Je recherche des liens contre virus

greg3 Messages postés 106 Statut Membre -  
 mama -
Salut a tou-te-s,

je suis sur XP pro et mon antivirus Avast m'indique de plus en plus fréquemment que des fichiers se font infecter par un trojan ( "Win32:trojan-gen (other)") sans qu'il puisse toujours les supprimer et surtout vierer le trojan en question. Quant à windows, il m'indique aussi que j'ai au moins un spyware bien infiltré dans mon ordi.

Pouvez vous me renvoyer à des liens qui vous semblent bons pour mon cas? Je pense notamment à hijackhis (je ne sais plus où télécharger ça) pour faire un log et à spybot (il me semble) qui vire les spyware.

Enfin, est- ce que le fonctionnement de Avast (mon antivirus) est conciliable avec la mise en route d'un autre scan antivirus genre spybot ou faut- il que je suspende quelques temps le travail de Avast?

Merci de m'aider....

14 réponses

  1. Utilisateur anonyme
     
    b'jour,

    il te faut dans ta machine :

    *1 antivirus = 1 seul!
    *1 firewall (très important)
    *plusieurs antispywares sans aucun problème

    télécharger Ad-aware.SE/ Spybot.s&d 1.3 (les 2!)
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    à tester aussi

    a² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)
    http://www.emsisoft.net/fr/software/download/

    SpySweeper 1.3/anti-spywares (30 jours d'essai)
    http://www.webroot.com/fr/index.php

    hijackthis

    http://www.zebulon.fr/articles/HijackThis.php

    comment ça marche
    (screenshot)
    http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
    http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

    - Le mettre dans 1 dossier ex: C:\HijackThis
    - Le lancer -> Scan -> Save log
    - Récupérer ce log/texte avec le bloc-notes.
    - Le copier/coller (dans un forum) (quand tu veux de l'aide pour l'analyse)

    l'analyser automatiquement sur cette page (copié/collé)
    http://www.hijackthis.de
    TOUJOURS vérifier sur Google les lignes indiquées "méchantes" "inconnues" etc... de l'analyseur automatique qui n'est pas fiable à 100%

    les scans antivirus online (désactiver son antivirus le temps du scan)
    http://www.ravantivirus.com (RAV Anti-Virus)
    http://www.bitdefender.com/scan/licence.php (Bitdefender)
    http://www.kasperskylabs.com/remoteviruschk.html (Kaspersky, attention un seul fichier peut être scanné à la fois)
    http://security.symantec.com/ssc/home.asp?j=1&langid=fr&venid=sym&plfid=23&pkj=TEBDENTKDDASYUCPDGG (Symantec)
    http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (Panda Software)
    http://housecall.trendmicro.com (Trend Micro)
    http://www.secuser.com (Secuser)

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  2. greg3 Messages postés 106 Statut Membre
     
    Bonsoir,

    j'ai
    0
  3. greg3 Messages postés 106 Statut Membre
     
    Re- bonsoir,

    désolé pour le message précédent interrompu par une maladresse de ma part...
    Alors j'ai "analysé" mon log et j'ai pu réparer des éléments qui perturbaient beaucoup la navigation (pour le moment ca va mieux de ce point de vue). Néanmoins je n'ai pas touché aux lignes 04 qui à mon avis posent pourtant problème. Je sais qu'il faut d'abord effacer les mauvaises choses de la mémoire (processus) avant de fixer et je ne sais plus quoi: peut- on m'aider à faire ce qu'il faut par rapport aux lignes 04, moi qui ne suis qu'1 modeste utilisateur de l'informatique et qui vient de me farcir le langage du log hijackis.
    Et puis merci de me dire s'il y a encore des éléments mauvais pour les autres lignes (mais il me semble que non).
    Voici mon log:
    Logfile of HijackThis v1.99.1
    Scan saved at 00:13:21, on 06/03/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\systemstart.exe
    C:\WINDOWS\System32\ccreal.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\RUNDLL32.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\AutoUpdate\AutoUpdate.exe
    C:\Program Files\NaviSearch\bin\nls.exe
    C:\Program Files\Preview AdService\PrevAdServ.exe
    C:\WINDOWS\logon.exe
    C:\Program Files\Preview AdService\PrevAdKeep.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\mapservc.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\hijack\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MS lsass6 Startup] lsass1356.exe
    O4 - HKLM\..\Run: [systemstart.exe] systemstart.exe
    O4 - HKLM\..\Run: [Real Statics Agent] ccreal.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
    O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
    O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
    O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
    O4 - HKLM\..\Run: [NaviSearch] C:\Program Files\NaviSearch\bin\nls.exe
    O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
    O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
    O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
    O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
    O4 - HKLM\..\RunServices: [MS lsass6 Startup] lsass1356.exe
    O4 - HKLM\..\RunServices: [systemstart.exe] systemstart.exe
    O4 - HKLM\..\RunServices: [Real Statics Agent] ccreal.exe
    O4 - HKLM\..\RunOnce: [DeleteYourSiteBar] rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\Program Files\YourSiteBar\ysb.dll"
    O4 - HKCU\..\Run: [Real Statics Agent] ccreal.exe
    O4 - HKCU\..\Run: [MS lsass6 Startup] lsass1356.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
    O4 - HKCU\..\Run: [fB0ERPa5U] mapservc.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
    O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    Bonne soirée à vous qui lisez mon message...!
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. greg3 Messages postés 106 Statut Membre
     
    Bon,
    je suis allé sur un lien conseillé par une personne dans un autre message; ce lien analyse le log. Or il me dit que parmi les lignes 04 il ya des éléments méchants (à 99% de chances); il me dit de les éliminer manuellement. PROBLEME: le rundl32exe ne s'efface pas du processus en cours! je fais "terminer le processus" après avoir cliqué sur le droit et il revient! En plus il est au nombre de 2, donc que je clique sur l'1 ou l'autre et "terminer le processus" ils reviennent tous les 2!!!
    QUE FAIRE?
    0
  6. moe
     
    Salut greg

    Avant de faire quoi que ce soit, important:

    - Met à jours tes logiciels de protection:
    antivirus, antispywares(spybot, ad-aware...), firewall

    - Rend visible les fichiers cachés et systeme
    Poste de travail> Affichage> Options des dossiers > Onglet "Affichage"
    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    - désactive la restauration systéme
    Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".

    -Va dans ajout/suppression de programme et désinstalle ces logiciels si ils sont présents:

    AutoUpdate
    NaviSearch
    Preview AdService
    WildTangent
    BullsEye Network
    WebSpecials
    YourSiteBar


    Puis:
    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

    ---------------------------------------------

    --== 1 ==--

    Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
    S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"

    systemstart.exe
    ccreal.exe
    AutoUpdate.exe
    nls.exe
    PrevAdServ.exe
    logon.exe
    PrevAdKeep.exe
    mapservc.exe


    --== 2 ==--

    - Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    O4 - HKLM\..\Run: [MS lsass6 Startup] lsass1356.exe
    O4 - HKLM\..\Run: [systemstart.exe] systemstart.exe
    O4 - HKLM\..\Run: [Real Statics Agent] ccreal.exe
    O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
    O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
    O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
    O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
    O4 - HKLM\..\Run: [NaviSearch] C:\Program Files\NaviSearch\bin\nls.exe
    O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
    O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
    O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
    O4 - HKLM\..\RunServices: [MS lsass6 Startup] lsass1356.exe
    O4 - HKLM\..\RunServices: [systemstart.exe] systemstart.exe
    O4 - HKLM\..\RunServices: [Real Statics Agent] ccreal.exe
    O4 - HKLM\..\RunOnce: [DeleteYourSiteBar] rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\Program Files\YourSiteBar\ysb.dll"
    O4 - HKCU\..\Run: [Real Statics Agent] ccreal.exe
    O4 - HKCU\..\Run: [MS lsass6 Startup] lsass1356.exe
    O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
    O4 - HKCU\..\Run: [fB0ERPa5U] mapservc.exe

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    --== 3 ==--

    - Rechercher et supprimer si présent:
    (attention à l'orthographe)

    cdaEngine0400.dll
    C:\WINDOWS\System32\mapservc.exe
    C:\WINDOWS\System32\systemstart.exe
    C:\WINDOWS\System32\ccreal.exe
    C:\WINDOWS\logon.exe
    lsass1356.exe
    C:\Program Files\WebSpecials <= le dossier entier
    C:\Program Files\Preview AdService <= le dossier entier
    C:\Program Files\BullsEye Network <= le dossier entier
    C:\Program Files\NaviSearch <= le dossier entier
    C:\Program Files\AutoUpdate <= le dossier entier
    C:\Program Files\YourSiteBar <= le dossier entier
    C:\Program Files\Common files\updater <= le dossier entier
    C:\Program Files\WildTangent <= le dossier entier

    --== 4 ==--

    Profite d'être en mode sans echecs pour lancer le scan de ad-aware, spybot... et supprime tout ce qu'ils trouvent.

    Ensuite:

    Vide tes fichiers temporaires internet et les cookies:

    - panneau config> options internet> supprimer les fichiers, coche supprimer le contenu hors connection et valide ok
    - panneau config> options internet> supprimer les cookies

    Les fichiers temporaires:

    - C:\Document and setting\pour tous les dossiers\Local setting \Temp <=supprimer les fichiers à l'intérieur (pas les dossiers)

    - C:\Document and setting\pour tous les utilisateurs\Mes documents récents <=supprimer les fichiers à l'intérieur sauf desktop.ini

    - C:\Windows\Temp <=supprimer les fichiers à l'intérieur.

    - C:\WINDOWS\Prefetch <=supprimer les fichiers à l'intérieur sauf layout.ini

    - Vide la poubelle

    -----------------------------

    ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here".
    puis clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici + un log hijack pour vérifier l'évolution

    Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers
    (Ne réactive pas la restau systeme tant que tout n'est pas clean)

    Je crois que tu as de quoi t'occuper pendant un petit moment ! lol

    a+
    0
  7. greg3 Messages postés 106 Statut Membre
     
    J'ai fais ce que tu m'as dit, MOE (et un grand merci au passaage).

    Voici le rapport de ravantivirus:
    Scan started at 06/03/2005 02:48:06

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINDOWS\system32\TFTP4264 - Backdoor:Win32/Spybot.AI -> Infected
    C:\WINDOWS\system32\TFTP4316 - Backdoor:Win32/Rbot -> Infected

    Scanned
    ============================
    Objects: 12236
    Directories: 1289
    Archives: 674
    Size(Kb): -1423185
    Infected files: 2

    Found
    ============================
    Viruses found: 2
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 31

    Et voici mon log (Le même à peu de choses près!):

    Logfile of HijackThis v1.99.1
    Scan saved at 03:21:52, on 06/03/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\logon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\hijack\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MS lsass6 Startup] lsass1356.exe
    O4 - HKLM\..\Run: [systemstart.exe] systemstart.exe
    O4 - HKLM\..\Run: [Real Statics Agent] ccreal.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
    O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
    O4 - HKLM\..\RunServices: [MS lsass6 Startup] lsass1356.exe
    O4 - HKLM\..\RunServices: [systemstart.exe] systemstart.exe
    O4 - HKLM\..\RunServices: [Real Statics Agent] ccreal.exe
    O4 - HKCU\..\Run: [Real Statics Agent] ccreal.exe
    O4 - HKCU\..\Run: [MS lsass6 Startup] lsass1356.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [fB0ERPa5U] mapservc.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
    O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    Je me demande si je n'aurais pas dû éliminer un élément qui nous a échappé...Msn par exemple car il ne me semble pas l 'avoir téléchargé et je ne pense pas que ma famille l'ai fait. En ce cas je recommence tout?

    Enfin serait- il possible de me renvoyer les liens pour:
    un pare feu?
    SP 2?
    remises à jour windows?
    0
  8. greg3 Messages postés 106 Statut Membre
     
    Je suis retourné en mode sans échec et j'ai appliqué "spybot and destroy"; il m'en a trouvé pas mal. Et puis j'ai aussi retouvé dans programm files : le dossier "webspecials". J'ai fixé aussi le msn (ligne 04).
    Voici mon log, nettement mieux, je pense (lol):
    Logfile of HijackThis v1.99.1
    Scan saved at 04:36:14, on 06/03/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\hijack\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
    O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    Je vais restaurer le système.

    Ce qui m'inquiète est ce qu'a diagnostiquer "ravantivirus"; je peux m'attendre à ce que mon ordi déconne de nouveau , non?
    En attendant "avast4" ne détecte plus rien.
    Je vais chercher après un pare feu (celui de xp est- il efficace??) et après le SP 2 (lien?) et mises à jour windows (lien?).

    La nuit a été longue mais je suis parvenu à gagner une petite bataille contre ces virus de malheurs. Merci Moe pour tes explications pégagogiques, qui ont pu être comprises par le piètre informaticien que je suis.

    A plus...euh,espérons que non! (car ça voudrait dire que......lol)
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    ne restaure pas sinon tu vas remettre tes problemes
    pour ceci
    C:\WINDOWS\system32\TFTP4264 - Backdoor:Win32/Spybot.AI -> Infected
    C:\WINDOWS\system32\TFTP4316 - Backdoor:Win32/Rbot -> Infected

    passe par lexplorateur et suppr ceci
    TFTP4264
    TFTP4316
    ----------
    relance hijack coche et fix ceci

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    0
  10. moe
     
    Salut greg, salut balltrap

    En effet c'est déjà plus engageant lol

    Comme te le dit balltrap, vire les 2 fichiers trouvés par rav et ne reactive pas la restau systeme sans avoir refait un scan chez rav pour confirmer que tout est ok.

    Mais il me semble que tu as fixé les lignes 04 concernant ton AV, et c'est plus embetant.
    Si tu as fixé chaques lignes une par une, tu peux restaurer celles d'avast en lancant hijack et en cliquant sur "view the list of backups"
    Sinon, reinstalle proprement avast.

    Pour les mises à jours et SP2, c'est ici:
    http://v5.windowsupdate.microsoft.com

    Pour les firewalls:
    http://www.firewall-net.com
    http://sebsauvage.net/safehex.html

    a+
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    en effet bien vue moe
    tu vas bien
    0
  12. greg3 Messages postés 106 Statut Membre
     
    Bilan des courses:

    - ravantivirus:
    Scanned
    ============================
    Objects: 19550
    Directories: 1631
    Archives: 940
    Size(Kb): 21000
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 35

    - log hijackis:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:04:51, on 06/03/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Soft4Ever\looknstop\looknstop.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\hijack\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
    O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

    Quel changement, n'est- ce pas?
    Merci de vos contributions et merci à ce forum TRES UTILE (notamment pour les amateurs de mon genre qui par le biais de ce forum non seulement peuvent résoudre les problèmes liés aux virus mais aussi s'initier quelque peu à la chasse aux virus!)
    Merci Moe pour la précision quant à la ligne 04 AVAST que j'ai fixé par maladresse: je ne parvenais plus à mettre en route AVAST de manière permanente et je me suis pris la tête pendant une heure pour trouver comment faire...avant de tomber sur ton dernier message!

    Il me reste une dernière question: qu'est- ce que je fais des backups de hijackhis? (je les efface?).

    Peut- etre à un de ces quatre, des fois que je ne parviens pas à éradiquer un prochain virus...

    Bonne journée... et bonne continuation!
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    tu peut les garder pour l instant et si pas de soucis au bout de quelque jours tu suppr
    0
  14. mama
     
    En gros tu veux des bons anti-virus ? ... il y a avg free edition, et je me souvient plus des autres desole ( vien visiter mon sites... www.barakogifs.fluo.net ... merci ) a+
    0