bloqué aussi par AV securité suite Résolu/Fermé

Question

Bonjour, 

voila je suis en lutte avec mon PC depuis maintenant 2h à cause de ce problème qui à l'air d'infecté plusieurs personne en ce moment.

antivirus habituel : Avira antivirguard
Malwarebytes antimalware

soudainement j'ai eu moult message " Application cannot be executed. The file wscntfy.exe is infected, do you want to activate your antivirus software now ?" le nom de fichier infecté varie souvent.

Actuellement je n'arrive que a lancer firefox, telecharger mais sans pourvoir installer la plupart du temps.

J'ai chercher plusieurs tuto mais à chaque fois quand il faut lancer tel programme, moi je n'y arrive pas car "wxxxxxxxmachin".exe est infecté.

Je post donc une fois sur cet ordi pour vous linkez le resultat de rkill que j'ai obtenu ( grace a qqun qui a le meme probleme apparemment quelques lignes plus bas ) avant de débrancher le net de ce PC, je prendrais le relais par un mac à coté.

je vais essayer de relancer malwarebytes au redémarrage pour un scan complet.

si vous avez des idées, n'hesitez pas, je mettrais le log ici ensuite.


This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as utilisateur on 19/06/2010 at 14:44:15. 


Processes terminated by Rkill or while it was running: 


C:\Documents and Settings\utilisateur\Local Settings\Application Data\hsukuaycd\mowttmytssd.exe
C:\Documents and Settings\utilisateur\Bureau\Téléchargés\rkill.exe


Rkill completed on 19/06/2010  at 14:44:16. 





Configuration: Windows XP / Firefox 3.5.9

Xplode · Answer

Salut,

Une fois que tu as lancé rkill, il faut de suite lancer malwarebyte's. Si tu redémarres, ca ne sert à rien puisque les processus infectieux seront de nouveau chargés.

Doppe · Answer

voila analyse terminée !

le log : 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4215

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/06/2010 16:20:36
mbam-log-2010-06-19 (16-20-36).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 269189
Temps écoulé: 1 heure(s), 6 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdcnhybe (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdcnhybe (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\utilisateur\Local Settings\Application Data\hsukuaycd\mowttmytssd.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjr.exe (Trojan.FraudPack) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Temp\bxwn.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjp.exe (Trojan.FraudPack) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjq.exe (Trojan.FraudPack) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Temp\eaxmocsrnw.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\AJAT0919\gkbjdlwqlt[1].htm (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Fbusya.exe (Trojan.FraudPack) -> No action taken.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.


j'ai suprimé ce qui été proposé et ai redémarré à la demande de malwarebyte !

une autre analyse est elle à effectuer selon toi ?
pour l'instant, l'ordi à l'air stable mais je ne tente rien à part poster ce message !

Xplode · Answer

On va vérifier qu'il ne reste rien :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Dopple · Answer

voici ce lien apres l'analyse :

	https://www.cjoint.com/?gtqHCJ2XJ0

Xplode · Answer

Ok, une toolbar (ask ) à virer :

-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de  C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

Dopple · Answer

voila le log de AD-Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 17/06/10 à 18:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:41:40 le 19/06/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
utilisateur, UTILISAT-869CDF ( ) 
 
============== ACTION(S) ==============

Service: "ASKService" Stoppé et supprimé 
Service: "ASKUpgrade" Stoppé et supprimé 

0,Dossier supprimé: C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\l3x2dnct.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
0,Dossier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\AskBarDis
0,Dossier supprimé: C:\Program Files\AskBarDis

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\l3x2dnct.default\Prefs.js --
Ligne supprimée: user_pref("extensions.snipit.history_query", "portal=ASKURL=hxxp://www.ask.com/web?q=portal&qsrc=287... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
0,Clé supprimée: HKLM\Software\AskBarDis
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AskBarDis
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.9 (fr)] **

-- C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\l3x2dnct.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\utilisateur\Bureau\Téléchargés
browser.download.lastDir, C:\Documents and Settings\utilisateur\Bureau\Nouveau dossier (2)
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.9

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 40 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 19/06/2010 (1006 Octet(s)) 

Fin à: 16:44:00, 19/06/2010 
 
============== E.O.F ============== 





merci pour la rapidité de tes réponses en plus ^^

Xplode · Answer

Bien, fait maintenant un nouveau rapport ZHPDiag

Dopple · Answer

ok merci !

voila donc le link du nouveau scan avec ZHPDiag :

https://www.cjoint.com/?gtraH7pH4f

Dopple · Answer

je sais pas si c'est important mais dans le doute, lisant les lignes :

detected MBR rootkit hooks:
\Driver\atapi -> 0x8ac14b78
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
Use "Recovery Console" command "fixmbr" to clear infection !
Use "ZHPFix" command "MBRFix" to clear infection !

Message: Certains émulateurs de CD/DVD peuvent hooker le pilote atapi de façon légitime. Voici quelques émulateurs : 
Message: Alcohol xx%, CDSpace, Circle Virtual CD, CloneCD, Daemon Tools, Virtual CloneDrive, Virtual CD, VirtualDrive, WinCDEmu,...


je possède Daemon tools installé !

Xplode · Answer

C'est déjà plus propre :p
On va supprimer les restes à l'aide d'un script :

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le contenu de ce fichier dans l'encadré blanc puis clique sur [Ok]

[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Dopple · Answer

merci encore !

voila ce log :

ZHPFix v1.12.3108  by Nicolas Coolman - Rapport de suppression du 19/06/2010 17:10:17
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
detected MBR rootkit hooks:  => Format Non supporté
\Driver\atapi -> 0x8ac14b78  => Format Non supporté
Warning: possible MBR rootkit infection !  => Format Non supporté
user & kernel MBR OK  => Format Non supporté
Use "Recovery Console" command "fixmbr" to clear infection !  => Format Non supporté
Use "ZHPFix" command "MBRFix" to clear infection !  => Format Non supporté
Message: Certains émulateurs de CD/DVD peuvent hooker le pilote atapi de façon légitime. Voici quelques émulateurs :  => Format Non supporté
Message: Alcohol xx%, CDSpace, Circle Virtual CD, CloneCD, Daemon Tools, Virtual CloneDrive, Virtual CD, VirtualDrive, WinCDEmu,...  => Format Non supporté


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 8


End of the scan

Xplode · Answer

Recommence, tu n'as pas copié le contenu du lien que je t'ai passé.

Dopple · Answer

ah oui en effet j'avais mal lu.

voila le log : https://www.cjoint.com/?gtrsC3i2oP

Xplode · Answer

Parfait, un nouveau ZHPDiag et je crois qu'on va pouvoir finaliser.

Dopple · Answer

ok ! 

voila donc le log du dernier tour avec ZHPdiag :

https://www.cjoint.com/?gtrzYYEx0K

Xplode · Answer

Ok on termine :


-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".


:reg

[-HKLM\Software\Trad-FR] 

:files

C:\Program Files\DAEMON Tools Toolbar 

:commands

[emptytemp]



[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.


-----------------------------------------

Ensuite tu désinstalles ESET Online Scanner puis tu fais un scan complet avec Antivir et tu me postes le rapport.

Dopple · Answer

voila ce log :

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Trad-FR\ deleted successfully.
========== FILES ==========
C:\Program Files\DAEMON Tools Toolbar folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 5262110 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: utilisateur
->Temp folder emptied: 5980970889 bytes
->Temporary Internet Files folder emptied: 263761694 bytes
->Java cache emptied: 61013225 bytes
->FireFox cache emptied: 53943846 bytes
->Google Chrome cache emptied: 39831290 bytes
->Flash cache emptied: 43731 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 218624 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3240967 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 49520806 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6 161,00 mb
 
 
OTM by OldTimer - Version 3.1.12.2 log created on 06192010_173136

Files moved on Reboot...
File C:\WINDOWS	emp\Perflib_Perfdata_a20.dat not found!

Registry entries deleted on Reboot...















Par ailleurs, a ton avis, l'antivirus que je possède est il vraiement fiable ? (meme si j'imagine que 100% de fiabilité ne doit pas exister )
Dois-je effacer mes fichiers récemment téléchargés/installés ? ou est-ce un virus que j'ai chopé en me balladant sur la toile inopinément ?

Encore un grand merci

Je lance mon antivirus maintenant, ce qui devrait prendre une bonne heure !

Xplode · Answer

Les rogues se choppent généralement en surfant sur le net, via des exploits ( système non à jour )..

Les toolbar sont généralement proposés à l'installation d'un logiciel, et il faut penser à décocher les cases correspondantes car certaines toolbars ( comme la ask ) récupèrent des informations personnelles.

Concernant ton antivirus, antivir est excellent, garde le.

Par prudence, efface quand même tes fichiers récemment téléchargés si tu n'en as plus l'utilité.

J'attend ton rapport d'antivir, après ça, on pourra faire le ménage ( mise à jour du système, suppression des fix etc.. )

Dopple · Answer

ah ok, merci pour ces infos. 




Avant de faire le scan avec antivir je lance la mise à jour ( la deniere date d'avant hier ) , cependant celle-ci se solde par un échec. 

Voila le log : 

Avira AntiVir Personal - Free Antivirus Updater  

Heure de création : Sat Jun 19 17:47:36 2010 


Système d'exploitation: 
Windows XP (Service Pack 3)  [5.1.2600] 

Informations produit : 
Version produit : 9.0.0.75 
Updater : C:\Program Files\Avira\AntiVir Desktop\update.exe 9.0.0.52 
Plug-in : C:\Program Files\Avira\AntiVir Desktop\updext.dll 9.0.0.6 

Répertoire temporaire : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\ 
Répertoire de sauvegarde : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\BACKUP\ 
Répertoire dapos;installation : C:\Program Files\Avira\AntiVir Desktop\ 
Répertoire de l'Updater : C:\Program Files\Avira\AntiVir Desktop\ 
Répertoire AppData : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\ 


[UPD] [INFO] Contrôle en cours pour savoir si des fichiers plus récents sont disponibles. 
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://80.190.143.238/update'. 
[UPD] [INFO] Téléchargement de 'http://80.190.143.238/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://80.190.143.238/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://80.190.143.238/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://62.146.66.178/update'. 
[UPD] [INFO] Téléchargement de 'http://62.146.66.178/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://62.146.66.178/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://62.146.66.178/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://62.146.66.184/update'. 
[UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://perspeak.avira-update.com/update'. 
[UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'. 
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet. 
[UPDLIB] [ERROR] Pas d'autre serveur... 
[UPD] [ERROR] Échec de création de la structure de mise à jour. UpdateLib délivre l'erreur 537. 

Résumé : 
******** 
 0 fichiers téléchargés 
 0 fichiers installés 

 17:47:50 La mise à jour a échoué !




N.B. je surf sur le net avec google chrome habituellement, as-tu un avis sur sa fiabilité ? est-ce qu'il faudrait mieux que je retourne sous firefox selon toi ?

Xplode · Answer

Essaie de suivre ce tutoriel pour mettre à jour manuellement antivir.

Sinon, désinstalle le puis réinstalle le.

Dopple · Answer

Cela a très bien fonctionner, merci pour cette technique de MAJ manuelle que je ne connaissais pas et qui je pense me servira plus d'une fois !

C'est parti pour le systeme scanner, j'ai regarder dans mes rapports, le dernier que j'ai fait ( le 17/06/2010 ) a duré 65 min ^^

A tout à l'heure alors :)

Dopple · Answer

Le scan est enfin terminé, et à retrouver quelques intrus.

Voila le log :

https://www.cjoint.com/?gttj4CeXCG

Xplode · Answer

Aucun problèmes, ces virus étaient dans la restauration système, on va d'ailleurs la purger. On termine avec ceci : -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java [o] Télécharge JavaRa puis décompresse le sur ton bureau. [o] Ouvre le dossier JavaRa puis exécute JavaRa.exe. [o] Clique sur "Search For Updates". [o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search". [o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. [o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". [o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". [o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. 2ème étape : Mise à jour des logiciels [o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> OtCleanIt <-+-+-+-+- [x] Nous allons supprimer les traces des différents outils de désinfection que je t'ai fais utiliser. [x] Télécharge OtCleanIt sur ton bureau. [x] Lance le ( sous vista/7 -> Clic droit puis " Exécuter en tant qu'administrateur " ). [x] Clique sur " CleanUp!" puis sur " Yes ". [x] Tu seras invité à redémarrer ton PC. Au redémarrage, les différents fix auront été supprimé ainsi qu'OtCleanIt. Note : Un tutoriel en images est disponible ici. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur " Analyser ". A la fin de l'analyse, clique sur " Nettoyer ". [o] Rends toi à l'onglet " Registre " puis cliques sur " Chercher les erreurs ". Cliques ensuite sur " Corriger les erreurs séléctionnées ". [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur " Corriger toutes les erreurs sélectionnées " puis sur " Fermer " [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. ------------------- Une fois que tu auras fait tout ça, tu pourras mettre ton post en résolu!

Dopple · Answer

je bloque sur la mise à jour de java !

lorsque je clique sur rechercher, j'obtiens le message suivant :

"Java Update ne peut pas continuer avec les paramètres de connexion internet actifs de votre système. Vérifiez, dans le panneau configuration de Windows, que les paramètres et informations de proxy qui se trouvent sous Option internet-> Connexions sont corrects. "

je suis connecté à ma livebox en ethernet, je n'ai pas regler de paramètres de connexions autres que ceux dans ma livebox.

le logiciel JavaRA me propose également une mise à jour via le site internet de Sun, je vais tenter cette option en attendant.

Dopple · Answer

Voila, il me reste plus que la défragmentation à faire qui ne devrait pas poser de problème !

Un grand merci pour ton aide précieuse et ta patience, en plus de virer ce satané virus ( qui apparement fait pas mal parer de lui en ce moment ) j'ai appris à mieux gérer et entretenir son PC ( ça parait bien compliqué quand on sort d'une éducation apple :p ) !

il me reste plus qu'a savoir comment on indique que le sujet est résolu ? ^^

Dopple · Answer

Un train peut en cacher un autre ! 

il me reste un dernier soucis à régler qui est apparu pendant le nettoyage de mon PC !

des problèmes de connexions internet :(

Quand je lance Google chrome ( mon navigateur par défaut jusque la ) impossible d'acceder à un site web : 
Erreur 102 (net::ERR_CONNECTION_REFUSED) : Erreur inconnue

Alors qu'avec firefox ça marche.

Update checker inscrit "no internet connection" quand je passe ma souris dessus, alorsq que je peux m'en servir qd meme en faisant le click droit, check update and co ( bug présent dés la 1er utilisation )

Les jeux que j'utilise passant par un launcher ( exemple wow ) me marque impossible d'établir une connection ( mais sans passer par le launcher en lançant le jeu, ça marche )

Cela me fait penser au bug que j'ai eu avec la mise a jour de JavaRE en passant par l'outil de JavaRa.

Bref quelques soucis que je ne sais pas comment expliquer. aurais-tu une idée ? 
je n'avais pas ces problèmes encore ce matin, ils se sont "démasqués" au fur et à mesure que nous avons progresser dans le sauvetage de mon ordi. Une séquelle de l'infection ?

Xplode · Answer

Ok, on reprend :


-+-+-+-+-> RSIT <-+-+-+-+-


[x] Télécharge RSIT ( de random/random ) sur ton bureau.

[x] Lance le ( Utilisateurs de vista/seven -> Clic droit puis [Exécuter en tant qu'administrateur] )

[x] Clique sur [Continue] à l'écran disclaimer. Hijackthis va être téléchargé et tu devras accepter la license.

[x] Une fois l'analyse terminée, deux rapports s'ouvriront ( log.txt et info.txt ).

[x] Rends toi sur cjoint.

Note : Les deux fichiers sont sauvegardés dans le dossier C:\rsit.

[x] Clique sur [Choisissez un fichier] et séléctionne le fichier log.txt.

[x] Clique ensuite sur [Ouvrir] puis sur [Créer le lien cjoint].

[x] Renouvelle l'opération mais cette fois ci avec le fichier info.txt.

[x] Poste les deux liens cjoint créés dans ta prochaine réponse.

Note : un tutoriel est disponible ici.

Dopple · Answer

Alors voila le 1er : log.txt

https://www.cjoint.com/?gtwi0xi6Ht


le suivant :  


https://www.cjoint.com/?gtwjrL5pL1



merci encore !

Xplode · Answer

Re,

Suis ces deux manip' :

https://www.commentcamarche.net/informatique/windows/171-verifier-et-reparer-un-disque-dur-avec-chkdsk-sous-windows/
https://www.commentcamarche.net/faq/2743-windows-xp-reparer-la-connexion-reseau-en-ligne-de-commande

Dopple · Answer

J'ai suivi ces 2 liens et réalisé les instructions.

Sur le chkdsk l'opération s'est déroulée sans soucis, a la ifn l'ordi a redémarrer tout seul et je sais pas si il y a un log  a trouver quelque part.

J'ai suivi également le 2 em lien sans soucis, je te met le log obtenu :
https://www.cjoint.com/?gtxQWhgR51

Le problème reste malheureusement inchangé.

Xplode · Answer

Je me penche sur ça et te donne des indications demain !

Bonne fin de soirée, je t'oublie pas t'inquiètes pas ;-)

Xplode · Answer

Salut, je suis de retour.

Essaie ceci pour google chrome :

cliquer sur la petit clef a molette en haut a droite, puis "options" -> "options avancées" -> "modifier les paramètres du proxy" -> aller sur l'onglet "connexion" ->"paramètre réseaux" en bas de la fenêtre et enfin, cocher la case : " détecter automatiquement les paramètres de connexion"

Dopple · Answer

Coucou
je viens justement de trouver la solution en parcourant ce forum !

je ne sais pas pourquoi cette option s'est activée mais en effet via google chrome, j'ai désactiver : "utiliser un serveur proxy pour votre réseau local" et depuis tout remarche, y compris les autres launchers !

en tout ca merci de ton aide encore une fois, un jolie et définitif résolu est donc validé :p 

Heureusement que des gens comme toi aide les gens comme moi sur ce genre de forums, contre ces virus produits vraiement par des personnes qui n'ont rien d'autres à faire que d'embêter et de pourrir les autres. 
encore merci.

Xplode · Answer

Impec alors :-)

De rien, ce fut un réel plaisir.
Bonne fin de soirée à toi, et attention sur le net ! ;-)

Bloqué aussi par AV securité suite

34 réponses

Discussions similaires