bonjour

je suis victime d'une infection à la suite d'une agression multiple detectée
par avira antivir. mais dans les manipulation à chaque message d'alerte j'ai
du me planter..... :(

le premier symptome a été une hyperactivité du cpu à 100% avec
ralentissement ++, puis bug dans outlook 2007 pour finalement ne plus
pouvoir le demarrer. dans le repertoire d outlook le fichier de donné a
disparu (effacé lors du travail du cpu à 100% ?). Depuis le pc rame avec une
activité du cpu minime, avira antivir est affiché dans la barre de tache
comme fermé. j'ai lancé malwarebytes qui rame un max depuis 24 heures et qui
a trouvé un élément infecté.
en mode sans echec un écran bleu avec le message suivant:"
IRQL_NOT_LESS_OR_EQUAL " qui m 'empeche d aller plus loin........

malwarebytes est il efficace ? dois je le laisser continuer ?
dois passer à autre chose ?
merci de votre aide

Le 24/01/2010 10:08, pascal a écrit :
> bonjour
>
> je suis victime d'une infection à la suite d'une agression multiple detectée
> par avira antivir. mais dans les manipulation à chaque message d'alerte j'ai
> du me planter..... :(

> malwarebytes est il efficace ?

Il l'est mais dans des cas précis

> dois je le laisser continuer ?

Non

> dois passer à autre chose ?


A lire avant :

http://forum.malekal.com/avant-poste...us-t12023.html

Pour te faire désinfecter :

[url down]

Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904

y a t il un exe spécifique ?

"DePassage" <monadresseamoi> a écrit dans le message de news:
hjh567$32n$1...
[..]

Le 24/01/2010 11:08, pascal a écrit :
> Re
>
> je viens de voir que dans la quarantaine d avira antivir il s'agit de
> rkit/kryptic.763904
>
> y a t il un exe spécifique ?

C'est fini les exe spécifiques, du moins pour les infections modernes

Suivant les infections, l'exe peut changer de nom à chaque reboot par
ex, pour échapper à l'antivirus etc etc

Pour ton cas :

Googgle, tes dix doigts et 2 secondes plus tard :

http://forum.avira.de/wbb/index.php?...hreadID=105020

Le 24/01/2010 11:08, pascal a écrit :
> Re
>
> je viens de voir que dans la quarantaine d avira antivir il s'agit de
> rkit/kryptic.763904

Je te conseille après désinfection (vas sur malekal car l'ex du forum
avira est adapté à un cas, c'est juste pour te donner une idée de "la
chose"), de mettre à jour ton PC

Tu n'as pu attraper cela que via un exploit sur un site web (vidéo, etc)

Si quelques programmes de base ne sont pas à jour (flashplayer, reader
de fichiers .pdf, java, ...) c'est l'infection assurée via le surf

Pour une mise à jour basique (hors windows)

http://www.filehippo.com/updatechecker/

DePassage a écrit :
> Le 24/01/2010 11:08, pascal a écrit :
>> Re
>>
>> je viens de voir que dans la quarantaine d avira antivir il s'agit de
>> rkit/kryptic.763904
>>
>> y a t il un exe spécifique ?
>
> C'est fini les exe spécifiques, du moins pour les infections modernes

Il y a même très longtemps et c'est une particularité de Windows, une
petite expérience peut le démontrer:

Copier calc.exe (dans c:\windows\system32) sur le bureau. Le renommer
successivement calc.pif et calc.scr et vérifier que ça lance dans les
deux cas la calculatrice.

L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commence
par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
et le lance comme tel.

Bonjour
tout d'abord merci de l'aide DePassage
deja avec un scan avira et malwarebytes j'ai éliminé qq bestioles !! pour
le kryptic je vais ce soir me lancer dans la manip!! de toute façon le pc
fonctionne normalement, sauf que le plantage de outlook persiste (erreur ont
étés détecteé dans le dossier outlook.pst). qd je lance l'outil de
reparation scanpst.exe, il s'execute mais au moment de lancer la reparation
le log plante.....


"DePassage" <monadresseamoi> a écrit dans le message de news:
hjh81h$7vo$1...
[..]

Salut,
Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia
<roland-garcia> a écrit:

> DePassage a écrit :
>
> Il y a même très longtemps et c'est une particularité de Windows, une
> petite expérience peut le démontrer:
>
> Copier calc.exe (dans c:\windows\system32) sur le bureau. Le renommer
> successivement calc.pif et calc.scr et vérifier que ça lance dans les
> deux cas la calculatrice.
>
> L'explication est simple: Windows ne regarde pas dans ce cas là
> l'extension mais la nature du fichier. Et comme il voit qu'il commence
> par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
> et le lance comme tel.

Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi se
lancer, non ?
Malheureusement, je crains que Windows fasse toujours confiance à la bonne
vieille branche HKCR de sa fantastique base de registre :)
C'est là dedans que les extensions y sont associées à un type qui lui même
sera associé à une action/commande opérable par le système ou une de ses
applications.

Si tu modifies le MZ de ton calc.scr, Windows essayera quand même de le
lancer mais te dira que ton programme est tout cassé.

@+

Roland Garcia écrivait dans le message de *News*
<4B5CD667.8000306> :

> Copier calc.exe (dans c:\windows\system32) sur le bureau. Le renommer
> successivement calc.pif et calc.scr et vérifier que ça lance dans les
> deux cas la calculatrice.
>
> L'explication est simple: Windows ne regarde pas dans ce cas là
> l'extension mais la nature du fichier. Et comme il voit qu'il commence
> par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
> et le lance comme tel.

Hey, Roland on évuluer !! Il est tps de te reveiller

rm a écrit :
> Salut,
> Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia
> <roland-garcia> a écrit:
>> Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi se
> lancer, non ?

Non.

> Malheureusement, je crains que Windows fasse toujours confiance à la
> bonne vieille branche HKCR de sa fantastique base de registre :)
> C'est là dedans que les extensions y sont associées à un type qui lui
> même sera associé à une action/commande opérable par le système ou une
> de ses applications.

Oui et non.

Oui car si l'extension n'est pas prévue (ex: .rg) Windows ne la lancera
pas, sauf si on la rajoute dans la BDR.

Non car Windows regarde quand même si le programme commence par MZ pour
différencier un programme Windows d'un programme DOS. Pour preuve un
..pif n'est pas un MZ, or si on renomme un .exe en .pif Windows sait
toujours que c'est un .exe

> Si tu modifies le MZ de ton calc.scr, Windows essayera quand même de le
> lancer mais te dira que ton programme est tout cassé.

Non, il considèrera que c'est un programme DOS et essayera de le lancer
dans la console, évidemment cela ne marchera pas.

Pour montrer que ce PB est connu et ancien le filtrage des pièces
attachées sur un MTA se fait préférentiellement sur la nature du fichier
et non l'extension, exemple l'option par défaut de Renattach:

"Delete executable binary attachments by signature. renattach looks
for encoded bytes that identify DOS/Windows executables ('MZ'). If an
executable is found, the encoded attachment will be removed while
the MIME header remains unchanged. This is a feature that works
independently of filename-based filtering, designed as a backup. The
net effect is that encoded executables are deleted. Email clients will
see 0-byte attachments."
http://www.pc-tools.net/unix/renatta...manual-1.5.pdf

P@skal a écrit :
> Roland Garcia écrivait dans le message de *News*
> <4B5CD667.8000306> :
>
>> Copier calc.exe (dans c:\windows\system32) sur le bureau. Le renommer
>> successivement calc.pif et calc.scr et vérifier que ça lance dans les
>> deux cas la calculatrice.
>>
>> L'explication est simple: Windows ne regarde pas dans ce cas là
>> l'extension mais la nature du fichier. Et comme il voit qu'il commence
>> par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
>> et le lance comme tel.
>
> Hey, Roland on évuluer !! Il est tps de te reveiller

ébénon, ça n'a pas évolué.

Le Sat, 30 Jan 2010 09:18:21 +0100, Roland Garcia
<roland-garcia> a écrit:

> rm a écrit :
>
> Non.
>> Oui et non.
>
> Oui car si l'extension n'est pas prévue (ex: .rg) Windows ne la lancera
> pas, sauf si on la rajoute dans la BDR.
>
> Non car Windows regarde quand même si le programme commence par MZ pour
> différencier un programme Windows d'un programme DOS.

Il me semble que les exécutables DOS commencent aussi par MZ (en tout cas
mon vieux F-Prot 2.28 contient bien cette en-tête)

> Pour preuve un
> .pif n'est pas un MZ, or si on renomme un .exe en .pif Windows sait
> toujours que c'est un .exe

Si je renomme mon f-prot.exe en f-prot.pif, FProt ne se lance plus, malgré
son en-tête MZ :)
Par contre, si je le renomme en f-prot.scr et le lance bien dans une
ntvdm.exe dédiée aux vieux programmes DOS 16 bits

>> Si tu modifies le MZ de ton calc.scr, Windows essayera quand même de le
>> lancer mais te dira que ton programme est tout cassé.
>
> Non, il considèrera que c'est un programme DOS et essayera de le lancer
> dans la console, évidemment cela ne marchera pas.

Je ne suis vraiment pas trop convaincu par cet argument DOS/Windows.
Je pense vraiment que ces exécutables sont lancés quelque soit leur
extension, à partir du moment où il y a, en Base de Registre, "%1" %* dans
la clé shell/open/command associé à leur type.
Si par exemple, tu fusionnes un truc comme

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="calc.exe"

en base de registre, tous les fichiers (même un vulgaire fichier textene
commençant pas par "MZ" !) d'extension .exe lanceront la calculette...

> Pour montrer que ce PB est connu et ancien le filtrage des pièces
> attachées sur un MTA se fait préférentiellement sur la nature dufichier
> et non l'extension, exemple l'option par défaut de Renattach:
>
> "Delete executable binary attachments by signature. renattach looks
> for encoded bytes that identify DOS/Windows executables ('MZ').

Il n'y a donc pas de différentiation faite entre un programme DOS ou
Windows du fait de la présence de ce MZ ;)

> If an
> executable is found, the encoded attachment will be removed while
> the MIME header remains unchanged. This is a feature that works
> independently of filename-based filtering, designed as a backup. The
> net effect is that encoded executables are deleted. Email clients will
> see 0-byte attachments."
> [..]

C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tête MZ
pour détecter un fichier joint exécutable déguisé avec une autreextension
que le système d'exploitation fait pareil :-D


@+

On Thu, 04 Feb 2010 17:19:17 +0100, rm <ramon>
wrote:

>C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ
>pour detecter un fichier joint executable deguise avec une autre
> extension que le systeme d'exploitation fait pareil :-D

Tu es sûr d'avoir tout compris toi ?

AMHA -> non.

Le jeudi 4 février 2010 à 18:05, Cyrius a écrit :

> On Thu, 04 Feb 2010 17:19:17 +0100, rm <ramon>
> wrote:
>
>>C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ
>>pour detecter un fichier joint executable deguise avec une autre
>> extension que le systeme d'exploitation fait pareil :-D
>
> Tu es sûr d'avoir tout compris toi ?

Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se
targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu
par les « explications » de Roland ;)

> AMHA -> non.

Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.

@+

rm a écrit :
> Le jeudi 4 février 2010 à 18:05, Cyrius a écrit :
>
>> On Thu, 04 Feb 2010 17:19:17 +0100, rm <ramon>
>> wrote:
>>
>>> C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ
>>> pour detecter un fichier joint executable deguise avec une autre
>>> extension que le systeme d'exploitation fait pareil :-D
>> Tu es sûr d'avoir tout compris toi ?
>
> Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se
> targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu
> par les « explications » de Roland ;)

Radiomachin peut éventuellement compléter, je ne me vexerai pas ;-)