virus avast désactivéFermé

Question

Bonjour,

En ouvrant un fichier compressé puis un fichier exe, j'ai vu que l'application lancée avait des répercussions inattendues: désactivation immédiate de l'antivirus avast.
Afin de limiter les problèmes, j'ai immédiatement débranché la freebox pour ne pas être infesté davantage.
J'ai essayé de relancer avast, de le désinstaller , réinstaller, rien n'y fait.
Je suis bloqué.

Je n'ai pas remis internet sur l'ordi de peur de me faire infesté par davantage de virus.
Que dois je faire? Je n'ai aucune idée du virus par lequel j'ai été infesté.
En vous remerciant par avance pour votre aide.

Bonne année et à bientôt.
Eric

M4rs · Answer

J'ai un très bon conseil pour toi : Achète un antivirus !

-Pour en acheter un, c'est pas compliqué, tu vas chez carouf ou Leclerc et tu choppe Kasperski par exemple. En moyenne ça coûte 50€. Tu peux te dire que c'est cher, mais un réparateur de PC, c'est bien plus cher, même pour un virus.

- Pour information, Avast est complètement inefficace. Comme tout les antivirus gratuits.

Si tu ne veut pas suivre mes conseils je te souhaite de bonnes factures exorbitantes de réparateurs.

Bon courrage.  

                                                                                              M4RS

goldorak0777 · Answer

Merci pour ton conseil mais cela fait bien longtemps que je travaille avec cet antivirus et je n'ai jamais eu de problème avec. 
Je ne cherche pas une proposition commerciale quelque soit le produit mais en avant mais une aide...
Cordialement
Eric

goldorak0777 · Answer

Tout d'abord, merci à toi de répondre à ce post et meilleurs voeux pour cette nouvelle année.

Quand j'essaye de redémarrer avast, il me met que ashAvast.exe n'est pas une application win32 valide... ce qui me conforte sur le fait que ce soit un virus que j'ai du activer.

En  te remerciant par avance pour ton aide.
Eric

Utilisateur anonyme · Answer

Le bagle s'attrape en téléchargeant des faux cracks par le P2P, les cracks sont un vrai danger et sont sources d'infections. Le bagle fait des dégats: il neutralise le fonctionnement des logiciels de sécurité, tel que l'anti-virus, qui va se retrouver corrompu, il supprime la clé safeboot (mode sans échec). Eviter de redémarrer le PC en mode sans échec par msconfig, car le PC redémarrerai en boucle sans pouvoir accéder en mode normal

&#9654; Télécharge FindyKill de Chiquitine29 sur ton bureau : 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
Déconnecte toi et ferme toutes applications en cours
 
• Double clique sur Setup.exe pour lancer l'installation avec les paramètres par défaut 
• Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
• Sélectionne l'option  F  pour français, puis appuie sur la touche entrée 
• Sélectionne l'option  1  (recherche), puis appuie sur la touche entrée 

&#9654; Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

goldorak0777 · Answer

Ok, dès qu'il a fini, je poste le rapport...

goldorak0777 · Answer

Voici le rapport demandé:


############################## | FindyKill V5.023 |

# User : Administrateur (Administrateurs) # NOM-69PXTZSC526
# Update on 31/12/2009 by El Desaparecido
# Start at: 23:24:09 | 05/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1368 [VPS 100105-0] 4.8.1368 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 144,25 Go (17,84 Go free) [HP_PAVILION] # NTFS
# D:\ # Disque fixe local # 4,79 Go (1,06 Go free) [HP_RECOVERY] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 488,84 Mo (300,97 Mo free) # FAT
# L:\ # Disque amovible
# R:\ # Disque virtuel # 31,86 Mo (31,86 Mo free) [RamDisk] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Arcadyan Wireless\pctwpasv.exe
C:\Program Files\PostgreSQL\8.2\bin\pg_ctl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\WINDOWS\ehome\ehtray.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"  (2488)

################## | C: |

Présent ! D:\autorun.inf  

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\6412296.EXE-2BA1BE10.pf  
Présent ! C:\WINDOWS\Prefetch\6415656.EXE-0346A205.pf  

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\srosa2.sys  
Présent ! C:\WINDOWS\system32\wfsintwq.sys  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Administrateur\Application Data |

Présent ! C:\Documents and Settings\Administrateur\Application Data\drivers  
Présent ! C:\Documents and Settings\Administrateur\Application Data\drivers\downld  
Présent ! C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe  

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet004\Services\srosa]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
Présent ! [HKCU\Software\bisoft]  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Présent ! [HKU\S-1-5-21-1873109827-3866848304-1202861476-500\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Présent ! [HKU\S-1-5-21-1873109827-3866848304-1202861476-500\Software\bisoft]  
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
Présent ! [HKU\S-1-5-21-1873109827-3866848304-1202861476-500\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Administrateur\Bureau\holdem\HM-Keygen(x86).exe"  
20/06/2008 21:37 |Size 327680 |Crc32 5c9383e0 |Md5 d48423cec5581c0a6949191644466578  
 
"C:\Documents and Settings\Administrateur\Bureau\holdem manager\keygen.exe"  
07/11/2008 01:32 |Size 210056 |Crc32 d715026f |Md5 982b23a792cc99ba658fcc9f88910bf8  
 
"C:\Program Files\Steinberg\Cubase SX\CRACKSX2.exe"  
03/10/2003 10:54 |Size 17811 |Crc32 76dfecde |Md5 f08252d9500a47e27273c5bb49abae33  
 

################## | ! Fin du rapport # FindyKill V5.023 ! |

goldorak0777 · Answer

Voilà, j'ai fait tout ce que tu m'as dit
Voici le nouveau rapport...


############################## | FindyKill V5.023 |

# User : Administrateur (Administrateurs) # NOM-69PXTZSC526
# Update on 31/12/2009 by El Desaparecido
# Start at: 23:41:52 | 05/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1368 [VPS 100105-0] 4.8.1368 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 144,25 Go (17,84 Go free) [HP_PAVILION] # NTFS
# D:\ # Disque fixe local # 4,79 Go (1,06 Go free) [HP_RECOVERY] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 488,84 Mo (300,95 Mo free) # FAT
# L:\ # Disque amovible
# R:\ # Disque virtuel # 31,86 Mo (31,86 Mo free) [RamDisk] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\ehome\ehRec.exe
C:\Program Files\Arcadyan Wireless\pctwpasv.exe
C:\Program Files\PostgreSQL\8.2\bin\pg_ctl.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\Program Files\PostgreSQL\8.2\bin\postgres.exe
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\DW20.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Supprimé ! D:\"autorun.inf"  

################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\Prefetch\6412296.EXE-2BA1BE10.pf  
Supprimé ! C:\WINDOWS\Prefetch\6415656.EXE-0346A205.pf  
Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-1CED904E.pf  

################## | C:\WINDOWS\system32 |

Supprimé ! C:\WINDOWS\system32\srosa2.sys  
Supprimé ! C:\WINDOWS\system32\wfsintwq.sys  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Administrateur\Application Data |

Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers\downld  
Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe  
Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers  

################## | Références de comparaison Bagle MD5 : |

File : C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe 
-> Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355  
 

################## | Autres suppressions ... |

Supprimé ! "C:\Documents and Settings\Administrateur\Local Settings\Temp\Rar$EX00.156\crac.exe" 
-> Size : 868864 | Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355 

Supprimé ! "C:\Program Files\HP\Digital Imaging\bin\BackupNotify.exe" 
-> Size : 868864 | Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355 

Supprimé ! "C:\RECYCLER\S-1-5-21-1873109827-3866848304-1202861476-500\Dc771.exe" 
-> Size : 868864 | Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040583.sys" 
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040584.sys" 
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040623.sys" 
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040624.sys" 
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040639.exe" 
-> Size : 868864 | Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040653.exe" 
-> Size : 868864 | Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355 

Supprimé ! "C:\System Volume Information\_restore{4080C76C-CC4B-47ED-8B65-ADF9A95CD9EE}\RP322\A0040654.exe" 
-> Size : 868864 | Crc32 : 7cab47fa | Md5 : 0b362860eb2f23141ba72ab936b2b355 

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s]  
Supprimé ! [HKLM\SYSTEM\ControlSet004\Services\srosa]  
Supprimé ! [HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]  
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
Supprimé ! [HKCU\Software\bisoft]  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat / Services / Informations |

# Mode sans echec restauré ! 

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |

Corrompu : C:\Program Files\Alwil Software\Avast4\ashAvast.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashChest.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashDisp.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashLogV.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashQuick.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashServ.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashUpd.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
[Offset = 000000D4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\sched.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\VisthLic.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\VisthUpd.exe
[Offset = 000000F4 - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |

"C:\RECYCLER\S-1-5-21-1873109827-3866848304-1202861476-500\Dc773\HM-Keygen(x86).exe"  
20/06/2008 21:37 |Size 327680 |Crc32 5c9383e0 |Md5 d48423cec5581c0a6949191644466578  
 

################## | ! Fin du rapport # FindyKill V5.023 ! |

goldorak0777 · Answer

je vais aller me coucher et je reprendrai la suite demain après midi car je bosse tôt demain matin
Bonne soirée et à demain.
et encore merci pour ton aide précise et rapide.

Virus avast désactivé

8 réponses

Discussions similaires

Newsletters