[antivirusgold] De l'aide ?

Fermé
Mat - 12 juil. 2005 à 08:56
 Utilisateur anonyme - 12 juil. 2005 à 13:38
Bonjour à tous,

Je sais que ce problème est récurrent, mais de l'aide serait vraiment la bienvenue pour se débarasser d'antivirus gold....

Surement qu'il n'est pas le seul à être présent puisqu'à chaque démarrage je reçois une alerte d'infection que je met à chaque fois en quarantaine (sans succès puisqu'il revient...). J'ai d'ailleurs toujours ce foutu fond d'écran blanc qui clignote :(

Donc si quelqu'un pouvait m'apporter de l'aide...

voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 08:40:04, on 12/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\msole32.exe
E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Daemon-Tools\daemon.exe
E:\AVPersonal\AVGNT.EXE
E:\Program Files\Microsoft AntiSpyware\gcasServ.exe
E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
E:\Crazy Browser\Crazy Browser.exe
E:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\CTsvcCDA.EXE
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\system32\wuauclt.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] E:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpySweeper] "E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - E:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe


Je tourne sous Windows Xp familial SP2 (antivir gold est arrivé juste après le redémarrage de l'installation du sp2)
radeon 9800pro 128mo
512mo de RAM
Athlon 2800plus
Asus a7n8x deluxe

D'avance, merci :)

13 réponses

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
12 juil. 2005 à 08:58
salut,

charge celà egalement,

telecharge ceci (Un grand merci à Moe, S!Ri et balltrap pour cet outil)
:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe
lance et choisit l'option 1.

colle le log ici
0
Salut Jean,

Merci de la rapidité de ta réponse :-)


Voici donc le log :

SmitFraudFix v0.7

Rapport fait à 9:01:01,87 le 12/07/2005
Executé à partir de E:\hijack
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS

E:\WINDOWS\sites.ini PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32

E:\WINDOWS\system32\hhk.dll PRESENT !
E:\WINDOWS\system32\hp????.tmp PRESENT !
E:\WINDOWS\system32\intmon.exe PRESENT !
E:\WINDOWS\system32\msole32.exe PRESENT !
E:\WINDOWS\system32\ole32vbs.exe PRESENT !
E:\WINDOWS\system32\oleadm.dll PRESENT !
E:\WINDOWS\system32\wp.bmp PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


A bientot.
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
12 juil. 2005 à 09:14
OK alors tu vas faire ceci:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance
SmitFraudFix

et lance l'option 2

accepte tout y compris nettoyage registre.

redemarre puis refait un log hijack.

Jean
0
Bon bon bon... je sais que ca va sembler assez incroyable, voir ridicule.

Mais impossible de redémarrer en mode sans echec... (et pourtant j'ai martelé la touche F8 comme pas possible !)
L'écran se bloque au démarrage pendant plusieurs secondes sur :

push ctrl + S or F4 to enter RAID utility avec une charmante voix qui me dit : "no floppy disk detected" ce qui est normal puisqu'il n'y en a pas ^_^

une fois que l'écran disparait ca passe au "verifying DMI ... etc" et ca démarre..



J'ai hésité à faire les manips que tu disais en démarrage normal, mais je me suis dis que c'était mieux de te demander ton avis auparavant.. Alors que dois-je faire ? Y-a-t-il un autre moyen de démarrer en mode sans echec ou est-ce juste moi qui ne suis pas doué ?

merci encore de ton aide
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Rebonjour !


Finalement j'ai redémarré en mode sans echec via msconfig
J'ai donc fait les manips que tu m'as demandé et voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 10:35:49, on 12/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Souris\MulMouse.exe
E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
E:\Program Files\Microsoft AntiSpyware\gcasServ.exe
E:\Daemon-Tools\daemon.exe
E:\AVPersonal\AVGNT.EXE
E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
E:\Program Files\Messenger\msmsgs.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
E:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
E:\UltimateZip 2.7\uzqkst.exe
E:\Program Files\Netropa\Onscreen Display\OSD.exe
E:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\CTsvcCDA.EXE
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
E:\AVPersonal\GUARDGUI.EXE
E:\WINDOWS\system32\wuauclt.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Versato] E:\Souris\MulMouse.exe
O4 - HKLM\..\Run: [Trickler] "e:\documents and settings\propriétaire\local settings\temp\gain_trickler_3202a.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] E:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [SpySweeper] "E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "E:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: UltimateZip Quick Start.lnk = E:\UltimateZip 2.7\uzqkst.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - E:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe


L'écran blanc a disparu (enfin :) ) mais antivir personal a détecté un virus :/ dont voici la description :


E:\WINDOWS\TEMP\MC22.TMP

Contains signature of the SPR/Madtol.C program



A noter qu'avant le nettoyage de registre, le fix que tu m'a dis de lancer a été incapable de supprimer msole32.exe

J'attend de tes nouvelles pour voir ce qu'il convient de faire. Merci :)
0
Utilisateur anonyme
12 juil. 2005 à 11:32
salut

en mode sans echec, lance hijackthis, coche et fixe:
O4 - HKLM\..\Run: [Trickler] "e:\documents and settings\propriétaire\local settings\temp\gain_trickler_3202a.exe"

et vide le contenu de ces dossiers :
E:\documents and settings\propriétaire\local settings\temp
E:\WINDOWS\TEMP

redemarre normallement et repasse ton av

pour le mode sans echecs, il faut que tu laisse passer l'ecran du bios et tu tape sur f8 juste avant l'ecran de chargement de windows
si tu tape trop vite sur f8, tu atterris dans les prarametres du bios

a+
0
Salut,

Merci de ton aide Moe.


Je pense que ca doit être bon maintenant,

Pour s'en assurer :


Logfile of HijackThis v1.99.1
Scan saved at 12:49:26, on 12/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\Program Files\Microsoft AntiSpyware\gcasServ.exe
E:\Daemon-Tools\daemon.exe
E:\AVPersonal\AVGNT.EXE
E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
E:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\CTsvcCDA.EXE
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\system32\wuauclt.exe
E:\hijack\HijackThis.exe
E:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SpySweeper] "E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - E:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
0
Utilisateur anonyme
12 juil. 2005 à 13:00
salut mat

Pour moi c'est ok, et de ton coté, tout est normal ?
tu peux refaire l'option 1 du fix (rechercher), histoire de voir si tout à été supprimé.
0
Rebonjour,

Voici les résultats du fix, comme demandé. Il n'indique rien d'anormal (enfin je crois :) )

Par contre, au démarrage, Av Guard me signale toujours qu'un fichier temp contient la signature de :

E:\WINDOWS\TEMP\MC22.TMP

Contains signature of the SPR/Madtol.C program


Et voici le log :


SmitFraudFix v0.7


Rapport fait à 12:58:43,81 le 12/07/2005
Executé à partir de E:\hijack
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Que faire pour le matdol ?
Encore merci pour ton temps Moe, ainsi que pour celui de Jean :)
0
Utilisateur anonyme
12 juil. 2005 à 13:21
salut

Pour madol, je crois que ton probleme viens d'une incompatibilité entre kav et spysweeper, rien de grave

lis le post de richardvannie ici:
http://forum.kaspersky.com/index.php?showtopic=511

a+
0
Bonjour,

Un grand merci à tous les deux pour vos conseils, votre patience et votre disponibilité :)))
Ca fait vraiment du bien de retrouver son pc comme avant ! Vous pouvez être fiers de vous, vous venez de faire un heureux :P


Bonne continuation,
Mat.
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
12 juil. 2005 à 13:30
soit le bienvenu et merci de tes propos.

moteur de notre passion.

Jean
0
Utilisateur anonyme
12 juil. 2005 à 13:38
vraiment content pour toi !!

et merci pour tes encouragements.

a+
0