kool56 Posté(e) le 17 août 2007 Partager Posté(e) le 17 août 2007 Bonjour tout le monde, Durant le dernier complet, AVS - sous XP Home SP2 - a détecté cette petite bestiole. Elle a été supprimée. Mais, je me demande comment elle a pu s'installer dans le fichier exécutable de "Hitman Pro 2.6.0" alors que d'après les informations recueillies sur la toile c'est surtout via MSN qu'elle fait son nid? D'autant plus curieux que je n'utilise pas MSN... Capture d'écran (cliquez sur l'image pour obtenir un agrandissement lisible.) Infos à propos de ce virus: ==> http://www.malekal.com/IM-Worm.Win32.Sohan...kaglan.worm.php ==> http://www.viruslist.com/fr/viruses/encycl...?virusid=147563 ==> http://www.kaspersky.be/fr/news/aper-u-du-...avril-2007.html ( en cliquant sur le doux nom de ladite bestiole, vous arrivez sur la page su lien précédent) Merci pour vos informations ou autres avis à ce propos. RESOLUTION a- Worm.Win32.Sohanad.t 1) soit lire tous les messages (il y en a tant) 2) soit admettre qu'il s'agit d'un faux positif...dans Hitman Pro 2.6 b- HPZIM12.EXE-145E7329.pf 1) passer Clean V2.0 by Fruit 2) ou lire tous les messages Remarque à propos des fichiers .pf ==> http://www.seminaire-sherbrooke.qc.ca/pays...siteweb/ext.htm Extrait du site repris ci-dessus: .PF - Profil ICM - Aladdin Systems Private Files (encrypted file) - Archive 13/04/99 Merci à snooky. RESOLUTION DEFINITIVE A propos de " HPZIPM12.ESE-145E7369.pf " et non pas " HPZIPM12.ESE-145E7329.pf " La résolution se trouve ici: ==> http://www.pcinpact.com/forum/index.php?s=...t&p=1928444 Merci à snooky et à BraveHeart Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 17 août 2007 Partager Posté(e) le 17 août 2007 Faux positif , voilà tout . Affaire règlée ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 17 août 2007 Auteur Partager Posté(e) le 17 août 2007 @snooky, En toute honnêteté, je m'en doutais un peu. Mais ton "doctissime" avis a soulagé mon âme "paranoïde"... Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 17 août 2007 Partager Posté(e) le 17 août 2007 Analyse le setup HP2 ici et donne nous les résultats : http://virusscan.jotti.org/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 17 août 2007 Auteur Partager Posté(e) le 17 août 2007 Le dossier est vide. Toutefois, dans "All Users\Menu Démarrer\Hitman Pro" se trouvent uniquement les raccourci deHP2 et de "uninstall" ? Je vais un peu fouiller dans la BR et te tiens informer. PS: je place un "log" HijackThis", nouvelle version, dans la centralisation. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 17 août 2007 Partager Posté(e) le 17 août 2007 Si tu as demandé à AVS de supprimer , normal que tu ne retrouves pas le setup ! Désactive AVS pour télécharger le setup ... Ou alors , clic droit sur les découvertes de l'antivirus , ajouter à la Zone de confiance ... Certains éditeurs d'antivirus préviennent que dans le setup , un fichier est donc suceptible d'être dangeureux , si mis en de mauvaises mains ... D' autres éditeurs , non . Antivirus Version Dernière mise à jour RésultatAhnLab-V3 2007.8.18.0 2007.08.17 - AntiVir 7.4.1.62 2007.08.17 Worm/Sohanad.T.12 Authentium 4.93.8 2007.08.17 - Avast 4.7.1029.0 2007.08.16 - AVG 7.5.0.476 2007.08.16 - BitDefender 7.2 2007.08.17 - CAT-QuickHeal 9.00 2007.08.17 - ClamAV 0.91 2007.08.17 - DrWeb 4.33 2007.08.17 - eSafe 7.0.15.0 2007.08.16 Win32.Sohanad.t eTrust-Vet 31.1.5067 2007.08.17 - Ewido 4.0 2007.08.17 - FileAdvisor 1 2007.08.17 - Fortinet 2.91.0.0 2007.08.17 W32/Sohanad.T!worm.im F-Prot 4.3.2.48 2007.08.16 - F-Secure 6.70.13030.0 2007.08.17 IM-Worm.Win32.Sohanad.t Ikarus T3.1.1.12 2007.08.17 - Kaspersky 4.0.2.24 2007.08.17 IM-Worm.Win32.Sohanad.t McAfee 5099 2007.08.16 - Microsoft 1.2803 2007.08.17 - NOD32v2 2468 2007.08.17 - Norman 5.80.02 2007.08.17 - Panda 9.0.0.4 2007.08.17 - Rising 19.36.42.00 2007.08.17 - Sophos 4.20.0 2007.08.12 - Sunbelt 2.2.907.0 2007.08.17 - Symantec 10 2007.08.17 - TheHacker 6.1.8.170 2007.08.17 W32/Sohanad.t VBA32 3.12.2.2 2007.08.16 IM-Worm.Win32.Sohanad.t VirusBuster 4.3.26:9 2007.08.16 - Webwasher-Gateway 6.0.1 2007.08.17 Worm.Sohanad.T.12 Voili voilou . :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 17 août 2007 Auteur Partager Posté(e) le 17 août 2007 Of course... Mais entretemps, j'ai été acquérir la dernière version de "SpySweeper". Ce programme reste, à mon avis, l'un des meilleures antiespiogiciels ( plus de 187000 "spy" répertoriés à ce jour)! Toutefois, je poste un rapport HijackThis (nouvelle version) dans la centralisation appropriée. La première ligne 023 me les c..sse. Oui, bien sûr en mode sans échec. Cet "antidialer" avait été installé par curiosité et par envie de tester. A+ et merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 17 août 2007 Auteur Partager Posté(e) le 17 août 2007 En faisant le ménage, HPZIPM12.EXE-145E7329.pf reste collé dans Prefetch. Unlocker n'y fait rien, Killbox encore moins... Ai trouvé ceci sur la toile : ==> http://forum.telecharger.01net.com/telecha...messages-1.html Et confiance peut être accordée à Malekal_morte . mais quel bo...l ! D'où sort cette crasse-là. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 17 août 2007 Partager Posté(e) le 17 août 2007 Mais tu n'as rien de tout ça sur ton pc ... le pc du gars est vérolé comme c'est pas permis ... avec le SP1 uniquement ... fin bref ... Passe Clean 2.0 ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 17 août 2007 Auteur Partager Posté(e) le 17 août 2007 Bon voilà le résultat après nettoyage en profondeur! 1) EasyCleaner : 34 fichiers inutiles + (BR) 9 entrées caduques effacées. 2) Free Registry Cleaner : 42 problèmes répertoriés ( tous éliminés) ==> http://www.eusing.com/free_registry_cleane...try_cleaner.htm ( Site de l'éditeur ) 3) Clean V2.0 by Fruit : 388 fichiers effacés 4) CCleaner V 1.41.544 : nettoyage OK + Erreurs = 0 Après vérification dans Prefetch, ce "HPZIPM12.EXE-145E7329.pf" ne s'y trouve plus. Une recherche ne donne aucune résultat le concernant. Mais une recherche dans la BR, le signale encore dans HKEY_Current_User\Software\Microsoft\Internet Explorer\Explorer Bars\ La clef ou valeur y a carrément été supprimée. Une période de 3-4 jours est attribuée pour vérifier la stabilité... Merci à toi Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 19 août 2007 Auteur Partager Posté(e) le 19 août 2007 Cette crasse HPZ.... est bien présente et très collante. Pour agrandir la capture d'écran: clic (pour "ceusski...) Nettoyage à fond en mode sans échec= sans résultat. Que faire? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 19 août 2007 Partager Posté(e) le 19 août 2007 Tu as une imprimante HP ? C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm ... Oui ... alors arrête la parano . Lien vers le commentaire Partager sur d’autres sites More sharing options...
Brave Heart Posté(e) le 19 août 2007 Partager Posté(e) le 19 août 2007 Que faire? Bonjour, 1°Vérifier qu'il n'y a plus d'entrées du worm Sohanad dans le registre 2° Désinstaller les drivers HP...car une attaque peut aussi prendre la forme de hpzim12.exe.Si après avoir tout supprimé dans les drivers officiels, il est là, tu dois le traiter comme un virus déguisé. Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 22 août 2007 Auteur Partager Posté(e) le 22 août 2007 @ BraveHeart Bien reçu. Suite au dernier message de snooky, une ultime vérification a été effectuée. En fait, quelques jours auparavant, une mise à jour de l'imprimante "tout-en-un" a été faite. ==> http://h10025.www1.hp.com/ewfrf/wc/softwar...331〈=fr Par ailleurs, une erreur c'est introduite dans l'un de mes messages. Il ne s'agissait pas de " HPZIPM12.EXE-1457329.pf " mais bien de "HPZIPM12.EXE-145E7369.pf. Snooky avait raison. Toi aussi. Car après nettoyage complet en mode sans échec, cette bizarrerie n'est plus présente dans Prefetch ni ailleurs. Il faut avouer que la fatigue intense y est pour beaucoup: confusion entre ...7329.pf. et 7369.pf. Je m'accorde un et devrais un rien Donc auprès de vous toutes mes excuses. Nul n'est parfait... J'édite en résolu. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 22 août 2007 Partager Posté(e) le 22 août 2007 halleeeeeeeeeelujaaaaaaaaaah ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 22 août 2007 Auteur Partager Posté(e) le 22 août 2007 Ouais bon ok. Je te concède volontiers cette petite taquinerie...je n'avais qu'à être un rien plus attentif. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 22 août 2007 Partager Posté(e) le 22 août 2007 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.