Problème d'exécution de programmes [Résolu/Fermé]

Signaler
-
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
-
Bonjour,
j'ai récemment été infecté par le virus "av.exe", le virus se faisait passer pour un antivirus windows vista. Je ne sais pas trop comment mais le virus a apparemment disparu de mon ordinateur...
Mais depuis je ne peux plus ouvrir mes programmes normalement. A chaque fois que j'en ouvre un, une fenêtre apparait avec marqué "choisissez le programme à utiliser pour ouvrir ce fichier"
Si j'arrive a trouver le bon programme ça marche mais je ne peux pas cocher la case "Toujours utiliser le programme sélectionné pour ouvrir ce type de fichier".
Pour d'autre programme il y a juste une fenêtre avec "application introuvable" dessus.

voici les rapports RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by vali at 2010-02-23 18:10:44
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 295 GB (63%) free of 469 GB
Total RAM: 6142 MB (76% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:10, on 23/02/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Windows\system32\HidService.exe
C:\Windows\SysWOW64\IoctlSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Users\vali\Documents\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0609&m=imedia_s3710
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0609&m=imedia_s3710
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0609&m=imedia_s3710
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (file missing)
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [ISTray] "C:\Program Files (x86)\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\vali\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: McAfee Security Scan.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files (x86)\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Packard Bell Services - C:\Windows\SYSTEM32\HidService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\SysWOW64\IoctlSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

10 réponses

Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Bonjour,

Télécharge FixEXE.reg et clic dessus.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{409fa969-ed52-11de-b02f-001f16f1ac8f}]
.exe - open - "C:\Users\vali\AppData\Local\av.exe" /START "%1" %*

*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).

*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.

*Double clique sur le raccourci UsbFix présent sur ton bureau.

*Choisi l'option 1 ( Recherche )

*Laisse travailler l'outil.

*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Merci de ton aide!
Voilà le rapport UsbFix

############################## | UsbFix V6.046 |

User : vali (Administrateurs) # PC-DE-VALI
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:01:35 | 23/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 64-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 458,46 Go (288,51 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 458,41 Go (405,65 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
F:\ -> Disque amovible # 1,92 Go (1,84 Go free) # FAT
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 465,65 Go (379,33 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Windows\system32\HidService.exe
C:\Windows\SysWOW64\IoctlSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Users\vali\Desktop\Notepad2.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\conime.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{409fa969-ed52-11de-b02f-001f16f1ac8f}
shell\AutoRun\command =J:\LaunchU3.exe

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
LaunchU3.exe ,c'est normal,ce n'est pas une infection.

Pourrait tu aller dans le menu démarrer/Acessoires/Exécuter...:Regedit

Aller a cet endroit:

[HKEY_CURRENT_USER\
software\
microsoft\
windows\
currentversion­\
explorer\
mountpoints2\

Et supprimer cette clé avec clic droit/Supprimer:

{409fa969-ed52-11de-b02f-001f16f1ac8f­}]
.exe - open - "C:\Users\vali\AppData\Local\av.exe" /START "%1" %*


Et vérifier dans ton système que ce fichier n'existe plus:C:\Users\vali\AppData\Local\av.exe
J'ai supprimé {409fa969-ed52-11de-b02f-001f16f1ac8f }
av.exe n'existe plus, j'avais vérifié et je viens de reregarder.

Mes programmes s'ouvrent maintenant sans problème! Merci beaucoup!!!!
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Ceci aussi semble très suspect (si je tape ce code sur google).

[HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Uninstall]
-->MsiExec /X{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}

Supprimer aussi ce Dossier

C:\ProgramData\{52AC600B-5800-407E-99FF-83CD0669760B}
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821 > vali
Peut ètre que MsiExec /X ne sont pas inclus dans le nom,juste {95FC26FB-19FD-4A96-BBB1-B1062E8648F5}

Écrit en bleu,ça veut dire qu'il est conmpressé par le système,si il est vide,il ne doit pas ètre dangeureux,mais il est suspect et je ne sait pas a quoi il aurrait bien pu servir..
>
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021

J'ai regardé avec juste {95FC26FB-19FD-4A96-BBB1-B1062E8648F5} et je ne trouve pas non plus....

Pour le dossier {52AC600B-5800-407E-99FF-83CD0669760B} c'est pour Ad-Aware.
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821 > vali
Ce n'est peut ètre rien de grave,

Ouvre regedit et clic sur ordinateur (le premier icone en haut) et tapc Ctrl+F pour lancer une recherche et tente de le trouver.

Pour comprendre un peu plus,je t'avoue que je ne sait pas trop ce que c'est.
>
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021

Il l'a trouvé dans C:\Windows\Installer\{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}
Je suis allez voir le dossier dedans il y a "A_Ball_Trans......." l'icône c'est a "a" avec un point rouge dessus....je sais pas ce que c'est...
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821 > vali
Ok,j'ai trouvé et c'est OK https://www.google.ca/search?hl=fr&source=hp&q=A_Ball_Trans.......&btnG=Recherche+Google&meta=&gws_rd=ssl

Nvidia PhysX ... A pour AGEIA Technologies.
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Ca doit ètre correct,malgré ma méfiance.

A ne pas toucher.
Je crois que je suis maudite.....j'ai de nouveau le virus "av.exe". Je comprend pas...il était plus là!!!
Je ne sais pas comment le supprimer. help?
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821 > vali
Télécharge RegRun Reanimator (Par Greatis Software).

Installe le.

Clic sur scan for viruses.

Clic sur scan windows startup.

Coche la case "Use deep level scanning once".

Clic sur "Make scan now".

Clic sur la flèche verte "Fix problems".

Si il propose Regguard,répond simplement Non,ou peu importe,c'est a ta discretion.

Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")

Clic sur la flèche verte (en haut a droite) pour l'item suivant

Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt

Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.

Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
>
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021

Ok c'est fait.
Heum j'avais pas vu la fin du message, je continue...
Ok c'est parti.....il y en a 17....

Item Name: .exe
Author: Unknown
Related File: "C:\Users\vali\AppData\Local\av.exe" /START "%1" %*
Type: Main File Extensions


Item Name: av.exe
Author: Unknown
Related File: C:\USERS\VALI\APPDATA\LOCAL\AV.EXE
Type: Running Processes


Item Name: {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}
Author:
Related File: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll
Type: Browser Helper Objects


Item Name: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}
Author:
Related File: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll
Type: Toolbars


Item Name: BJ Language Monitor3_1
Author:
Related File: CNBLM3_1.DLL
Type: Print Monitors


Item Name: slsvc
Author: Microsoft Corporation
Related File: C:\Windows\system32\SLsvc.exe
Type: Auto Services


Item Name: Spooler
Author: Microsoft Corporation
Related File: C:\Windows\System32\spoolsv.exe
Type: Auto Services


Item Name: PCTCore64.sys
Author: PC Tools
Related File: C:\Windows\SYSTEM32\DRIVERS\PCTCORE64.SYS
Type: Drivers



Item Name: nvBridge.kmd
Author: NVIDIA Corporation
Related File: C:\Windows\SYSTEM32\DRIVERS\NVBRIDGE.KMD
Type: Drivers



Item Name: e1y60x64.sys
Author: Intel Corporation
Related File: C:\Windows\SYSTEM32\DRIVERS\E1Y60X64.SYS
Type: Drivers



Item Name: nvhda64v.sys
Author: NVIDIA Corporation
Related File: C:\Windows\SYSTEM32\DRIVERS\NVHDA64V.SYS
Type: Drivers



Item Name: cdd.dll
Author: Microsoft Corporation
Related File: C:\Windows\SYSTEM32\CDD.DLL
Type: Drivers



Item Name: avgntflt.sys
Author: Avira GmbH
Related File: C:\Windows\SYSTEM32\DRIVERS\AVGNTFLT.SYS
Type: Drivers



Item Name: WinRAR.exe
Author: Unknown
Related File: C:\PROGRAM FILES (X86)\WINRAR\WINRAR.EXE
Type: Running Processes



Item Name: shell
Author: Unknown
Related File: explorer.exe
Type: System.ini



Item Name: UserInit
Author: Unknown
Related File: C:\Windows\system32\userinit.exe,
Type: UserInit Value



Item Name: VmApplet
Author: Unknown
Related File: rundll32 shell32,Control_RunDLL "sysdm.cpl"
Type: Winlogon Autostart
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Redémarre le dans le menu démarrer,Programmes,Reanimator,

Clic sur scan for viruses.

Clic sur scan windows startup.

Coche la case "Use deep level scanning once".

Clic sur "Make scan now".

Clic sur la flèche verte "Fix problems".

Et choisit "Get it out" pour ceux ci et confirme et a la fin,clic sur "Reboot" plutot que "Exit" :

Item Name: .exe
Author: Unknown
Related File: "C:\Users\vali\AppData\Local\av.exe" /START "%1" %*
Type: Main File Extensions


Item Name: av.exe
Author: Unknown
Related File: C:\USERS\VALI\APPDATA\LOCAL\AV.EXE
Type: Running Processes

Met a jour Malwarebytes et fait une analyse complète,

Supprime ce qu'il trouve,

Nettoieavec CCleaner Incluant "Vieilles données du prefetch" et décoche "Effacer uniquement les fichiers plus anciens que 24 heures".

Coche toutes les cases de ATF-Cleaner et clic sur "Empty selected".

Et finalement,Purge tes points de restauration système comme indiqué ici:
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Dit moi ensuite si tout va bien.


Garde le fichier FixExe.reg au cas ou.



EDIT:et important,n'ouvre aucune clé USB ou périphérique USB ou il est possible d'écrire dessus avant d'avoir analysé avec USBFix,Malgré qu'on ait pas trouvé de fichier AUTORUN.INF dans ton analyse,il pouvait venir d'ailleur,mais vérifie les quand mème.

Si il trouve des infections,utilise l'option 2.

Et affiche tes extensions de fichiers dans les options de l'explorer et tes fichiers pour voir si aucun périphérique ne contient de fichier .exe suspect ou Autorun.inf.

Chose a faire,fait clic droit/Explorer pour ouvrir un disque,ça empèche d'exécuter un .exe par le billet d'un Autorun.
L'analyse de Malwarebytes vient de se terminer. Il a trouvé 2 éléments:

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.


Je supprime? Je sais que tu as dis de supprimer ce qu'il trouvait mais je voulait être sûre.
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821 > vali
Je crois que pour le deuxième,j'ai Vista 64 bit et je le laisse comme ça,c'est normal comme détection de la part de malwarebytes sur Vista 64 bit,a toi de voir,

Je ne vois pas très bien ce que ça change,

Le premier en haut,il faut le supprimer.
Là je suis sur CCleaner.
Je vois pas "Effacer uniquement les fichiers plus anciens que 24 heures"
Et je voulais savoir si il fallait que je décoche des choses dans l'onglet "Applications" genre "adobe reader" ou "office 2007"...parce que si j'ai bien compris ça va me virer tout ça....
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821 > vali
Dans options avancées,Effacer uniquelqmt les fichiers temporaires de Windows datant de plus de 24 heures.

Pour Adobe ou Office,Je ne sait pas,peut ètre que ça va vider l'historique.

Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Par simple prudence,pourrait tu faire analyser ce fichier sur VirusTotal,

Le faire réanalyser si il l'a déja été,puis me donner le lien après l'analyse,

C:\Windows\SYSTEM32\DRIVERS\AVGNTFLT.SYS

Je sait que ce fichier appartient normalement a Avira Antivir,mais je suis étoné de voir un site normalement plutot assez fiable parler d'un Rootkit.

http://www.prevx.com/filenames/X66270257617100188-X1/AVGNTFLT.SYS.html

J'ai ce mème fichier et ça m'étonnerais beaucoup que ça en soit un.

Quand je vais sur VirusTotal je ne trouve pas le fichier alors que j'ai fais la manip directement sur mon C: et là, le fichier est bien là...
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Ok,laisse faire,moi aussi.

Ce fichier n'est pas si suspect
Ok, bon j'ai plus qu'a faire USBFix....
Voilà le rapport de USBFix. Je crois que tu ne l'as pas demandé mais je le met quand même.

Cette partie là devient trop compliqué pour mon petit cerveau fatigué:
"Et affiche tes extensions de fichiers dans les options de l'explorer et tes fichiers pour voir si aucun périphérique ne contient de fichier .exe suspect ou Autorun.inf.

Chose a faire,fait clic droit/Explorer pour ouvrir un disque,ça empèche d'exécuter un .exe par le billet d'un Autorun."

############################## | UsbFix V6.046 |

User : vali (Administrateurs) # PC-DE-VALI
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 02:50:10 | 25/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 64-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 458,46 Go (359,89 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 458,41 Go (405,54 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 465,65 Go (379,33 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\ACER\Preload\Autorun\DRV\Fiji Keyboard\ABoard.exe
C:\Program Files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files (x86)\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Winamp\winampa.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\ACER\Preload\Autorun\DRV\Fiji Keyboard\AOSD.exe
C:\Windows\system32\HidService.exe
C:\Windows\SysWOW64\IoctlSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\vali\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\conime.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Aucune infection.
Wouhou! Ca veut dire que je peux aller me coucher?!........on va dire que oui!
Merciiiiiii mon ami!
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Ya pas de quoi,

Si tu veut désinstaller Reanimator,utilise Uninstall Partizan dans le programme avant de le désinstaller

Et sur Windows 64 bit,il faut remettre cette clé manuellement dans le registre:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "BootExecute"=
autocheck autochk *

--
Aide toi et le helper t'aidera.
Petite question...Comment on ajoute une clé manuellement dans le registre?
Messages postés
28521
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
20 juin 2021
3 821
Si tu parle de -> autocheck autochk *

Elle est déja la sauf que parfois,Reanimator ajoute Partizan ce qui fait ceci et les versions 64 bit de Windows je ne sait pas pourquoi éditent cette clé un peu n'importe comment et ça finit pas donner un message "£ Program not found skipping autocheck" mais ce n'est pas grave.

Quand tu a cliqué sur FixEXE.reg,tu a ajouté une clé de registre aussi,suffit de l'ouvrir avec le bloc note pour voir quelle clés.

Mais,certaines clés ne sont pas interpretées de la mème façon.

Si tu veut le faire avec un fichier .REG c'est comme ceci:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,\
00,00