Méthode simple pour detecter les virus

Voici une méthode simple qui vous permet la détection de virus dans votre système.

Dans le menu Démarrer ( Start), cliquez sur Run ( exécuter), puis ecrire " Command" ( cmd)
-ensuite écrivez cd.., cliquez sur la touche Entrer
-Une deuxième fois écrivez cd.., cliquez sur la touche Entrer
-Ecrivez cd windows, puis cliquez sur la touche Entrer
-Ecrivez cd system32, puis cliquez sur la touche Entrer
-Ecrivez setup, puis cliquez sur la touche Entrer

Si maintenant un message apparait disant Please go to the control panel to install and configure system components alors votre système est saint ( non virolé).
Si par contre aucun message n'apparait, vous pouvez déduire que votre système est infecté.

Cette conclusion est basée sur l'idée que le setup dans le système32 est généralement bloqué (fermé) quand on a un virus et il est ouvert à l'exécution quand on a un système saint. Ceci est du au fait que la plus part des virus ferment ou bloquent toutes les extensions system.exe.

Adama veux tu nous dire d'avantage sur cette méthode ?

Oh, Boualem ! Qu'est-ce tu vas farfouiller dans le system32 ? C'est dangereux.
Comme méthode simple pour detecter un virus on n'a pas fait mieux qu'un antivirus pour l'internaute lambda.
Et puis "setup" c'est le nom générique pour n'importe quelle installation et ici on ne sait pas ce qu'il va installer en cliquant dessus.

Boualem a écrit:Si maintenant un message apparait disant Please go to the control panel to install and configure system components alors votre système est saint ( non virolé).

C'est juste une réponse de bon sens à mon avis, le panneau de contrôle (control panel) est le lieu adéquat pour installer ou désinstaller en toute sécurité les composants Windows.

Boualem a écrit:Adama veux tu nous dire d'avantage sur cette méthode ?

Mon avis est de ne surtout toucher à rien a fortiori dans le system32 en plus sous Dos ( les protections et limitations de windows ne fonctionnent plus) si on ne s'y connait pas.
Et enfin même si cette méthode est pertinente (je n'en sais rien, je n'essaierai pas et ça tombe bien parce que je n'ai pas de fichier "setup" dans Vista) elle ne servirait, si j'ai compris qu'à avertir qu'il y a un virus. Mais ça normalement l'antivirus le dit dès qu'il y a infection ou tentative d'infection, alors où est l'interêt ?

Adama a écrit:Oh, Boualem ! Qu'est-ce tu vas farfouiller dans le system32 ? C'est dangereux.
Comme méthode simple pour detecter un virus on n'a pas fait mieux qu'un antivirus pour l'internaute lambda.
Et puis "setup" c'est le nom générique pour n'importe quelle installation et ici on ne sait pas ce qu'il va installer en cliquant dessus.

Boualem a écrit:Si maintenant un message apparait disant Please go to the control panel to install and configure system components alors votre système est saint ( non virolé).

C'est juste une réponse de bon sens à mon avis, le panneau de contrôle (control panel) est le lieu adéquat pour installer ou désinstaller en toute sécurité les composants Windows.

Boualem a écrit:Adama veux tu nous dire d'avantage sur cette méthode ?

Mon avis est de ne surtout toucher à rien a fortiori dans le system32 en plus sous Dos ( les protections et limitations de windows ne fonctionnent plus) si on ne s'y connait pas.
Et enfin même si cette méthode est pertinente (je n'en sais rien, je n'essaierai pas et ça tombe bien parce que je n'ai pas de fichier "setup" dans Vista) elle ne servirait, si j'ai compris qu'à avertir qu'il y a un virus. Mais ça normalement l'antivirus le dit dès qu'il y a infection ou tentative d'infection, alors où est l'interêt ?

Merci Adama pour toutes ces informations.
quand a toi Boualem , rak mkhati beleqhawi.....
Merci a vous deux

Mais Boualem n'a pas tort dans l'absolu parce qu'effectivement beaucoup de virus se logent dans le répertoire system32 et souvent infectent le fichier system32.exe et le paramètrent ensuite à leur guise. A partir de là ils créent d'autres fichiers qui prolifèrent partout.
C'est pour celà que la méthode décrite est vaine.
La meilleure solution est un scan avec l'antivirus ou un scan en ligne si l'antivirus a été bloqué par le virus (c'est de plus en plus la première attaque du virus : désactiver l'antivirus. C'est même ce qui met la puce à l'oreille sur la présence éventuelle d'un virus)

Pour ceux qui s'inquiètent et voudraient être rassurés sur la santé de leur PC, il y a un logiciel tout simple, qui existe depuis des lustres Hijackthis

A télécharger, exécuter (il génère ensuite un fichier texte des résultats) et si quelqu'un veut une interprétation de ces résultats, il copie puis colle ces résultats ici.

Azul, je reviens de deux petites virées vers la Kabylie, la première dans les montagnes, la seconde dans le littoral. J'ai bien respiré un bon coup !

Revenons à la méthode maintenant !
Ne vous alarmez pas, c'est juste une idée qui circule dans certains forums et que j'ai voulu partager avec vous tout en demandant, si vous l'avez bien remarqué, l'avis de notre grande soeur Adama.

L'idée sous entend l'inexistence d'antivirus local ou encore moins en ligne.

@ Adama, merci d'être aussi compréhenssive et perspicace.
@ Rock, je sais rani M'khatti deux fois, rak etsalli qahwa 3and leqbïli et un Qalb ellouz syrien

PS: C'est grâce à ce fil que notre bien aimée Adama, a fini par céder et de nous proposer l'analyse de nos rapports Hijackthis, je te tiens au mot Adama

Mais c'est bien justement Boualem de faire part de tout ce qui se dit pour en discuter. Moi la méthode je ne sais si elle est bonne ou mauvaise.
Je pense simplement que vulgariser ce genre d'actions qui demandent une excellente maitrise et connaissance risquent de faire faire des bêtises à ceux qui se lancent les yeux fermés sans savoir la portée de leur action.
Le répertoire system32 est un répertoire sensible de Windows et y exécuter des commandes sous Dos (je le répète, sous Dos, les limitations de windows ne fonctionnent plus) est assez problématique.
En conclusion, ma réflexion ne portait pas sur la validité de l'opération mais sur le danger de manipuler des fichiers sensibles de cette façon.

Pour hijackthis, on ne peut faire d'analyse que si on a des rapports.
Là j'en vois pas ...

Merci Adama, je commence le premier et j'espère que je ne serai pas le seul.

J'ai corrigé les erreurs qui sont marquées de "X" ici

Nom d'un petit bonhomme !

Je comprends pourquoi tu te plains que ça rame !

Et après vous accusez l'adsl algérien !

Mon rapport hijackthis est quatre fois plus court. Faut dire que je suis une marie-ménage, je suis tout le temps en train de nettoyer.

Bon voyons voir :

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1978305

Code:

O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)

Code:

O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

A virer !

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{687FBAC1-2737-4A91-991F-4B521798EBFE}: NameServer = 41.221.20.4 193.251.169.165

Tu la connais cette adresse IP ?
Elle correspond à ça :

OrgName: African Network Information Center
OrgID: AFRINIC
Address: 03B3 - 3rd Floor - Ebene Cyber Tower
Address: Cyber City
Address: Ebene
Address: Mauritius
City: Ebene
StateProv:
PostalCode: 0001
Country: MU

Ile Maurice. Si ça ne te dit rien, vires !

Code:

O10 - Unknown file in Winsock LSP: c:\windows\system32\iavlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\iavlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\iavlsp.dll

Malware

Voilà pour le plus urgent. On peut affiner ensuite en supprimant des trucs qui sans être dangereux ne sont pas indispensables mais ralentissent.
A toute !

Pas de danger c'est l'adresse de Algérie télécom Fawri (ADSL)

Bien ! L'essentiel est de savoir à quoi ça correspond.

Maintenant le problème de ton "ramage" qui ne correspond pas à ton plumage.

Ca rame parce que tu as plein de programmes non indispensables qui se lancent au démarrage.
Tout ça :

Code:

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\KALKOUL\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MsgCenterExe] "C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: Azureus SpeedUp Pro.lnk = C:\Program Files\Azureus SpeedUp Pro\Azureus SpeedUp Pro.exe

L'anti-virus c'est normal mais les messageries instantanées (yahoo et messenger) acrobat reader, realplayer, supercopier et les outils de telechargement hum...hum...n'est-ce pas, ils n'ont pas besoin d'être au démarrage, ça bouffe tout de suite de la mémoire, dès le départ.
Il faudra résoudre ça en passant par MSconfig en décochant les cases relatives à ces programmes pour qu'ils ne se lancent plus au démarrage.
Tu as tout loisir de les lancer quand t'en as besoin mais pas pour rien.

Ya3tik essaha w lehna ya Adama,
j(ai toujours fais le cobaye et je continue pour te demander comment atteindre la commande MSconfig ? comment faire pour y parvenir ?

Hin...hin...zaama, toi l'habitué de "démarrer" "executer"

Voilà tu cliques sur "démarrer" "executer" ou "start" puis "run" pour ceux qui ont la version en anglais.
Ensuite on tape "msconfig" sans les guillemets et on a ça :



On va dans l'onglet "démarrage" et à on décoche tout ce qui n'est pas nécessaire au démarrage comme ce que je t'ai cité plus haut.
Si on ne connait pas un fichier, on ne touche à rien.
Mais "realplayer", "messenger" tout ça, ça a un nom explicite.

Quand c'est fini on clique sur "appliquer", un message demandera à redemarrer le PC, on peut le faire tout de suite mais si on a des trucs en cours on clique sur non et le changement prend effet au prochain démarrage.

C'est tout !

Merci Adama,
Yaw el hadra 3lya w el ma3na 3lya w 3la djarna
Je plaisante, c'est juste pour laisser des traces dans cette rubrique qui constitue à mon avis un trésor informatique.

PS: à vrai dire, le rapport que j'ai posté est celui d'une machine de mes enfants ( un PC familial quoi ?). Je ne me suis pas encore penché dessus depuis un bon moment.

Merci pour tous ces éclaircissements.
Rabi inawrak comme tu nous éclaire.