Antivirus-gold

Fermé
baptiste1 - 7 juin 2005 à 13:23
 Utilisateur anonyme - 7 juin 2005 à 22:58
Bonjour,

j'ai un problème avec antivirus-gold, comme un certain nombre d'autres personnes apparemment. J'ai regardé les problèmes qu'ils avaient et essayé de résoudre le mien de la même façon, mais ça n'a pas complètement suffi et j'ai toujours en fond d'écran un truc balnc et gris qui clignote et que je peux pas changer (le WARNING de antivirus-gold est parti lui).
Je mets le logfile hijackthis..
Merci de votre aide

Baptiste

Logfile of HijackThis v1.99.1
Scan saved at 13:18:08, on 07/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\SYSINFO\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\qRezix\qrezix.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Baptiste GRASSION\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://frankiz.polytechnique.fr/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = kuzh.polytechnique.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\SYSINFO\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: qRezix.lnk = C:\Program Files\qRezix\qrezix.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115732936421
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2510D893-06FA-4303-84EC-F703110CEE20}: Domain = eleves.polytechnique.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{2510D893-06FA-4303-84EC-F703110CEE20}: NameServer = 129.104.201.53,129.104.201.51
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = eleves.polytechnique.fr,polytechnique.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{2510D893-06FA-4303-84EC-F703110CEE20}: Domain = eleves.polytechnique.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{2510D893-06FA-4303-84EC-F703110CEE20}: NameServer = 129.104.201.53,129.104.201.51
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = eleves.polytechnique.fr,polytechnique.fr
O17 - HKLM\System\CS2\Services\Tcpip\..\{2510D893-06FA-4303-84EC-F703110CEE20}: Domain = eleves.polytechnique.fr
O17 - HKLM\System\CS2\Services\Tcpip\..\{2510D893-06FA-4303-84EC-F703110CEE20}: NameServer = 129.104.201.53,129.104.201.51
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = eleves.polytechnique.fr,polytechnique.fr
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
A voir également:

7 réponses

Utilisateur anonyme
7 juin 2005 à 13:47
Bonjour,

dans le log rien de suspect n'apparait, il suffit qu'une partie du logiciel espion soit erradiqué et le programme suspect ne sera plus listé dans l'hijack (il a ses limites)

juste cette ligne/je doute que ça résolve ton problème

fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

*ferme TOUS les programmes
*fixe les lignes vérolées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque <-- ça ne nuit pas mais c'est en cas d'infection majeure(démarrer/program./accessoires/outils système/répondre OK à TOUT)

- Essaye un scan AV online
http://www.ravantivirus.com (RAV Anti-Virus)

copie/colle le rapport ici (désactive ton AV le temps du scan sur RAV)

- de nettoyer ton Registre avec RegSeeker/ou et/RegSupreme par exemple

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Bonjour,


Merci pour ta réponse,
j'ai essayé à peu près tout mais ça n'a pas suffi. Pour le scan online, j'ai un petit problème, apparemment il veut pas scanner l'ordi en entier, où des répertoires, il faut faire ça fichier par fichier ?
Merci

Baptiste
0
Utilisateur anonyme
7 juin 2005 à 16:57
je sais pas quels sont les fichiers que RAV refuse d'analyser ? alors... peut être des archives de ton AV ou de tes logiciels antispys, ce qui serait normal (messages du genre : fichier protégé/en cours d'exécution/protégé par un mot de passe, etc..)- en principe RAV effectue un scan complet

j'ai toujours en fond d'écran un truc blanc et gris <-- un truc con, as-tu simplement essayé de changer ton fond d'écran à nouveau ?

Les nettoyeurs de registre (Reg.bidule....) n'ont rien donné?


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
baptiste1 Messages postés 5 Date d'inscription mardi 7 juin 2005 Statut Membre Dernière intervention 8 juin 2005
7 juin 2005 à 17:04
Bonjour,


Désolé, le dernier message n'était pas clair.
Les reg. ont aidé je crois et maintenant, quand je vais sur le bureau et licque droit, il affiche de nouveau le menu normal. En théorie, je peux changer le fond d'écran et tout, mais en pratique, rien ne s'affiche.
Pour le scan RAV, j'ai cliqéu sur un lien vers un online-scan et là il me demande de parcourir pour savoir ce que je veux analyser. Le mets quoi ?
(parec que C: ça marche pas à moins que je ne me sois trompé)
0
Utilisateur anonyme
7 juin 2005 à 17:10
sur RAV il doit y avoir une option de full scan - plusieurs options de scan effectivement sont proposées, retente

édit/je viens de tester : clique "scan my pc"

ton Bureau est vide? tu n'as plus d'icônes ni rien? tu as été voir dans tes options d'affichage?


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
baptiste1 Messages postés 5 Date d'inscription mardi 7 juin 2005 Statut Membre Dernière intervention 8 juin 2005
7 juin 2005 à 17:24
Bonjour,

Pour le bureau, il y a bien toutes les icones et tout à l'air de fonctionner correctement, il n'y a que le fond d'écran qui ne veut décidément pas changer.
Pour RAV, à moins que je ne sois décidément très incompétent, je crois qu'ils ont dû changer récemment leur manière de fonctionner et qu'on ne peut pls rien télécharger, juste scanner en ligne des fichiers ponctuels.
Merci
0
Utilisateur anonyme
7 juin 2005 à 19:14
c'est la zute complète ton truc ^_^

ça m'étonne que RAV ne propose plus de scan complet - il y a comme options : scan my pc <-- tu cliques ici?/scan folder/scan files/email/mydocs

Pour ton fond d'écran "furtif", je cale! je ne vois pas d'où ça peut venir à moins qu'il reste encore des traces de ton espion quelque part ??

je connaissais un logiciel de verrouillage (bureau, fichiers, dossiers, icônes, le fond d'écran, etc...) Easy Desktop Keeper mais je ne sais pas s'il existe un équivalent freeware, essaye de faire une recherche - si je trouve qq chose, je t'en ferais part

@+


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
baptiste1 Messages postés 5 Date d'inscription mardi 7 juin 2005 Statut Membre Dernière intervention 8 juin 2005
7 juin 2005 à 19:18
Rebonjour,


ALors, je crois que j'ai compris mon problème avec Rav antivirus, c'est que je suis sur Firefox en fait. J'ai essayé avec IE et ça avait l'air de marcher mais au moment de télécharger les définitions de virus j'obtiens les résultats suivants (et 4 fois de suite...)
Merci pour votre aide...


Please wait to update the virus definitions...
Updating from: http://www.rav.ro
Updating from: ftp://ftp.ro.ravantivirus.com
Updating from: http://www.ravantivirus.com
Updating from: ftp://ftp.us.ravantivirus.com
Updating from: ftp://ftp.ravantivirus.com
Updating from: ftp://ftp.us.ravantivirus.com
Updating from: http://ftp.us.ravantivirus.com
Updating from: ftp://ftp.ro.ravantivirus.com
Updating from: http://ftp.ro.ravantivirus.com
Update failed !
undefined
0
Utilisateur anonyme
7 juin 2005 à 19:24
Après ça : Please wait to update the virus definitions
tu attends bien le "feu vert" ? c'est assez long la mise à jour de leur base virale
tu désactives ton AV?
Regarde que ton firewall ne bloque pas ou que ton niveau de sécu sur IE ne soit pas trop élevé

sinon change d' AV online - tant pis!

http://www.bitdefender.com/scan/licence.php (Bitdefender)
http://security.symantec.com/ssc/home.asp?j=1&langid=fr&venid=sym&plfid=23&pkj=TEBDENTKDDASYUCPDGG (Symantec)
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (Panda Software)
http://housecall.trendmicro.com (Trend Micro)
http://www.secuser.com (Secuser)

@ plouch


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
baptiste1 Messages postés 5 Date d'inscription mardi 7 juin 2005 Statut Membre Dernière intervention 8 juin 2005
7 juin 2005 à 21:48
Voilà,

alors ça a vraiment pas l'air de marcher, mais c'est peut être un problème de firewall, mais ça je peux pas y faire grand chose.
Par contre, j'ai fait un scan avec panda que voici :


Incident Statut Analyse

Adware:Adware/Popuper No Désinfecté C:\WINDOWS\System32\intmon.exe
Adware:Adware/Popuper No Désinfecté C:\WINDOWS\system32\intmon.exe
Virus:W32/Bagle.CA.worm No Désinfecté Dossiers personnels\Éléments supprimés\ \It_about_you.rar[123.exe]


Merci
0
Utilisateur anonyme
7 juin 2005 à 22:58
arghhh!
même avec Panda ça plante...
[Incident Statut Analyse]

Process File: intmon or intmon.exe
Process Name: Unknown Spyware
http://www.liutilities.com/products/wintaskspro/processlibrary/intmon/

recherche/ localisé dans system32--> supprime intmon.exe

je te mets la procédure des familles de suppressions de fichiers au cas où

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés : important
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *

3) passe en mode sans échec : (de préférence)
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) Explorateur Wind./recherche et supprime
déploie-->C:\-->WINDOWS\-->System32\-->vire! intmon.exe

5) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système

--------- ----------- -------------- -------------- --------------- -------------

Virus:W32/Bagle.CA.worm No Désinfecté Dossiers personnels\Éléments supprimés\ \It_about_you.rar[123.exe]

Tu dois avoir dans ton courrielleur, un e-mail dans les "éléments supprimés" mais non détruit - voilà 1 exemple d'un fichier qu'un AV online ne peut analyser (d'où les messages dont tu me parlais plus haut)

Pour info : It_about_you.rar/c'est le Virus Bagle.BF
Bagle.BF est un virus qui se propage par courriel. Il se présente sous la forme d'un message dont le titre et le corps sont vides, accompagné d'un fichier joint avec une extension .RAR .....It_about_you.rar ......
http://www.secuser.com/alertes/2005/baglebf.htm
0