Posté(e) le 17 août 200717 a Bonjour tout le monde, Durant le dernier complet, AVS - sous XP Home SP2 - a détecté cette petite bestiole. Elle a été supprimée. Mais, je me demande comment elle a pu s'installer dans le fichier exécutable de "Hitman Pro 2.6.0" alors que d'après les informations recueillies sur la toile c'est surtout via MSN qu'elle fait son nid? D'autant plus curieux que je n'utilise pas MSN... Capture d'écran (cliquez sur l'image pour obtenir un agrandissement lisible.) Infos à propos de ce virus: ==> http://www.malekal.com/IM-Worm.Win32.Sohan...kaglan.worm.php ==> http://www.viruslist.com/fr/viruses/encycl...?virusid=147563 ==> http://www.kaspersky.be/fr/news/aper-u-du-...avril-2007.html ( en cliquant sur le doux nom de ladite bestiole, vous arrivez sur la page su lien précédent) Merci pour vos informations ou autres avis à ce propos. RESOLUTION a- Worm.Win32.Sohanad.t 1) soit lire tous les messages (il y en a tant) 2) soit admettre qu'il s'agit d'un faux positif...dans Hitman Pro 2.6 b- HPZIM12.EXE-145E7329.pf 1) passer Clean V2.0 by Fruit 2) ou lire tous les messages Remarque à propos des fichiers .pf ==> http://www.seminaire-sherbrooke.qc.ca/pays...siteweb/ext.htm Extrait du site repris ci-dessus: .PF - Profil ICM - Aladdin Systems Private Files (encrypted file) - Archive 13/04/99 Merci à snooky. RESOLUTION DEFINITIVE A propos de " HPZIPM12.ESE-145E7369.pf " et non pas " HPZIPM12.ESE-145E7329.pf " La résolution se trouve ici: ==> http://www.pcinpact.com/forum/index.php?s=...t&p=1928444 Merci à snooky et à BraveHeart Modifié le 22 août 200717 a par kool56
Posté(e) le 17 août 200717 a Auteur @snooky, En toute honnêteté, je m'en doutais un peu. Mais ton "doctissime" avis a soulagé mon âme "paranoïde"...
Posté(e) le 17 août 200717 a Analyse le setup HP2 ici et donne nous les résultats : http://virusscan.jotti.org/
Posté(e) le 17 août 200717 a Auteur Le dossier est vide. Toutefois, dans "All Users\Menu Démarrer\Hitman Pro" se trouvent uniquement les raccourci deHP2 et de "uninstall" ? Je vais un peu fouiller dans la BR et te tiens informer. PS: je place un "log" HijackThis", nouvelle version, dans la centralisation. Modifié le 17 août 200717 a par kool56
Posté(e) le 17 août 200717 a Si tu as demandé à AVS de supprimer , normal que tu ne retrouves pas le setup ! Désactive AVS pour télécharger le setup ... Ou alors , clic droit sur les découvertes de l'antivirus , ajouter à la Zone de confiance ... Certains éditeurs d'antivirus préviennent que dans le setup , un fichier est donc suceptible d'être dangeureux , si mis en de mauvaises mains ... D' autres éditeurs , non . Antivirus Version Dernière mise à jour RésultatAhnLab-V3 2007.8.18.0 2007.08.17 - AntiVir 7.4.1.62 2007.08.17 Worm/Sohanad.T.12 Authentium 4.93.8 2007.08.17 - Avast 4.7.1029.0 2007.08.16 - AVG 7.5.0.476 2007.08.16 - BitDefender 7.2 2007.08.17 - CAT-QuickHeal 9.00 2007.08.17 - ClamAV 0.91 2007.08.17 - DrWeb 4.33 2007.08.17 - eSafe 7.0.15.0 2007.08.16 Win32.Sohanad.t eTrust-Vet 31.1.5067 2007.08.17 - Ewido 4.0 2007.08.17 - FileAdvisor 1 2007.08.17 - Fortinet 2.91.0.0 2007.08.17 W32/Sohanad.T!worm.im F-Prot 4.3.2.48 2007.08.16 - F-Secure 6.70.13030.0 2007.08.17 IM-Worm.Win32.Sohanad.t Ikarus T3.1.1.12 2007.08.17 - Kaspersky 4.0.2.24 2007.08.17 IM-Worm.Win32.Sohanad.t McAfee 5099 2007.08.16 - Microsoft 1.2803 2007.08.17 - NOD32v2 2468 2007.08.17 - Norman 5.80.02 2007.08.17 - Panda 9.0.0.4 2007.08.17 - Rising 19.36.42.00 2007.08.17 - Sophos 4.20.0 2007.08.12 - Sunbelt 2.2.907.0 2007.08.17 - Symantec 10 2007.08.17 - TheHacker 6.1.8.170 2007.08.17 W32/Sohanad.t VBA32 3.12.2.2 2007.08.16 IM-Worm.Win32.Sohanad.t VirusBuster 4.3.26:9 2007.08.16 - Webwasher-Gateway 6.0.1 2007.08.17 Worm.Sohanad.T.12 Voili voilou . :)
Posté(e) le 17 août 200717 a Auteur Of course... Mais entretemps, j'ai été acquérir la dernière version de "SpySweeper". Ce programme reste, à mon avis, l'un des meilleures antiespiogiciels ( plus de 187000 "spy" répertoriés à ce jour)! Toutefois, je poste un rapport HijackThis (nouvelle version) dans la centralisation appropriée. La première ligne 023 me les c..sse. Oui, bien sûr en mode sans échec. Cet "antidialer" avait été installé par curiosité et par envie de tester. A+ et merci
Posté(e) le 17 août 200717 a Auteur En faisant le ménage, HPZIPM12.EXE-145E7329.pf reste collé dans Prefetch. Unlocker n'y fait rien, Killbox encore moins... Ai trouvé ceci sur la toile : ==> http://forum.telecharger.01net.com/telecha...messages-1.html Et confiance peut être accordée à Malekal_morte . mais quel bo...l ! D'où sort cette crasse-là.
Posté(e) le 17 août 200717 a Mais tu n'as rien de tout ça sur ton pc ... le pc du gars est vérolé comme c'est pas permis ... avec le SP1 uniquement ... fin bref ... Passe Clean 2.0 ...
Posté(e) le 17 août 200717 a Auteur Bon voilà le résultat après nettoyage en profondeur! 1) EasyCleaner : 34 fichiers inutiles + (BR) 9 entrées caduques effacées. 2) Free Registry Cleaner : 42 problèmes répertoriés ( tous éliminés) ==> http://www.eusing.com/free_registry_cleane...try_cleaner.htm ( Site de l'éditeur ) 3) Clean V2.0 by Fruit : 388 fichiers effacés 4) CCleaner V 1.41.544 : nettoyage OK + Erreurs = 0 Après vérification dans Prefetch, ce "HPZIPM12.EXE-145E7329.pf" ne s'y trouve plus. Une recherche ne donne aucune résultat le concernant. Mais une recherche dans la BR, le signale encore dans HKEY_Current_User\Software\Microsoft\Internet Explorer\Explorer Bars\ La clef ou valeur y a carrément été supprimée. Une période de 3-4 jours est attribuée pour vérifier la stabilité... Merci à toi
Posté(e) le 19 août 200717 a Auteur Cette crasse HPZ.... est bien présente et très collante. Pour agrandir la capture d'écran: clic (pour "ceusski...) Nettoyage à fond en mode sans échec= sans résultat. Que faire?
Posté(e) le 19 août 200717 a Tu as une imprimante HP ? C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm ... Oui ... alors arrête la parano .
Posté(e) le 19 août 200717 a Que faire? Bonjour, 1°Vérifier qu'il n'y a plus d'entrées du worm Sohanad dans le registre 2° Désinstaller les drivers HP...car une attaque peut aussi prendre la forme de hpzim12.exe.Si après avoir tout supprimé dans les drivers officiels, il est là, tu dois le traiter comme un virus déguisé.
Posté(e) le 22 août 200717 a Auteur @ BraveHeart Bien reçu. Suite au dernier message de snooky, une ultime vérification a été effectuée. En fait, quelques jours auparavant, une mise à jour de l'imprimante "tout-en-un" a été faite. ==> http://h10025.www1.hp.com/ewfrf/wc/softwar...331〈=fr Par ailleurs, une erreur c'est introduite dans l'un de mes messages. Il ne s'agissait pas de " HPZIPM12.EXE-1457329.pf " mais bien de "HPZIPM12.EXE-145E7369.pf. Snooky avait raison. Toi aussi. Car après nettoyage complet en mode sans échec, cette bizarrerie n'est plus présente dans Prefetch ni ailleurs. Il faut avouer que la fatigue intense y est pour beaucoup: confusion entre ...7329.pf. et 7369.pf. Je m'accorde un et devrais un rien Donc auprès de vous toutes mes excuses. Nul n'est parfait... J'édite en résolu.
Posté(e) le 22 août 200717 a Auteur Ouais bon ok. Je te concède volontiers cette petite taquinerie...je n'avais qu'à être un rien plus attentif.
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.