les réactiver ?
Fait à l'instant et ça ne change rien.

Ce message l'agace, je n'ose pas me connecter à mon site de banque à cause de ça...


Je relance, j'ai cherché chaque processus dans mon gestionnaire de tâches, voilà ce qui en ressort :
- atchksrv.exe et cette page : http://www.processlibrary.com/fr/directory...tchksrv/401204/
- lms.exe (même style de page)
- msmpeng qui apparemment est un processus de Windows Defender Antispyware, que je n'ai ni activé ni installé (on tient le fautif ? 71 000 ko)
- spoolsv.exe, je suis tombée sur ça http://www.commentcamarche.net/forum/affic...rus-spoolsv-exe, mais aussi sur un autre site qui précise que ce n'est ni un ver, ni un trojan etc.
- uns.exe (comme le 1er lien)
- wmiprvse.exe http://www.commentcamarche.net/contents/pr...iprvse-exe.php3

Doutes avec msmpeng.exe, spoolsv.exe et wmiprvse.exe


Couet, essaye la démarche sur cette page- ça pourrait être ce que tu cherches:

http://helpdeskgeek.com/windows-vista-tips/what-is-msmpeng-exe/

Je ne peux pas le lancer puisque je ne l'ai pas :/
J'ai lancé une recherche et je ne le trouve pas.
Posté le: 29 Avril 2011 à 20:23
Problème résolu : c'était tout simplement Zone Alarm qui bloquait les màj.

Merci à Nux pour m'avoir beaucoup aidée avec le virus ! :)


05 Mai 2012 à 20:43 #28 Dernière édition: 05 Mai 2012 à 20:59 par Couet
Je remonte ce topic : depuis plusieurs semaines, j'ai un message d'erreur à 3 reprises au démarrage de mon ordinateur portable.
J'ai tout simplement une petite fenêtre pop-up intitulée "Error" et disant "Accès refusé", je dois cliquer 3 fois pour l'enlever.

Jusqu'à présent, l'ordinateur marchant sans problèmes, je n'en ai pas tenu compte. Mais en voulant installer un pilote, je ne peux pas enregistrer de fichier car je ne suis pas autorisée à "changer le contenu du répertoire".

J'avais créé un mot de passe pour accéder à ma session (qui est la seule existante), je l'ai supprimé, pensant que ça venait de là : ça n'a rien changé.
J'ai pensé à un virus, mais le scan de Malwarebytes ne donne rien.

Des idées ?

EDIT :
Ah et tant que j'y suis, si mon problème de portable dure, un lien pour télécharger le pilote du Canoscan n670u sur windows 7 ?


Citation de: Couet le 05 Mai 2012 à 20:43
EDIT :
Ah et tant que j'y suis, si mon problème de portable dure, un lien pour télécharger le pilote du Canoscan n670u sur windows 7 ?

Pleurons ensemble, ca "n'existe pas", il n'y a pas de version qui fonctionne, crois moi, j'ai cherché partout, mais finalement j'ai installé Ubuntu en dual mode pour utiliser mon scanneur. :ninja:
Comme tu vois, même le site officiel de Canon n'en propose pas/plus.
http://fr.software.canon-europe.com/products/0000475.asp (Il faut lancer la recherche)

Oui j'avais cherché aussi un peu partout. Mais je me suis dit que nos informaticiens avaient peut-être un lien magique.
J'ai retrouvé le CD d'installation. À priori l'installation a marché. Je n'ai pas encore essayé de scanner.
Cela dit il me reste toujours ce problème de répertoire.


J'ai pas tout lu car le flemme désolé mais une idée pour ton probleme.

Fais Démarrer > Exécuter et tape msconfig. Va dans l'onglet démarrage et regarde tu as la liste des programmes qui s'exécute au démarrage de ton ordi. Y a peut être un truc à ce niveau là...

Je viens d'aller voir et mis à part mon logiciel de gestion bluetooth, il n'y a que des fichiers issus du dossier windows.
Je ne peux pas aller plus loin dans l'analyse, je ne m'y connais pas assez pour ça.


Pas d'autres solutions ou idées ?


Passe également un coup de RogueKiller, que je trouve plus efficace que Malwarebytes . En plus c'est fait par un français donc c'est bien  :lol:

Et pour ton problème d'accès refusé, je te suggère de regarder dans les journaux d'évènements Windows, car  ça veut tout et rien dire.

Pour ouvrir l'Observateur d'événements, clique sur le bouton Démarrer, sur Panneau de configuration, sur Système et sécurité, sur Outils d'administration, puis double-clique sur Observateur d'événements.

T'as plus qu'à nous détailler les erreurs que tu as, voire même les avertissements.

C'était pas tout à fait là où tu me l'a dit mais voilà ce que je trouve comme erreur dans les évènements système :

Le système BDVEDISK n'a pas pu démarrer en raison de l'erreur :
Fichier spécifié introuvable

Sinon ce sont des messages d'information.

Je vais essayer Roguekiller, mais vu que je ne peux même pas mettre à jour FF, je doute que je puisse le télécharger.


Ce qui signifie que ton antivirus Bitdefender a un soucis. Je te conseille donc de le réinstaller.

J'ai Comodo et je ne peux rien installer.
Je n'ai jamais installé Bitdefender et je viens de vérifier, il n'est pas dans la liste des programmes non plus.

Citation de: Couet le 05 Mai 2012 à 20:43
Jusqu'à présent, l'ordinateur marchant sans problèmes, je n'en ai pas tenu compte. Mais en voulant installer un pilote, je ne peux pas enregistrer de fichier car je ne suis pas autorisée à "changer le contenu du répertoire".


03 Juin 2012 à 15:44 #38 Dernière édition: 03 Juin 2012 à 15:47 par Cyberclic
Dans ce cas, t'as dû être infecté par un virus, donc le processus s'appelait comme celui de Bitdefender afin de passer inaperçu, et que t'as nettoyé entre temps.

Du coup, il te reste plus qu'à supprimer l'occurrence dans les services, et les démarrages automatiques. Ccleaner est très bien pour supprimer les process lancés au démarrage (bouton outils et onglet Démarrage). Sinon il y a aussi msconfig.exe pour ça.

Après, le "virus" a surement foutu la merde en modifiant les permissions NTFS sur les fichiers et dossiers du disque ainsi que les droits sur certaines clés de base de registre. j'ai déjà vu ça chez un client.

Les GPO locales ont pu elles aussi être altéré afin de restreindre certaines actions sur le PC.

Un truc qui marche quelquefois s'il n'y a pas trop de dégât : Se créer un nouveau profil Windows.


D'accord, je regarderai tout ça. Je ne suis plus sur l'ordi en question. Merci :)


CitationJ'ai pas vraiment envie de formater à cause d'office.

Depuis le temps que ce truc t'enquiquine, je pense que ça serait allé plus vite de reformatter, même en réinstallant office.

Je n'ai pas retrouvé le post dans lequel je dis ça.
Dans ce topic, il y a deux choses différentes :)

EDIT : Ok le premier.
Donc, ce sont deux problèmes bien distincts, si tu lis bien :)


La meilleur chose à faire c'est de faire un backup de votre ordinateur.
Adobe Photoshop CS6 Classroom in a book, TERMINER.
Prochain: Le guide complet de Adobe Dreamweaver.

Le problème a sûrement été résolu depuis un moment jeune homme. :)
Le dernier message a 4 mois ...

Je le sais :P Mais c'était seulement un petit conseille! :)
Adobe Photoshop CS6 Classroom in a book, TERMINER.
Prochain: Le guide complet de Adobe Dreamweaver.

Ouais enfin... Merci la fausse solution.