Sujet Précédent Sujet Suivant

Virus empêchant installation avira

Fermé
Moma21 Messages postés 5 Date d'inscription dimanche 8 août 2010 Statut Membre Dernière intervention 9 août 2010 - 8 août 2010 à 19:54
Moma21 Messages postés 5 Date d'inscription dimanche 8 août 2010 Statut Membre Dernière intervention 9 août 2010 - 9 août 2010 à 18:29
Bonjour,


Le PC d'une de mes amis a été infecté par un ou des virus qui empêchent l'installation de Avira.

Je vous poste ci-joint le rapport de combofix et vous demande de l'aide.

Merci d'avance

ComboFix 10-08-07.02 - Mira 08/16/2010 20:31:23.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.511.332 [GMT 4.5:30]
Running from: c:\documents and settings\Mira\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\autoply.exe
E:\autoply.exe
F:\autoply.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3360PR
-------\Service_asc3360pr


((((((((((((((((((((((((( Files Created from 2010-07-16 to 2010-08-16 )))))))))))))))))))))))))))))))
.

2010-08-16 00:58 . 2010-08-16 00:58 -------- d-----w- c:\documents and settings\All Users\Application Data\usb-set
2010-08-16 00:58 . 2010-08-16 00:58 -------- d-----w- c:\program files\USB-set
2010-08-15 19:03 . 2010-08-15 19:04 -------- d-----w- C:\UsbFix
2010-08-15 04:46 . 2010-08-15 04:46 -------- d-sh--w- c:\documents and settings\Mira\PrivacIE
2010-08-15 04:41 . 2010-08-15 04:41 -------- d-----w- c:\documents and settings\Mira\Application Data\Malwarebytes
2010-08-15 04:41 . 2010-04-29 11:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-15 04:41 . 2010-08-15 04:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-15 04:41 . 2010-08-15 04:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-08-15 04:41 . 2010-04-29 11:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-15 00:26 . 2010-08-15 00:26 938496 ----a-w- c:\windows\Internet Logs\xDB27.tmp
2010-08-15 00:26 . 2010-08-15 00:26 8704 ----a-w- c:\windows\Internet Logs\xDB26.tmp
2010-08-15 00:26 . 2010-08-15 00:26 8704 ----a-w- c:\windows\Internet Logs\xDB25.tmp
2010-08-15 00:26 . 2010-08-15 00:26 8192 ----a-w- c:\windows\Internet Logs\xDB24.tmp
2010-08-15 00:26 . 2010-08-15 00:26 505344 ----a-w- c:\windows\Internet Logs\xDB23.tmp
2010-08-15 00:26 . 2010-08-15 00:26 8704 ----a-w- c:\windows\Internet Logs\xDB22.tmp
2010-08-15 00:25 . 2010-08-15 00:26 8192 ----a-w- c:\windows\Internet Logs\xDB21.tmp
2010-08-15 00:25 . 2010-08-15 00:25 -------- d-----w- c:\documents and settings\Mira\Application Data\CheckPoint
2010-08-15 00:25 . 2010-08-15 00:25 -------- d-----w- c:\program files\CheckPoint
2010-08-15 00:25 . 2010-08-15 00:25 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-08-15 00:25 . 2010-08-15 00:25 -------- d-----w- c:\program files\Zone Labs
2010-08-15 00:24 . 2010-08-15 00:24 27264 ----a-w- c:\documents and settings\Mira\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-14 23:14 . 2010-08-14 23:14 -------- d-----w- c:\program files\Common Files\Adobe
2010-08-14 23:06 . 2010-08-14 23:06 -------- d-----w- c:\program files\Microsoft.NET
2010-08-14 23:02 . 2010-08-14 23:02 -------- d-----w- c:\program files\Common Files\Java
2010-08-14 23:02 . 2010-08-14 23:02 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-08-14 23:01 . 2010-08-14 23:01 -------- d-----w- c:\program files\Java
2010-08-14 22:58 . 2010-08-14 22:58 -------- d-----w- c:\program files\7-Zip
2010-08-14 22:53 . 2010-08-14 22:52 -------- d-----w- c:\program files\NVIDIA Corporation
2010-07-09 22:38 . 2010-08-14 22:39 604776 ----a-w- c:\windows\system32\nvudisp.exe
2010-07-09 22:38 . 2006-08-11 13:43 1388544 ----a-w- c:\windows\system32\nvapi.dll
2010-07-09 22:38 . 2006-08-11 13:42 13549568 ----a-w- c:\windows\system32\nvoglnt.dll
2010-07-09 22:38 . 2006-08-11 13:42 6343040 ----a-w- c:\windows\system32\nv4_disp.dll
2010-07-09 22:38 . 2006-08-11 13:42 236136 ----a-w- c:\windows\system32\nvcodins.dll
2010-07-09 22:38 . 2006-08-11 13:42 236136 ----a-w- c:\windows\system32\nvcod.dll
2010-07-09 22:38 . 2006-08-11 13:42 10604128 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-07-09 11:54 . 2010-07-09 11:54 81920 ----a-w- c:\windows\system32\nvwddi.dll
2010-07-09 11:54 . 2010-07-09 11:54 277608 ----a-w- c:\windows\system32\nvmccs.dll
2010-07-09 11:54 . 2010-07-09 11:54 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-07-09 11:54 . 2010-07-09 11:54 155752 ----a-w- c:\windows\system32\nvsvc32.exe
2010-07-09 11:54 . 2010-07-09 11:54 145000 ----a-w- c:\windows\system32\nvcolor.exe
2010-07-09 11:54 . 2010-07-09 11:54 13923432 ----a-w- c:\windows\system32\nvcpl.dll
2010-06-23 09:21 . 2010-08-15 00:25 1238528 ----a-w- c:\windows\system32\zpeng25.dll
2010-06-23 09:21 . 2010-08-15 00:25 69120 ----a-w- c:\windows\system32\zlcomm.dll
2010-06-23 09:21 . 2010-08-15 00:25 103936 ----a-w- c:\windows\system32\zlcommdb.dll
.

------- Sigcheck -------

[-] 2008-05-25 . 362BC5AF8EAF712832C58CC13AE05750 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\nView\\nwiz.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\PROGRA~1\\ZONELA~1\\ZONEAL~1\\CPES_C~1.EXE"=

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [8/15/2010 2:57 AM 34944]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3/18/2010 1:16 PM 130384]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [3/18/2010 1:16 PM 753504]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = local
TCP: {26826CFF-70E1-40FF-AD96-F5A8498F94AD} = 208.67.222.222 4.2.2.4
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-ZoneAlarm Client - c:\program files\Zone Labs\ZoneAlarm\zlclient.exe
AddRemove-NVIDIA Display Control Panel - c:\program files\NVIDIA Corporation\Uninstall\nvuninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-16 20:35
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1188)
c:\windows\system32\ieframe.dll
c:\windows\system32\OneX.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2010-08-16 20:37:32 - machine was rebooted
ComboFix-quarantined-files.txt 2010-08-16 16:07

Pre-Run: 22,083,690,496 bytes free
Post-Run: 22,067,351,552 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - BD5AF13224E5919539C239A085C939E4
A voir également:

6 réponses

Réponse 1 / 6
fabul Messages postés 39182 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 15 novembre 2024 5 415
8 août 2010 à 20:41
Salut,

Télécharge et installe RegRun Reanimator.

Clic sur "scan for viruses" / "scan windows startup".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Clic sur la flèche verte "Fix problems".

Il te proposera d'utiliser "RegGuard",clic sur "Non".

Clic-droit dans le milieu de la fenêtre et choisit "copy to clipboard" pour copier le résultat dans un fichier texte.

Clic sur la flèche verte (en haut a droite) pour passer a l'item suivant,fait comme pour le premier et ainsi de suite avec les autres...

Poste les résultats.
0
Réponse 2 / 6
Moma21 Messages postés 5 Date d'inscription dimanche 8 août 2010 Statut Membre Dernière intervention 9 août 2010
8 août 2010 à 22:43
Bonsoir tout le monde

fabul tu veux dire qu'il n'y a rien de louche et pas d'infection dans le rapport de combofix ?

C'est quoi RegRun Reanimator ? Est-ce un anti virus ? Car elle veut absolument installer avira.

Merci
0
fabul Messages postés 39182 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 15 novembre 2024 5 415
8 août 2010 à 22:46
Non,ce n'est pas un "Antivirus"

C'est un détecteur de trojans,rootkits,spywares,adwares...

(ce qui empêche l'installation d'Avira)
0
Moma21 Messages postés 5 Date d'inscription dimanche 8 août 2010 Statut Membre Dernière intervention 9 août 2010
Modifié par Moma21 le 8/08/2010 à 22:49
Et puis on dit :
"Depuis un moment,il détecte trop de fichiers connus et non nuisibles sur certains systèmes Vista Win7"

https://www.commentcamarche.net/telecharger/securite/19201-regrun-reanimator/

Et compliqué pour les débutant
0
fabul Messages postés 39182 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 15 novembre 2024 5 415
Modifié par fabul le 8/08/2010 à 23:32
Oui,je dit ça,

Mais le log de Combofix dit:

ComboFix 10-08-07.02 - Mira 08/16/2010 20:31:23.1.1 - x86
Microsoft Windows XP Professional 5.1.2600

Je dit ça surtout pour ne pas que quelqu'un supprime n'importe quoi.


Je devrait peut être changer "compliqué pour les débutant" pour:

"compliqué pour les débutant qui ne comprennent pas l'anglais"


C'est Fait.
0
Réponse 3 / 6
Moma21 Messages postés 5 Date d'inscription dimanche 8 août 2010 Statut Membre Dernière intervention 9 août 2010
9 août 2010 à 13:18
Merci fabul pour ton aide.

Moi-même j'ai téléchargé et installé RegRun Reanimator pour voir et je me suis rendu compte qu'effectivement c'est trop compliqué surtout pour une débutante. Donc je préfère ne pas lui proposer ce logiciel par crainte qu'elle ne fasse n'importe quoi (elle le fait souvant quand elle ne comprend pas quelque chose).

Donc même si je ne sais pas si Combofix a tout supprimé, mais je lui ai proposé de désactiver la restauration du système et aussi faire un nettoyage avec Ccleaner et essayer de télécharger à nouveau Avira et l'installer.

Je te tiendrai au courant et merci encore
0
Réponse 4 / 6
fabul Messages postés 39182 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 15 novembre 2024 5 415
Modifié par fabul le 9/08/2010 à 13:58
Quelque chose de moins dangereux,elle pourrait vérifier avec Process Explorer.

L'exécuter et vérifier si Msiexec.exe est la (actif)

Parfois,il peut empêcher une installation quand il est déjà démarré avant.

Dans ce cas,faire clic droit et choisir "Kill process"

Ça ne supprime rien,ça ne fait que stopper le processus.

Vérifier si il y a des processus dont les fichiers n'ont pas de description , pas de compagnie.

Pointer sa souris devant les lignes et vérifier si il y a des processus actifs dont les fichiers se trouvent dans des sous dossiers de C:Users (Utilisateurs) etc. (les endroits les plus "communément suspects").


Pourrait-on voir les logs de UsbFIX et Mbam ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Moma21 Messages postés 5 Date d'inscription dimanche 8 août 2010 Statut Membre Dernière intervention 9 août 2010
Modifié par Moma21 le 9/08/2010 à 18:32
Merci encore fabul pour ta gentillesse et ton aide et mes excuses si dès le départ je ne t'ai pas expliqué une chose qui pourtant pouvait être importante. Mais le problème c'est que moi non plus je ne le savais pas et je viens de l'apprendre.

Elle avait copié Avira sur une clé usb à partir d'un autre pc (car sa vitesse de connexion est très basse) et elle n'avait pas pu l'installer depuis la clé usb. Elle m'a dit qu'il n'y avait plus le fichier Setup sur la clé.


Et voilà ! Donc c'est pourquoi je lui ai proposé de télécharger d'une manière ou d'une autre et ne pas copier le "setup".

Tu sais elle est vraiment débutante débutante et elle n'explique pas toujours tout ou même quand je lui pose des questions là où ce n'est pas clair alors comme elle ne connait rien, elle ne se rappelle de rien non plus et ne sais plus ce qu'elle a fait.

Donc sachant tous ces points c'est vraiment parfois très difficile de lui expliquer étape par étape ce qu'elle doit faire.

Déjà j'attends pour voir si enfin elle a réussi à télécharger et installer Avira et aussi Malwarebyte anti mallware. Je luis ai proposé de télécharger ces deux là qu'elle connait et puis faire un scan avec chacun d'eux et s'il y a un problème d'installation de me tenir au courant et dans le cas contraire si Avira ou Malwarebyte antimalware trouvent quelque chose de me poster leur rapport.

En tout cas je te tiendrai au courant et je solliciterai ton aide pour le cas où les rapports sont pas très cleans.

Merci
0
Réponse 6 / 6
intello974
8 août 2010 à 20:43
c'est pas tres grave enfin selon moi mai bien sur celon combot fix elle a la bonne commande au bon moment bon je vais faire simple mai les donnée recent sont pas sou ma garentie car je les deja utiliser se que je vai te dire parfoit je marche sans antivirus pour m'amuser je vais la faire en reccette:

Ingredien:

- ordie d'ou le systeme de restoration est activer qui est le cas
- une date avant le virus a debarquait esayer une des plus raisante je vous est dit je garentie pas les donnée se systeme est apte pour tous les windows
-un suport movible pour metre l'instalation de avira dedans

temps de preparation:
-le temps qui faudra

reccette:
-metre l'instalation de avira pour etre sure que sa ou moin sa reste
-faire/demarer tou les programe/axesoire/outille systeme/restauration systeme
-selectionait la date suivez les indication

-DeGUstER un PC sans virus bonne apetit
-1
fabul Messages postés 39182 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 15 novembre 2024 5 415
Modifié par fabul le 8/08/2010 à 23:03
T'a jamais gouté un virus qui t'empêche d'accéder a la restauration système ?

Continue sans antivirus,tu y goutera.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Mode d'utilisation de la caméra V380 en français
delacree -
Gigi -

14 réponses
Comment faire une installation FIBRE/RJ45 par FREE
Nad9475 -
Pierrecastor -

36 réponses