NOD32

[@YvesJean01@]

pas de souci pour le démarrage il devient selectif si tu a décoché une ou plusieurs case, a tu retrouver des entrer correspondante

C:\WINDOWS\System32\windows.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\msgmrs.exe
C:\WINDOWS\System32\plms.exe

pour bien comprendre c'est ce qui se lance au démarrage de windows.

[mili972]

Le problème je ne sais pas s'il faut regarder dans élément de démarrage,commande ou emplacement.

Dans élément de démarrage il y a entre autre VTTimer.exe , VTrayp.exe , microsoftwindows ,msmsgers.

[@YvesJean01@]

Voici ce que tu a dans msconfig sous l'onglet démarrage



c'est important de desactiver ces services s'il sont présent pour pouvoir les supprimer ensuite

C:\WINDOWS\System32\windows.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\msgmrs.exe
C:\WINDOWS\System32\plms.exe

[mili972]

C'est là où le bat blesse je ne les vois pas j'ai tout désactivé sauf le pare feu,l'antivirus et l'antispyware si je savais faire une capture d'écran je te l'aurai posté j'ai déjà essayé je n'arrive pas

[@YvesJean01@]

Attention, ne désactive pas les autres direction autres que celle mentionnée.

Pour faire une capture d'écran appuye sur la touche Impr/ecran qui doit se trouver sur la droite de ton clavier, ensuite tu ouvre soit paint pour windows ou un autre programme image de ton choix puis tu fait édition/coller ou clique du droit /coller
puis tu enregistre l'image avec l'extension .gif ou jpg sur ta machine puis tu va sur ce lien http://www.imageshack.us/ pour la mettre en ligne c'est gratuit.

si tu n'y arrive pas c'est pas grave, j'ai l'impression que tu n'a pas tout enlever dans ta base de registre windows.exe a bien été virer mais il doit rester

irdvxc.exe
msgmrs.exe
plms.exe

le chemin doit ressembler a ca dans msconfig

Service: Program Learning Management System (PLMS) - Unknown owner - C:\WINDOWS\System32\plms.exe (file missing)
Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)
Service: last version (msn messengers) - Unknown owner - C:\WINDOWS\msgmrs.exe

c'est les services lancés au démarrage, mais s'il ne sont pas présent ont ira par services.msc directement les désactiver.

[mili972]

J'essaies de faire la capture et je te la poste si j'y arrive. Merci de m'aider j'aimerai tellement que ce problème soit résolu.

Lors de l analyse approfondie que j'ai faite, presque à chaque fichier sur le rapport, il y a un tiret suivit de "erreur - " et là j'ai après "le fichier est protégé par mot de passe" ou "accès refusé [4]" ou encore "archive endommagée - le fichier n'a pas pu être extrait" et au total je n'ai pas un seul fichier qui n'a pas une des erreur !! Ce n'est pas normal j'imagine

[@YvesJean01@]

tu me parle de l'annalyse avec ton antivirus? ci c'est le cas c'est normal vue que des éléments ont été enlever de la base de registre mais il doit y en rester pour qu'il y fasse référence.

si tu n'y arrive vraiment pas ont pourra a titre exceptionnel envisager un dépannage en ligne ou une assistance a distance.

la je vais devoir quitter, Jack sera peut etre présent tout a l'heure, en tout cas je repasse dans la soirée

[mili972]

C'est cela lors de l'analyse de l'anti virus en clair le rapport d'analyse.

[@YvesJean01@]

c'est normal vue que des éléments ont été enlever de la base de registre mais il doit y en rester pour qu'il y fasse référence.

tu peut poster le log de ton antivirus si tu y arrive cela pourrait aider

[mili972]

Je dois sortir à + tard

[mili972]

YvesJean un grand merci tu m'as aidé pas à pas ce matin et j'ai eu la chance de t'avoir sur le forum au bon moment merci. Grâce à toi j'ai pu supprimer certains logiciels mal'heureusement il y a deux réfractaires.

Serrvice: Program Learning Management System (PLMS) - Unknown owner - C:\WINDOWS\System32\plms.exe (file missing)

Service: last version (msn messengers) - Unknown owner - C:\WINDOWS\msgmrs.exe

[@YvesJean01@]

Ont les aura 2mains, j'ai bossé sur un projet toutes la journée et j'y suis encore la, cela ma permis de me détendre en venant sur le forum

c'est se windows.exe qui était le plus méchant, il faudra refaire les meme manipulations que tout a l'heure rechercher dans le registre:

plms.exe
et
msgmrs.exe

puis vérifier dans msconfig que ces programmes ne si trouve pas pour pouvoir les enlever, avec un de chance il n'y aurra pas a les fixer dans lz services.msc.

[mili972]

Pas de soucis repose toi bien et bonne nuit ici en Martinique il ne fait que 18h14 j'ai tout mon temps à demain.

[@YvesJean01@]

Ca rechauffe le coeur d'avoir des visiteurs Martiniquai

[mili972]

Bonjour YvesJean

Je ne sais pas si cela peut servir mais j'ai trouvé ces deux là plms.exe et msgmrs.exe dans le processus du gestionnaire des taches. Qu'en penses tu

[@YvesJean01@]

Donc il sont dans msconfig, ce que tu fait tu tremine les deux processus puis seulement après tu passe hijackthis pour fixer les lignes

023-Service: Program Learning Management System (PLMS) - Unknown owner - C:\WINDOWS\System32\plms.exe (file missing)
023-Service: last version (msn messengers) - Unknown owner - C:\WINDOWS\msgmrs.exe

a mon avis elle devrait disparaitre si les processus sont désactiver.

[mili972]

Bonsoir,

Je n'ai bien compris ce que je dois faire dois-je les supprimer dans le processus

[@YvesJean01@]

Oui, du moins cela les désactivera temporairement et dans la fouler tu passe hijackthis pour fixer les lignes qui devrair cette fois les supprimer

[mili972]

Comment dois je faire pour les supprimer dans le processus du gestionnaire des taches

[@YvesJean01@]

Tu les m'est en surbrillance en cliquant une fois dessus puis en cliquant sur terminer le processus

[mili972]

Bonjour YvesJean

C'est un parcours du combattant pour le faire ca défile sans arrêt et quand je le met en surbrillance incapable de mettre fin au processus comment gérer cela.

[@YvesJean01@]

Ca bouge dur sur ta machine, fait cette manip clique sur affichage puis m'est en pause, tu pourra ainsi tranquillement désactiver les 2 processus, voici une image* encadré en rouge, il faudra remettre sur le meme mode c'est a dire normal après suppression.

*clique sur l'image pour l'agrandir

[mili972]

T un couche tard je suis t recommandations et te tiens au courant , envois moi le dernier ccleaner stp.

[mili972]

Je l'ai fait comme tu me l'as dit mais l'accès m'est refusé

[@YvesJean01@]

Voila pour Ccleaner
http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Il est 23h00 ici c'est le p'tit tour du soir

[@YvesJean01@]

[mili972]

Je vais laisser tomber pour l'instant, à ton avis est ce qu'ils sont dangereux !
Je te souhaite une bonne nuit ici en martinque il est 17h03 et un temps magnifique et ventilé.

[@YvesJean01@]

Nous c'est des averses et puis 10°

plms.exe est une variante de madame Backdoor.Sdbot qui n’attaque pour le moment que les systèmes d’exploitation inférieur a Vista, voila la méthode de se vers ;
il a du t’ajouter la valeur plms.exe aux sous-clés de registre ci-dessous pour se permettre l’accès a chaque démarrage :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

tu ne peut pas les supprimer je croit que nous avons vue ca plus haut donc mon avis était de le désactiver puis le virer avec Hisjak, malheureusement il te faut des droits pour pouvoir virer ces processus, alors voila comment Mme Backdoor procede :
le worm ouvre une porte dérobée sur ton ordinateur en se connectant à un serveur IRC pour y réaliser des analyses du port l’ordinateur distant, c'est-à-dire un autre peut transférer, télécharger ou exécuter des fichiers donc voila pour la généraliter, plms.exe doit venir dun téléchargement de système de gestion d'apprentissage, ci tu vois se que c’est il est peut etre présent dans ajout/suppression de programmes et devrait se suffir a ca désinstallation, mais c’est encore pas sur.


msgmrs.exe n’est pas la version officiel il n’y a pas de S a rmsn messengerS, je ne peut pas te dire s’il est vraiment dangereux mais supposer oui si tu t’en sert et peut etre meme que c’est lui qui ta amené pmls.exe, d’ailleurs c’est sûrement un programme qui peut etre désinstaller dans ajout/suppression de programme, ci tu veut la version officiel je te la donnerais, mais je suppose que cette version a été choisi pour éviter le Site originel.

En gros si tu va voir ta banque ou fait des achats en lignes tu cours de gros risque car le "peiratès" peut récupérer des informations a tes dépend, ton disque dur doit s’agiter de temps en temps sans raison et ta machine doit ramer par moment, c’est un signe.

ceci dit en mode sans echec tu pourra peut etre echapper au droit d'admin qui empeche de désactiver ces processus.

[mili972]

Bonjour,

Je suis allée dans ajout/supp je retrouve avec deux programmes installés mIRC qu'est ce que c'est d'après toi.

[@YvesJean01@]

Bonsoir,
donne moi le nom de ces programmes Mili, les IRC son en général des chats tu peut également faire un transfert de fichier y executer des scripts, les virus et autres bestioles y circule librement si ont ne connait pas ca provenance en particulier.