MPSigStub.exe !
j-pascal
Hier, j'ai vu apparaître ce truc dans une fenêtre m'indiquant un pb de
mémoire (.. not written ...).
Les quelques recherches que je viens de faire sur Google ne m'éclairent pas
vraiment ...
Ce truc est-il "clean" ?
Merci d'avance pour vos réponses éventuelles,
--
Cordialement @+
JP
Claude LaFrenière
Poses-tu cette question-là sérieusement ?
Ton PC est infecté par un spyware/adware/cochonerieware.
Spyware Blaster: (pour prévenir l'installation des parasites)
http://www.javacoolsoftware.com/spywareblaster.html
[Ces deux-là peuvent être utilisés en mode sans échec si nécessaire]:
SpyBot Search & Destroy:
http://www.spybot.info/fr/download/index.html
AdAware:
http://lavasoft.element5.com/default.shtml.fr
et ceci aussi:
Windows Defender
http://www.microsoft.com/canada/fr/athome/security/spyware/software/default.mspx
(Quoique...)
Voir aussi:
Le "Safe-Hex" :
http://sebsauvage.net/safehex.html
GO !
--
CL
j@ckie
Bon WE à tous !
"j-pascal" a écrit dans le message
news:%23yjLuBK...@TK2MSFTNGP04.phx.gbl...
> ..........
> Les quelques recherches que je viens de faire sur Google ne m'éclairent
> pas vraiment ...
Tu avais oublié tes lunettes, cher jp ??
http://www.google.fr/search?q=MPSigStub.exe
> Ce truc est-il "clean" ?
> Merci d'avance pour vos réponses éventuelles,
Que veut dire ce ' éventuelles " ?? ;-)
on peut le trouver
_ avec HTJ ds
c:\c7ed379b81d5f94636e549f96c5f7afe\MPSigStub.exe
_ ds C:\WINDOWS\Prefetch
_ ds C:\WINDOWS\temp
1/ Certains prétendent qu'il fait partie d'une MAJ de WDefender :
ici, il n'y est pas actuellement !
--»
?? résidu d'une version 2006 ???
?? as-tu bien la dernière version WD =
sinon, vire l'ancienne, nettoie et vois si tu l'as tjrs ...
2/ Si tu trouves son chemin grâce à une recherche ( incluant les fichiers
cachés ) ,
tu peux tjrs passer cet .exe aux scan' de
* http://www.virustotal.com/en/virustotalx.html
et
de tous ceux de l'ami CLF ( que j'embrasse au passage )
CAR sur bcp de liens «malicious software can use the same file name.»
Bizz@+ ©
Bon WE et dis-ns :o)
--
« De la discussion ..jaillit la lumière .. »
Cdlt@+ j@ckie
http://www.linternaute.com/hightech/histoire-windows/portrait-de-famille.shtml
Claude LaFrenière
> tu peux tjrs passer cet .exe aux scan' de
>
> * http://www.virustotal.com/en/virustotalx.html
> et
> de tous ceux de l'ami CLF ( que j'embrasse au passage )
Wow !
8-)
--
CL
j-pascal
"j@ckie" <sou...@jackie.fr> a écrit dans le message de news:
exFCg$N0HHA...@TK2MSFTNGP06.phx.gbl...
>
> Bon WE à tous !
>
> "j-pascal" a écrit dans le message
> news:%23yjLuBK...@TK2MSFTNGP04.phx.gbl...
>
>> ..........
>> Les quelques recherches que je viens de faire sur Google ne m'éclairent
>> pas vraiment ...
>
> Tu avais oublié tes lunettes, cher jp ??
>
> http://www.google.fr/search?q=MPSigStub.exe
Non, non, j'ai vu et lu, mais rien de très précis (amha ;-) ) y compris pour
le fil initié sur le présent forum ...
>> Ce truc est-il "clean" ?
>> Merci d'avance pour vos réponses éventuelles,
>
> Que veut dire ce ' éventuelles " ?? ;-)
Au cas où quelqu'un(e) veuille bien me répondre !
> on peut le trouver
> _ avec HTJ ds
HTj = HJT ? Si oui, alors rien !
> c:\c7ed379b81d5f94636e549f96c5f7afe\MPSigStub.exe
> _ ds C:\WINDOWS\Prefetch
Trouvé 2 fois ... et analysés avec VirusTotal : Pas de virus.
+ analyse avec Avast (le mien !) + asquared + Spywareblaster : Rien
(d'anormal)
> _ ds C:\WINDOWS\temp
Trouvé une fois (mais un fichier *.log) ; Il est là :
http://cjoint.com/?hCrfiZMc2K
> 1/ Certains prétendent qu'il fait partie d'une MAJ de WDefender :
> ici, il n'y est pas actuellement !
> --»
> ?? résidu d'une version 2006 ???
Je penche pour un truc de ce genre, mais il faut parfois se méfier de ses
intuitions ;-)
> ?? as-tu bien la dernière version WD =
Probablement pas ;-( En cherchant mon numéro de version dans le menu de
panneau de config / Ajouter-Supprimer, j'en ai profité pour tenter une MAJ
(car elle est proposée ici), mais même message que pour la désinstallation
de MBSA "fichier invalide, etc, etc. J'ai quand même pu effectuer la
désinstallation + une petite purge par "Windows Install CleanUP" ...
J'ai fait la mise à jour à partir de ton lien ;-)
>
> http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D
>
> sinon, vire l'ancienne, nettoie et vois si tu l'as tjrs ...
Oui (un seul dans le prefetch que j'ai de nouveau analysé ... mais rien
d'anormal, apparemment)
>
> 2/ Si tu trouves son chemin grâce à une recherche ( incluant les fichiers
> cachés ) ,
> tu peux tjrs passer cet .exe aux scan' de
>
> * http://www.virustotal.com/en/virustotalx.html
Fait (j'avais conservé ce lien que m'avait généreusement donnée une "amie"
du forum ... il y a qq mois ...)
> de tous ceux de l'ami CLF ( que j'embrasse au passage )
Je les utilise tous les jours !! lol
> CAR sur bcp de liens «malicious software can use the same file name.»
Cela signifie "faux amis" ??
Si tu as une minute à perdre, je veux bien que tu me dises ce que tu penses
de mon fichier log, mais à mon avis, ce MPSigStub.Exe ne me paraît pas bien
méchant ...
Bizzz
JP
j-pascal
La différence entre toi et moi (entre autre !) c'est que je n'ai qu'un seul
nom sur le forum ;-). Donc pas de méprise possible concernant j-pascal !
Si j'osais, je dirais "Homme de peu de Foi pourquoi as-tu douté ?" car tous
les trucs que tu me proposes ici font partie de mon quotidien (ou presque)
!! Et ce n'est bien sûr que la partie émergée de l'iceberg !! Je n'ai
presque rien oublié des (nombreux) conseils que tu m'as donnés à l'aube de
mes premiers pas sur ce forum :o)
Pourtant, à l'heure de ton message, tu n'avais pas encore été troublé par
les "embrassades" de J@kie ;-)
A bientôt ?
JP
"Claude LaFrenière" <No_In...@AntiPebkac.org> a écrit dans le message de
news: 1km888q3eqqcq.1...@40tude.net...
Claude LaFrenière
> Bonjour Claude,
>
> La différence entre toi et moi (entre autre !) c'est que je n'ai qu'un seul
> nom sur le forum ;-). Donc pas de méprise possible concernant j-pascal !
LOL ... je ne sais pas à quoi tu fais allusion... ;-)
>
> Si j'osais, je dirais "Homme de peu de Foi pourquoi as-tu douté ?" car tous
> les trucs que tu me proposes ici font partie de mon quotidien (ou presque)
> !! Et ce n'est bien sûr que la partie émergée de l'iceberg !! Je n'ai
> presque rien oublié des (nombreux) conseils que tu m'as donnés à l'aube de
> mes premiers pas sur ce forum :o)
OK. Ça peut arriver à tout le monde de faire des gaffes.
Ne t'en fait pas pour si peu...
>
> Pourtant, à l'heure de ton message, tu n'avais pas encore été troublé par
> les "embrassades" de J@kie ;-)
Vrai.
Moi qui croyait que J@ckie préférait ce connard de Bébert le Dromadaire!
>
> A bientôt ?
Oui
:)
--
CL
j@ckie
re'
"j-pascal" a écrit dans le message
news:%23a2qHqS...@TK2MSFTNGP03.phx.gbl...
>> _ ds C:\WINDOWS\temp
>
> Trouvé une fois (mais un fichier *.log) ; Il est là :
> http://cjoint.com/?hCrfiZMc2K
>
> Si tu as une minute à perdre, je veux bien que tu me dises ce que tu
> penses de mon fichier log, mais à mon avis, ce MPSigStub.Exe ne me paraît
> pas bien méchant ...
Je te laisse comparer avec mon log ( de WDefender) situé au même endroit --»
( lu en diagonale, une minute, ça passe vite !!)
****le dernier est identique avec ( enfin ! )
«MpUpdateEngine() completed successfully.»
*** MAIS
avant, sur les autres, à la fin, tu avais 2 erreurs --»
http://www.google.fr/search?q=0x800736B1
http://www.google.fr/search?q=0x80004005 )
J'en conclue que WD devait dysfonctionner
ou
ton gd nettoyage de l'autre jour y avait-il touché qqchose ???
--» d'où l'injure box
==» qui ne devrait plus surgir amha
Allez, passe un bon WE en famille :o)
( Bises à la maison )
--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous j@ckie
http://www.microsoft.com/france/athome/security/spyware/software/default.mspx
Sabrem JORAM
> http://www.google.fr/search?q=MPSigStub.exe
Bonjour,
Si tu utilisais SSM (System Safety Monitor) ou similaire, tu verrais
que cet exécutable est bien celui qui installe les mises à jour de
DEFENDER... Son hash n'étant jamais le même, SSM le bloque à chaque
fois...
Donc, a priori, fausse alerte...
Bises
--
Pascal, F-20214
http://www.worldcommunitygrid.org/
http://www.clubic.com/forum/--t318291.html
j@ckie
re'
"Sabrem JORAM" a écrit dans le message
news:mn.e50f7d77b...@enfrance.net.invalid...
> Si tu utilisais SSM (System Safety Monitor) ou similaire, tu verrais que
> cet exécutable est bien celui qui installe les mises à jour de DEFENDER...
> Son hash n'étant jamais le même, SSM le bloque à chaque fois...
>
> Donc, a priori, fausse alerte...
Merci de cette précision, cher Pascal :-)
Je suis avec mon portable qui a WD +Avast
mais
pas l'artillerie lourde de « l'Alfa » qui est à la maison ...
où avec WLOCare, ne se pose pas le pb de blocage avec SSM
%-( normal ?? %-(
> Bises
*Bizz@ussi
--
« De la discussion , jaillit la lumière ...»
Cdlt@+ à tous
http://www.microsoft.com/security/portal/default.aspx
j-pascal
Merci pour ce complément d'information.
J'ai jeté un oeil sur "System Safety Monitor" ; j'ai même trouvé un tuto ici
:
http://kerio.probb.fr/Internet-c5/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-System-Safety-Monitor-Free-Edition-t198.htm
Le paramétrage semble assez délicat (pour ne pas bloquer tout le système !)
; je vais donc m'abstenir ;-)
Amicalement,
JP
PS : CLF a failli me faire peur lol
"Sabrem JORAM" <sabrem.jor...@enfrance.net.invalid> a écrit dans le
message de news: mn.e50f7d77b...@enfrance.net.invalid...
j-pascal
"j@ckie" <sou...@jackie.fr> a écrit dans le message de news:
O$4%234dT0H...@TK2MSFTNGP05.phx.gbl...
>
> re'
>
> "j-pascal" a écrit dans le message
> news:%23a2qHqS...@TK2MSFTNGP03.phx.gbl...
>
>>> _ ds C:\WINDOWS\temp
>>
>> Trouvé une fois (mais un fichier *.log) ; Il est là :
>> http://cjoint.com/?hCrfiZMc2K
>>
>> Si tu as une minute à perdre, je veux bien que tu me dises ce que tu
>> penses de mon fichier log, mais à mon avis, ce MPSigStub.Exe ne me paraît
>> pas bien méchant ...
>
> Je te laisse comparer avec mon log ( de WDefender) situé au même
> endroit --»
>
> http://cjoint.com/?hCsubYnkvG
>
> ( lu en diagonale, une minute, ça passe vite !!)
> ****le dernier est identique avec ( enfin ! )
> «MpUpdateEngine() completed successfully.»
Lu !
>
> *** MAIS
> avant, sur les autres, à la fin, tu avais 2 erreurs --»
>
> http://www.google.fr/search?q=0x800736B1
>
> http://www.google.fr/search?q=0x80004005 )
>
> J'en conclue que WD devait dysfonctionner
Sûrement ;-)
> ton gd nettoyage de l'autre jour y avait-il touché qqchose ???
Qui disait : "Je suis riche des biens dont je sais me passer !" ?
Je deviens philosophe : "Je suis riche des logiciels dont je sais me passer
!!" lol
N'est pas toi qui m'a dit que j'avais trop de trucs dans mon PC :o) ?
> --» d'où l'injure box
> ==» qui ne devrait plus surgir amha
Exact !
>
> Allez, passe un bon WE en famille :o)
> ( Bises à la maison )
Je transmets.
Biz de nous tous,
(Et merci pour ton aide)
JP
Sabrem JORAM
> Bonjour Pascal,
Bonjour Jean-Pascal,
> Merci pour ce complément d'information.
> J'ai jeté un oeil sur "System Safety Monitor" ; j'ai même trouvé un
> tuto ici :
> http://kerio.probb.fr/Internet-c5/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-System-Safety-Monitor-Free-Edition-t198.htm
Connaissais pas : merci pour cette bonne page dont je conserve le lien.
> Le paramétrage semble assez délicat (pour ne pas bloquer tout le
> système !) ; je vais donc m'abstenir ;-)
Oui et non : reste que je ne le conseille pas sur une installation OEM
dont on ne serait pas sûr de pouvoir restituer une image disque en cas
de blocage...
Mais si tu suis bien le tuto, il n'y a pas de raison que ça coince.
Le danger est que tu bloques un processus légitime ou autorise un qui
ne l'est pas : donc un gros travail de recherche au début si l'on ne
connait pas bien les noms des exécutables de XP (ce en quoi c'est
également très formateur)
Aussi délicat à paramétrer qu'un parefeu à règles (genre KERIO
2.1.5)... mais plus dangereux car susceptible de bloquer le système...
Solution en cas de blocage : modifier la valeur de la clef (mettre 0 au
lieu de 1)
HKLM\SOFTWARE\System Safety\System Safety Monitor\2\AutoRun: 0x00000001
(qui le fait démarrer automatiquement) à partir d'un autre système
(genre BART PE) et déplacer/détruire ses fichiers de configuration
(.cfg dans le dossier d'installation de SSM ; procédure pas testée
depuis longtemps et pas sur toutes les versions)
Je l'utilise depuis 2004 et je l'ai trouvé si efficace que j'en ai
achetée la version commerciale (pas chère en 2005... beaucoup plus
maintenant)
> Amicalement,
Amicalement,
[...]
j-pascal
"Sabrem JORAM" <sabrem.jor...@enfrance.net.invalid> a écrit dans le
message de news: mn.f2b47d772...@enfrance.net.invalid...
> j-pascal a écrit :
>
>> Bonjour Pascal,
>
> Bonjour Jean-Pascal,
>
>> Merci pour ce complément d'information.
>> J'ai jeté un oeil sur "System Safety Monitor" ; j'ai même trouvé un tuto
>> ici :
>> http://kerio.probb.fr/Internet-c5/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-System-Safety-Monitor-Free-Edition-t198.htm
>
> Connaissais pas : merci pour cette bonne page dont je conserve le lien.
>
>> Le paramétrage semble assez délicat (pour ne pas bloquer tout le système
>> !) ; je vais donc m'abstenir ;-)
>
> Oui et non : reste que je ne le conseille pas sur une installation OEM
> dont on ne serait pas sûr de pouvoir restituer une image disque en cas de
> blocage...
>
> Mais si tu suis bien le tuto, il n'y a pas de raison que ça coince.
>
> Le danger est que tu bloques un processus légitime ou autorise un qui ne
> l'est pas : donc un gros travail de recherche au début si l'on ne connait
> pas bien les noms des exécutables de XP (ce en quoi c'est également très
> formateur)
Le jour où j'aurai plusieurs PC, je me lancerai dans l' "expérimentation"
;-) Pour l'instant, j'ai tous mes oeufs dans le même panier !
>
> Aussi délicat à paramétrer qu'un parefeu à règles (genre KERIO 2.1.5)...
> mais plus dangereux car susceptible de bloquer le système... Solution en
> cas de blocage : modifier la valeur de la clef (mettre 0 au lieu de 1)
>
> HKLM\SOFTWARE\System Safety\System Safety Monitor\2\AutoRun: 0x00000001
Je note, au cas où ...
>
> (qui le fait démarrer automatiquement) à partir d'un autre système (genre
> BART PE) et déplacer/détruire ses fichiers de configuration (.cfg dans le
> dossier d'installation de SSM ; procédure pas testée depuis longtemps et
> pas sur toutes les versions)
> Je l'utilise depuis 2004 et je l'ai trouvé si efficace que j'en ai achetée
> la version commerciale (pas chère en 2005... beaucoup plus maintenant)
>
>> Amicalement,
>
> Amicalement,
+ 1 ;-)
JP
Sabrem JORAM
> Bonjour,
> Si tu utilisais SSM (System Safety Monitor) ou similaire, tu verrais
> que cet exécutable est bien celui qui installe les mises à jour de
> DEFENDER... Son hash n'étant jamais le même, SSM le bloque à chaque
> fois...
> Donc, a priori, fausse alerte...
> Bises
Bonjour,
la dernière mise à jour, par exemple, donne ceci :
PID: 2476
Information : AntiSpyware Definition Update (Microsoft Corporation)
Processus enfant :
Chemin d'accès : i:\771add8d2824b8ba81bc0790b94272de\MPSigStub.exe
Information : Microsoft Malware Protection Signature Update Stub
(Microsoft Corporation)
Ligne de commande :i:\771add8d2824b8ba81bc0790b94272de\MPSigStub.exe
WD /q
j-pascal
"Sabrem JORAM" <sabrem.jor...@enfrance.net.invalid> a écrit dans le
message de news: mn.0b9f7d788...@enfrance.net.invalid...
> [...]
>
>> Bonjour,
>
>> Si tu utilisais SSM (System Safety Monitor) ou similaire, tu verrais que
>> cet exécutable est bien celui qui installe les mises à jour de
>> DEFENDER... Son hash n'étant jamais le même, SSM le bloque à chaque
>> fois...
>
>> Donc, a priori, fausse alerte...
>
>> Bises
>
> Bonjour,
>
> la dernière mise à jour, par exemple, donne ceci :
Ne me tente pas !! ;-)
> PID: 2476
> Information : AntiSpyware Definition Update (Microsoft Corporation)
> Processus enfant :
> Chemin d'accès : i:\771add8d2824b8ba81bc0790b94272de\MPSigStub.exe
> Information : Microsoft Malware Protection Signature Update Stub
> (Microsoft Corporation)
> Ligne de commande :i:\771add8d2824b8ba81bc0790b94272de\MPSigStub.exe WD
> /q
>
>
> Bises
Merci ;-)
JP
j@ckie
re'
"Sabrem JORAM" a écrit dans le message
news: mn.0b9f7d788...@enfrance.net.invalid...
>> Si tu utilisais SSM (System Safety Monitor) ou similaire, tu verrais que
>> cet exécutable est bien celui qui installe les mises à jour de
>> DEFENDER... Son hash n'étant jamais le même, SSM le bloque à chaque
>> fois...
> la dernière mise à jour, par exemple, donne ceci :
>
> PID: 2476
> Information : AntiSpyware Definition Update (Microsoft Corporation)
> Processus enfant :
> Chemin d'accès : i:\771add8d2824b8ba81bc0790b94272de\MPSigStub.exe
> Information : Microsoft Malware Protection Signature Update Stub
> (Microsoft Corporation)
> Ligne de commande :i:\771add8d2824b8ba81bc0790b94272de\MPSigStub.exe WD
> /q
>
Merci cher Pascal !
je vais y regarder de plus près à mon retour ..
nb/ SSM free est sur mon DD3 XPPro...
> Bises
"itou" :o)
j@ckie