Une fenetre avec un message aparait sans arret help !

La section des versions NT, 2000, et XP de windows : informations, problèmes, questions, avis ou dépannages y trouveront leur place.

Modérateur: Modérateurs

Une fenetre avec un message aparait sans arret help !

Messagepar Invité » 08 Sep 2004 23:35

Bonjour,

Depuis un certain temp j'ai une fenetre de microsoft avec un message
m'avertissant que ma machine est infectée par un virus et que
je dois aller à l'adresse suivante ( http://www.updatenow.org/ ) rapidement
pour telecharger un correctif.

Quelqu'un a t'il d'éja eu ce message ?
Puis-je telecharger ce correctif sans crainte ?

PS: j'ai scanné mon pc avec plusieur antivirus et logiciel anti espions
mais
rien y fait ce message reviens tout le temp.

Merci d'avance pour votre aide.
Meilleures Salutations
Invité
 

Messagepar Revjones » 08 Sep 2004 23:41

Surtout ne rien télécharger dans les liens que donnent ces messages, ça ne peut qu'être nuisible!

Il s'agit très probablement du service de messages de Windows, exploité par une société quelconque.
La solution pour se débarasser du problème se trouve là:
http://www.libellules.ch/phpBB2/viewtopic.php?t=3063
Avatar de l’utilisateur
Revjones
Modérateur
Modérateur
 
Messages: 5912
Inscription: 04 Fév 2003 17:59
Localisation: Suisse

Messagepar Invité » 09 Sep 2004 00:01

Merci beaucoup pour ta précieuse aide mon amis :wink:

Je vais essayer tout de suite cette manip.

Salutations bonne nuit
Invité
 

Messagepar Dedo de hada » 09 Sep 2004 02:59

Tu as un beau cheval qui trotte sur ta machine, le domaine updatenow.org n'est pas d'origine microsoft, un petit coup d'antivirus, puis ad-aware feront une partie du boulot mais ce n'est pas suffisant car certains processus se relancent automatiquement, noter le nom des fichiers détectés (JCVD je suis "aware"), la suite:

Rétablir des paramètres de sécurités élevés dans les propriétés d'Internet explorer surtout en ce qui concerne les scripts, les contrôles activex et les plug-ins, java, et la VM.

Ouvrir le gestionnaire de tâches (ctrl/alt/sup) et arréter le ou les processus suspects en terminant leur arborberscence (clic droit souris sur le processus), car il sont souvent par paire voir plus et lorsque l'on essai de terminer le processus de l'un d'entre eux les autres ce chargent de le relancer, prendre soin de noter leur nom ça servira plus tard.

Executer msconfig et dans l'onglet démarrage décocher les exécutables suspects, relever leurs chemins d'accés ça servira aussi plus tard.

Examiner les chemins de répertoires si ils en ont créé et noter le nom des fichiers présents dans ces dossiers.

Muni de toutes ces informations Rechercher (F3) ces fichiers en n'inscrivant que le nom sans l'extension (on comprendra pourquoi aprés) et supprimer les tous y compris dans c:\windows\system32\ et \dllcache, dans c:\windows\Prefetch, dans c:\windows\LastGood\system32\ et\cache\ et \Driver cache\ et \Downloaded program files\.

Visualiser le contenu du répertoire c:\windows\Dowloaded Program Files contenant les contrôles activeX et afficher par clic droit souris les propriétés des activeX douteux , noter les dépendances (onglet à cet effet), supprimer ces contrôles activeX , les fichiers dépendants ne s'affichant pas dans ce dossier, ils n'ont peut-être pas été effacés.
Lancer l'invité de commande dans le menu démarer/accessoires et supprimer les en ligne de commande del c:\windows\downloaded program files\nom du fichier.inf ou .dll ou etc, si vous n'êtes pas sur taper del /? pour l'aide.

J'utilise pour ma part xnview disponible en téléchargement sur libellules (option visualiser les fichiers cachés activée) pour effectuer cette tâche
plus simplement car les dépendances sont affichées et directement accessibles, d'autres programmes type "explorateur" peuvent aussi le faire à vous de voir ...

Lancer regedit, rechercher et supprimer toutes les clefs qui ont un rapport avec les fichiers douteux et leurs dépendances (c'est vrai qu'il faut une certaine habitude, c'est pas facile) y compris dans les "Windows -> CurrentVersion run et runonce... et Shared Tools -> Msconfig -> Startupreg de vos HKEY...
(trop long à inscrire, cherchez les !)

Vérifier si dans le menu démarrer -> démarrage il reste une trace de raccourci suspect et le supprimer si besoin.

Vider le répertoire temporaire temp
c:\documents and settings\votre nom d'ultilisateur\local settings\temp

Ouvrir le poste de travail et dans le menu ouvrir "Outils" "Options des dossiers" onglet type de fichier, vérifier que les extensions htm, html, url s'ouvrent bien avec votre naviqateur par défaut "iexplore" ou autre, et pas par des "rundll32.exe saloperie.dll" redoutables qui s'intercalent avant votre navigateur (n'y voyant que du feu), rétablir par défaut si besoin.

Supprimer les fichiers temporaires internet et les cookies

Vérifier dans votre navigateur que l'Url about:blank affiche bien une page blanche, il se peut parcontre que vous soyez redirigé vers une page de type search et finalement visualisez une fenêtre vous avertissant que votre pc est contaminé et que vous devez acheter leur logiciel miracle...

Vérifier dans la base de registre les clefs Internet Explorer -> Main -> Start Page - Search Page - HOMEOldSP - Default_Page_URL - Default_Search_URL et s'assurer que les reg ne pointent pas sur des liens douteux.

Malgrés tout le pb avec about:blank peut ne pas être résolu, mais si vous avez suivi la procédure plus haut concernant les contrôles activeX cela ne devrait plus arriver.

Vérifier les possibles redirections dans le répertoire
c:\windows\system32\drivers\etc\, par fichiers host ou lmhosts (voir leur contenu), si activé dans les propriétés TCP/IP (NetBios) de votre carte ou modem adsl

Bien entendu vous n'êtes pas connecté à votre ISP...
Ne jamais autoriser le reboot de la machine pendant cette manip sous peine de devoir tout recommencer... Un cheval de troie, tu lui coupes la queue, ca reste toujours un cheval...

Voila ! un petit plus avec un pare-feu version freeware outpost suffit (pas le pro) pour visionner et stoper les intrus (si bien paramétré) en prenant le soin de désactiver les services pare-feu XP par msconfig (démarrage) ou console mmc ( outils d'administrations du menu démarrer)

Mais surtout sécuriser votre machine pour éviter de perdre énormément de temps plus tard .....................!!!!!!!!!!!!!!!!!!!!!

Malgrés toute votre bonne volonté, ces saletés peuvent encore laisser des traces !!!

:fiire: :jgb:

Auteur : Dedo de hada (plus de renseignements par message privé).
Ce texte est un résumé hélas, de mes tristes et nombreuses expériences !
Dernière édition par Dedo de hada le 10 Sep 2004 12:39, édité 5 fois.
Cherche schéma lisible !!! moniteur Gateway ev 900 chassis X19001 désespérément ...
Avatar de l’utilisateur
Dedo de hada
Libellulien
Libellulien
 
Messages: 67
Inscription: 07 Sep 2004 02:52

Messagepar bororo » 09 Sep 2004 18:43

Bonjour Mr Dedo de Hada.
Merci de votre excellente et tres documentée réponse sur le sujet evoqué ci dessus.
Je me permets simplement de vous demander de citer votre source au cas ou elle serait protégée par un copyright.
Ceci uniquement afin de proteger le site contre toute attaque judiciaire pour non respect de ce copyright.
Si par contre ce texte est de vous,veuillez ne pas tenir compte de ce message.Merci beaucoup.
Avatar de l’utilisateur
bororo
Modérateur
Modérateur
 
Messages: 2124
Inscription: 13 Déc 2003 20:33
Localisation: Bordeaux

Messagepar scaphoide » 09 Sep 2004 19:47

Ca, ami libellulien bororo, c'est de la vrai action de modérateur et je t'approuve à 100 % :-D :-D :-D
Si votre tête est enfouie dans le sable, votre derrière est une cible de choix!!!
Image
Avatar de l’utilisateur
scaphoide
Super Libellulien
Super Libellulien
 
Messages: 2768
Inscription: 14 Oct 2003 18:57
Localisation: St Ursen (CH)

Messagepar Dedo de hada » 09 Sep 2004 20:46

Des remerciements que je trouve sympathiques comme la communauté de ce forum. Content que cela puisse guider quelques utilisateurs, je l'espère en tous cas.

:fiire: :jgb:
Cherche schéma lisible !!! moniteur Gateway ev 900 chassis X19001 désespérément ...
Avatar de l’utilisateur
Dedo de hada
Libellulien
Libellulien
 
Messages: 67
Inscription: 07 Sep 2004 02:52

Messagepar Invité » 09 Sep 2004 21:17

Merci Dedo de hada pour ton aide,

J'ai desactiver le service des message windows comme me la dis de
Revjones et depuis plus de message :-D

C'est pas suffisant ?

Il faut que je fasse obligatoirement cette fastidieuse manip que tu ma
d'écrite Dedo ?

Fastidieuse car je suis novice et je mis perd un
peut avec tout ça.

Une simple d'ésinfection avec des logiciels (anti-virus anti-spyware ne
suffirait pas ?

Car la manip que tu ma décrite te parais surement facile pour toi mais
pour moi c'est du chinois désolé.

Merci a tous pour votre aide :wink:

Salutations
Invité
 

Messagepar Revjones » 09 Sep 2004 22:58

Anonymous a écrit:Merci Dedo de hada pour ton aide,

J'ai desactiver le service des message windows comme me la dis de
Revjones et depuis plus de message :-D

C'est pas suffisant ?


Dans ton cas, si. Ci-dessus, ce sont des informations supplémentaires bien utiles en cas de problèmes plus graves mais d'origine différente. A imprimer et conserver au cas où ;)
Avatar de l’utilisateur
Revjones
Modérateur
Modérateur
 
Messages: 5912
Inscription: 04 Fév 2003 17:59
Localisation: Suisse

Messagepar Dedo de hada » 10 Sep 2004 00:29

Je suis tout à fait d'accord avec toi, non tu n'est pas obligé(e) d'effectuer ces manips car assurément quand on n'est pas sûr de ce que l'on fait mieux vaut ne rien tenter afin d'éviter d'empirer la situation. Dans ce cas il est préférable de se faire assister par une personne qui comprend le fonctionnement de windows.
C'est vrai qu'il n'est pas toujours nécessaire d'effectuer toutes ces fastidieuses manips, l'antivirus et un antispy corrigent souvent complètement le pb, mais il faut quand même faire quelques recherches pour être sûr que l'origine du mal n'est pas encore présente, les processus sont des programmes ils ne font pas qu'afficher des messages...
Ma description et les remèdes qui en découlent mettent en évidence les nombreuses possibilités de certains fichiers douteux dont les "dialer" ou "redirect" qui rivalisent d'ingéniosité pour multiplier les pistes d'installation et de regénération (un peu à la Star Trek), et je suis loin de savoir tout ce qu'ils sont capable de faire (moi qui suis un adepte convaincu du commerce en ligne vive la e-carte bleu, stop à la fraude), car je n'ai pas envie qu'une personne fasse ses achats en italie par exemple, à Genova il n'y a pas qu'un superbe aquarium mais des commerces qui passent encore les cartes bleues au sabot papier !!!, vu de mes propres yeux...
Tu trouveras aussi parfois le remède ciblé à condition de connaître l'origine de ton mal, sur les sites d'antivirus etc.
Bref "en mai fais ce qu'il te plait" "en septembre écoutes tous les membres" de ce forum, moi je te donne un maximum d'informations:

Avec un "registrar" en pologne je peux me poser des questions, en tous cas il n'a rien à voir avec microsoft c'est sur... mais le propriétaire du nom de domaine qui n'est pas forcément le "registrar"sait s'en servir mieux que nous :wink:

Domain ID:D104552449-LROR
Domain Name:UPDATENOW.ORG
Created On:21-Jun-2004 16:22:42 UTC
Last Updated On:21-Aug-2004 03:52:26 UTC
Expiration Date:21-Jun-2005 16:22:42 UTC
Sponsoring Registrar:R114-LROR
Status:OK
Registrant ID:812693-R
Registrant Name:***********
Registrant Street1:*********
Registrant Street2:*********
Registrant City:Warszawa
Registrant State/Province:PL
Registrant Postal Code:54000
Registrant Country:PL
Registrant Phone:*********
Registrant FAX:*******
Registrant Email:mirater@cashette.com
Name Server:NS1.EURODNS.COM
Name Server:NS2.EURODNS.COM

En conclusion mieux vaut rester sur ses gardes :lol:
Cherche schéma lisible !!! moniteur Gateway ev 900 chassis X19001 désespérément ...
Avatar de l’utilisateur
Dedo de hada
Libellulien
Libellulien
 
Messages: 67
Inscription: 07 Sep 2004 02:52


Retourner vers Windows NT, 2000, XP

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités