virus empêche d'ouvrir ou désinstaller avast

Question

Bonjour, 

Incapable d'ouvrir Avast (dès que je clique dessus, mon ordi s'éteint), j'ai essayé de le désinstaller.
Impossible avec installer/désinstaller. J'ai téléchargé sur le site d'avast le petit logiciel clean... mais pour le lancer il faut démarrer en mode sans échec, ce que je n'arrive pas à faire: Je clique sur F8, choisis "démarrer en mode sans échec" et l'ordi revient sans cesse à la page "démarrer en mode normal"...
J'ai trouvé le moyen de démarrer en sans échec avec la console mais il est indiqué qu'il ne faut pas faire ça si l'ordi est infecté...

J'ai aussi téléchargé malwarebytes, qui a enlevé quelques virus, et kaspersky, mais qui ne peut s'installer tant que je ne désinstalle pas avast...

Merci pour vos conseils.

Configuration: Windows XP / Internet Explorer 6.0

sherred · Accepted Answer

bonjour

J'ai trouvé le moyen de démarrer en sans échec avec la console mais il est indiqué qu'il ne faut pas faire ça si l'ordi est infecté... 


indiqué par qui ?



on peu regarder si tu veux

Télécharge ZHPDiag (de Nicolas Coolman).
 https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Rend toi sur Cijoint  
http://www.cijoint.fr/
et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier" 
* Un lien sera généré, copie  et colle-le dans ta prochaine réponse.

emirage1000 · Answer

ok merci je fais tout ça demain matin car je ne suis plus au bureau...

emirage1000 · Answer

OK voilà j'ai fait tout ce qui était demandé...
Le rapport est là:
http://www.cijoint.fr/cjlink.php?file=cj201008/cij40LnSpf.txt

Merci.

emirage1000 · Answer

au fait quand j'ai lancé le logiciel pour faire le rapport il m'a dit:
"module 047 in overflow (299). please contact Nicolas Coolman"...????

sherred · Answer

ooops  tu est encore tres fortement infecté

Télécharge UsbFix (de Chiquitine29) sur ton bureau 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 

--> Double clic sur UsbFix 

clic sur le bouton Recherche


et  ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan  est proposé... appuie sur une touche pour ouvrir ce rapport.
 copier/coller ce rapport  dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html

emirage1000 · Answer

voila le message:
############################## | UsbFix 7.019 | [Recherche]

Utilisateur: 4526TS (Administrateur) # HP16004518031 [ ]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 10:45:51 | 11/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Antivirus: avast! antivirus 4.8.1201 [VPS 100527-1] 4.8.1201 [(!) Disabled | Updated]
RAM -> 503 Mo 
C:\ (%systemdrive%) -> Disque fixe # 75 Go (30 Go libre(s) - 40%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 7 Go (22 Mo libre(s) - 0%) [PIU PIU] # FAT32

################## | Éléments infectieux |

Présent! C:\bsedao.exe
Présent! C:\Autorun.inf
Présent! F:\Autorun.inf
Présent! F:\USBVAULT

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{01503abe-5ca1-11de-87da-0015605a50ec}
Shell\AutoRun\Command = E:\m9ma.exe
Shell\explore\Command = E:\m9ma.exe
Shell\open\Command = E:\m9ma.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{05b3e5b0-071f-11de-8798-0015605a50ec}
Shell\AutoRun\Command = gclwpivc.cmd
Shell\open\Command = gclwpivc.cmd

HKCU\.\.\.\.\Explorer\MountPoints2\{08c9a575-601d-11db-8669-0015605a50ec}
Shell\AutoRun\Command = F:\RunDll32.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{08c9a57c-601d-11db-8669-0015605a50ec}
Shell\AutoRun\Command = F:\RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{08c9a57f-601d-11db-8669-0015605a50ec}
Shell\AutoRun\Command = E:\RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{0ca42c3b-5b16-11de-87d8-0015605a50ec}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\.\.\.\.\Explorer\MountPoints2\{115b911c-3810-11df-88cc-0015605a50ec}
Shell\AutoRun\Command = E:\bbjl2g.exe
Shell\open\Command = E:\bbjl2g.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{1dbddd53-a516-11df-894b-0015605a50ec}
Shell\autopLAy\Command = E:\ihnr.cmd
Shell\AutoRun\Command = E:\ihnr.cmd
Shell\eXploRe\Command = E:\ihnr.cmd
Shell\opEn\Command = E:\ihnr.cmd

HKCU\.\.\.\.\Explorer\MountPoints2\{235e2c31-a2b8-11de-8827-0015605a50ec}
Shell\AutoRun\Command = E:\setupSNK.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{28c2c8ea-ee4a-11db-8672-0015605a50ec}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\.\.\.\.\Explorer\MountPoints2\{40719f28-9183-11de-8811-0015605a50ec}
Shell\AutoRun\Command = se12ydam.exe
Shell\open\Command = se12ydam.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{4feb63ba-b86c-11da-865c-806d6172696f}
Shell\aUtoplAy\Command = C:\bsedao.exe
Shell\AutoRun\Command = C:\bsedao.exe
Shell\expLorE\Command = C:\bsedao.exe
Shell\oPen\Command = C:\bsedao.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{5da1bf93-f519-11de-8870-0015605a50ec}
Shell\AutoRun\Command = E:\3exi.exe
Shell\open\Command = E:\3exi.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{7fd3a684-db43-11de-8858-0015605a50ec}
Shell\AutoRun\Command = E:\cs6phv6d.exe
Shell\open\Command = E:\cs6phv6d.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{8914c8e2-90a4-11df-892b-0015605a50ec}
Shell\AutoPlay\Command = E:\lbmvbd.pif
Shell\AutoRun\Command = E:\lbmvbd.pif
Shell\exPLoRe\Command = E:\lbmvbd.pif
Shell\oPen\Command = E:\lbmvbd.pif

HKCU\.\.\.\.\Explorer\MountPoints2\{915838cf-cde6-11de-884b-0015605a50ec}
Shell\AutoRun\Command = "E:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{9359daee-8398-11db-866b-0015605a50ec}
Shell\AutoRun\Command = RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{aa2d003e-88cb-11df-8924-0015605a50ec}
Shell\AutoPlay\Command = F:\lbmvbd.pif
Shell\AutoRun\Command = F:\lbmvbd.pif
Shell\exPLoRe\Command = F:\lbmvbd.pif
Shell\oPen\Command = F:\lbmvbd.pif

HKCU\.\.\.\.\Explorer\MountPoints2\{b56b2743-3a0f-11de-87c0-0015605a50ec}
Shell\AutoRun\Command = 2a.exe
Shell\open\Command = 2a.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{ba8b8204-e00e-11de-885d-0015605a50ec}
Shell\AutoRun\Command = mbvd.exe
Shell\open\Command = mbvd.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{be10a143-e569-11de-8863-0015605a50ec}
Shell\AutoRun\Command = F:	8g.exe
Shell\open\Command = F:	8g.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{d4923b96-8257-11de-87ff-0015605a50ec}
Shell\AutoRun\Command = E:\22yj2fy1.exe
Shell\open\Command = E:\22yj2fy1.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{dc2d2e45-500e-11de-87cf-0015605a50ec}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{df4a59fa-51f3-11db-8667-0015605a50ec}
Shell\AutoRun\Command = E:\RAVMON.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{ed49a4ce-ac93-11dc-8676-0015605a50ec}
Shell\AuTOpLay\Command = F:\feekyg.cmd
Shell\AutoRun\Command = F:\feekyg.cmd
Shell\EXPLoRE\Command = F:\feekyg.cmd
Shell\OpeN\Command = F:\feekyg.cmd

HKCU\.\.\.\.\Explorer\MountPoints2\{f07ab665-8afe-11de-880c-0015605a50ec}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\.\.\.\.\Explorer\MountPoints2\{f3f98041-124a-11db-8664-0015605a50ec}
Shell\AutoRun\Command = E:\12.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


Merci

sherred · Answer

ca devrait le faire

1  relance usbfix
et cette fois fait l'option suppression

--> Le pc va redémarer 

-->Après redémarrage poste le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque 
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!


2 refait un  malwarebytes en rapide et suprime tout ce qu'il trouve et poste le resultat

3 refait un ZHP  et poste le avec http://www.cijoint.fr/

emirage1000 · Answer

J'ai refais usbfix, voila le rapport que j'ai aussi posté là ou ils me l'ont demandé...
Je continue selon les instructions...

############################## | UsbFix 7.019 | [Suppression]

Utilisateur: 4526TS (Administrateur) # HP16004518031 [ ]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 11:30:57 | 11/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Antivirus: avast! antivirus 4.8.1201 [VPS 100527-1] 4.8.1201 [(!) Disabled | Updated]
RAM -> 503 Mo 
C:\ (%systemdrive%) -> Disque fixe # 75 Go (30 Go libre(s) - 40%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 7 Go (22 Mo libre(s) - 0%) [PIU PIU] # FAT32

################## | Éléments infectieux |

Supprimé! C:\bsedao.exe
Supprimé! C:\Autorun.inf
Non supprimé ! F:\Autorun.inf
Supprimé! F:\USBVAULT

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{01503abe-5ca1-11de-87da-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08c9a575-601d-11db-8669-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08c9a57c-601d-11db-8669-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08c9a57f-601d-11db-8669-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{115b911c-3810-11df-88cc-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1dbddd53-a516-11df-894b-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{235e2c31-a2b8-11de-8827-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{40719f28-9183-11de-8811-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5da1bf93-f519-11de-8870-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7fd3a684-db43-11de-8858-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8914c8e2-90a4-11df-892b-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{915838cf-cde6-11de-884b-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{9359daee-8398-11db-866b-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{aa2d003e-88cb-11df-8924-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ba8b8204-e00e-11de-885d-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{be10a143-e569-11de-8863-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d4923b96-8257-11de-87ff-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{df4a59fa-51f3-11db-8667-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f07ab665-8afe-11de-880c-0015605a50ec}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f3f98041-124a-11db-8664-0015605a50ec}

################## | Listing |

[10/10/2008 - 08:52:20 | D ] 	C:\Barre
[10/08/2010 - 13:18:18 | RSH | 212] 	C:\boot.ini
[05/08/2004 - 04:00:00 | RASH | 4952] 	C:\Bootfont.bin
[10/08/2010 - 09:40:20 | D ] 	C:\CIEL
[21/03/2006 - 09:49:44 | D ] 	C:\compaq
[14/06/2010 - 08:53:54 | SHD ] 	C:\Config.Msi
[10/08/2010 - 09:14:27 | D ] 	C:\Cpqapps
[15/04/2008 - 10:12:50 | D ] 	C:\Documents and Settings
[08/04/2010 - 17:21:17 | D ] 	C:\f14f6c602516fb561763
[11/08/2010 - 08:53:42 | ASH | 527962112] 	C:\hiberfil.sys
[21/03/2006 - 09:49:48 | D ] 	C:\i386
[07/01/2009 - 16:39:00 | RASH | 0] 	C:\IO.SYS
[30/01/2008 - 11:22:03 | D ] 	C:\Modalisa5
[07/01/2009 - 16:39:00 | RASH | 0] 	C:\MSDOS.SYS
[11/07/2006 - 03:20:16 | RHD ] 	C:\MSOCache
[26/08/2009 - 00:21:24 | A | 4157] 	C:\Napp6.log
[05/08/2004 - 04:00:00 | ASH | 47564] 	C:
tdetect.com
[18/05/2010 - 10:15:51 | ASH | 252240] 	C:
tldr
[11/08/2010 - 08:53:41 | ASH | 792723456] 	C:\pagefile.sys
[11/08/2010 - 09:00:25 | RD ] 	C:\Program Files
[11/08/2010 - 11:35:12 | SHD ] 	C:\RECYCLER
[21/03/2006 - 01:54:56 | SHD ] 	C:\System Volume Information
[30/03/2010 - 10:08:27 | HD ] 	C:\system.sav
[11/08/2010 - 11:35:12 | D ] 	C:\UsbFix
[11/08/2010 - 11:35:18 | A | 1132] 	C:\UsbFix.txt
[10/08/2010 - 12:49:23 | D ] 	C:\WINDOWS
[13/05/2000 - 18:53:34 | HD ] 	F:\iPod_Control
[14/04/2008 - 04:34:16 | N | 313] 	F:\autorun.inf
[31/05/2010 - 18:55:34 | HD ] 	F:\.Spotlight-V100
[09/08/2010 - 11:55:44 | RSH | 173055] 	F:\feekyg.cmd
[17/11/2009 - 22:07:34 | HD ] 	F:\GRANADA
[13/05/2000 - 18:53:36 | HD ] 	F:\Notes
[13/05/2000 - 18:53:36 | HD ] 	F:\Recordings
[03/11/2009 - 15:40:14 | HD ] 	F:\USBSYSTEM
[07/04/2010 - 09:11:40 | A | 105553849] 	F:\photos.zip
[01/12/2009 - 16:20:40 | A | 888832] 	F:\karton-1.ppt
[16/03/2009 - 11:30:42 | D ] 	F:\Contacts
[05/05/2009 - 21:18:04 | A | 161792] 	F:esumen Granada.doc
[05/04/2008 - 22:03:00 | HD ] 	F:\.Trashes
[05/04/2008 - 22:03:00 | AH | 4096] 	F:\._.Trashes
[18/11/2009 - 11:21:48 | AH | 15364] 	F:\.DS_Store
[23/10/2009 - 22:19:10 | AH | 82] 	F:\._iPod_Control
[23/10/2009 - 22:19:18 | AH | 34269] 	F:\.VolumeIcon.icns
[23/10/2009 - 22:19:18 | AH | 82] 	F:\._.VolumeIcon.icns
[28/12/2009 - 12:15:38 | D ] 	F:\prestations CIBLE
[03/12/2009 - 11:20:02 | A | 58368] 	F:\ENQUETE S[1]...doc
[28/12/2009 - 12:19:44 | D ] 	F:\documents entrée
[22/05/2008 - 20:18:18 | A | 5745245] 	F:\version_impression_BM_livret2.pdf
[28/12/2009 - 12:19:54 | D ] 	F:\domiciliation
[11/05/2010 - 17:12:26 | A | 32256] 	F:\LM collaboratrice VCM.doc
[11/01/2010 - 13:40:18 | A | 62976] 	F:\Copie de _produits.xls
[16/12/2009 - 11:45:02 | D ] 	F:\DRIVERS COPIEUR IRC3200
[17/01/2010 - 14:24:54 | D ] 	F:apport final + corrections
[17/05/2010 - 09:58:14 | A | 22528] 	F:\_Actions.doc
[24/01/2010 - 13:16:54 | RSHD ] 	F:\RECYCLER
[28/05/2010 - 15:30:32 | D ] 	F:\photos rémi
[18/05/2010 - 08:26:48 | A | 89420] 	F:\ DEVIS AMAP.pdf
[30/05/2010 - 19:07:02 | D ] 	F:\photos M
[15/04/2008 - 16:31:54 | A | 263080] 	F:\elo et moi.JPG
[31/05/2010 - 09:01:36 | A | 4307049] 	F:émi..pdf
[31/05/2010 - 18:57:06 | HD ] 	F:\.TemporaryItems
[31/05/2010 - 18:57:06 | AH | 4096] 	F:\._.TemporaryItems
[08/03/2010 - 11:49:02 | A | 2585454] 	F:\guide-des-fondations-10.pdf
[01/06/2010 - 16:57:54 | A | 27136] 	F:\AMAP de Marseille.doc
[21/11/2009 - 23:30:44 | A | 33538] 	F:\????.JPG
[28/03/2010 - 19:08:56 | A | 122880] 	F:\partition1 ?????.jpg
[28/03/2010 - 19:10:14 | A | 50267] 	F:\???? ???????.JPG
[02/06/2010 - 09:28:48 | A | 1798656] 	F:\BTS La Forbine.doc
[25/11/2009 - 09:54:04 | A | 244220] 	F:\identité nationale.pdf
[29/03/2010 - 08:34:38 | D ] 	F:\infos co
[03/05/2010 - 10:34:08 | A | 55808] 	F:\questionnaire_maj_contacts(1)_revHR(1).xls
[03/05/2010 - 21:52:24 | A | 1803086] 	F:\page accueil site la mer blanche0001.jpg
[03/05/2010 - 21:51:58 | A | 1720279] 	F:\page qui sommes nous site la mer blanche0001(2).jpg
[09/06/2008 - 16:14:36 | A | 45056] 	F:\C.V Emilia CODRON.doc
[03/06/2010 - 12:31:02 | A | 13005824] 	F:\Rémi et Maéva.ppt
[05/06/2010 - 10:21:44 | A | 23040] 	F:\Rémi et Maéva.wps
[08/06/2010 - 16:43:20 | A | 77854] 	F:\C[1].V Emilia CODRON.pdf
[28/05/2010 - 14:26:18 | A | 2391726] 	F:émi.MDI
[28/05/2010 - 14:27:14 | A | 6606336] 	F:\emilia+r%c3%a9[1]...doc
[19/07/2010 - 17:29:10 | D ] 	F:\120 rue de lodi
[10/08/2010 - 11:48:30 | A | 106394392] 	F:\kav11.0.0.232FR.exe
[30/05/2010 - 19:24:30 | A | 106417] 	F:émi et maéva.odp
[01/07/2010 - 09:05:42 | A | 24576] 	F:\Copie de BdC fermeCancargaut.xls
[12/07/2010 - 08:57:52 | N | 0] 	F:\.metadata_never_index
[10/08/2010 - 11:53:24 | AH | 4096] 	F:\._kav11.0.0.232FR.exe

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_HP16004518031.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

emirage1000 · Answer

voila le fichier de malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4412

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

11/08/2010 11:49:04
mbam-log-2010-08-11 (11-49-04).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 158921
Temps écoulé: 6 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

emirage1000 · Answer

et enfin voila le rapport zhp ici: 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijw5PBkJO.txt


et maintenant???
en tout cas merci!

emirage1000 · Answer

sauf que je ne peux toujours pas cliquer sur avast (sinon mon ordi s'étent tout seul) donc le sésinstaller et impossible d'installer un autre anti virus sans désinstaller avast...

Impossible aussi de démarrer en mode sans échec avec F8.

Bref je ne suis pas sûre que mon probleme soit résolu, bien que les manips effectuées ont surement enlevé une tonne de virus...

sherred · Answer

merci de tes encouragements Marmar66
emirage1000 on continue

--> Télécharge FindyKill sur ton bureau : 
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
double clique sur setup.exe
choisis ta langue ;)
--> Au menu principal, choisis l'option 1 (Recherche) 

--> Poste le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

emirage1000 · Answer

OK on continue!
voilà le rapport:


############################## | FindyKill V5.045 |

# User : 4526TS (Utilisateurs) # HP16004518031
# Update on 23/06/2010 by El Desaparecido
# Start at: 13:38:25 | 11/08/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1201 [VPS 100527-1] 4.8.1201 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 74,52 Go (30,93 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque amovible # 7,39 Go (22,25 Mo free) [PIU PIU] # FAT32

################## | Eléments infectieux |

F:\autorun.inf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\SYSTEM\...\SafeBoot\Minimal | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.045 ! |

sherred · Answer

lancer le nettoyage via FindyKill,
--> relance le programme.  «  Double-clique sur le raccourci FindyKill sur ton bureau »
-->Dans le menu principal, tape 2 puis validez par entrée.

Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
Le nettoyage va prendre quelques minutes... 

-->Appuye sur OK sur la fenêtre d'informations

Le fix peux avoir besoin de redémarrer l'ordinateur, un message va t' avertir,  appuye sur une touche

on devrait recupere le demarrage sans echec

emirage1000 · Answer

findykill c'est usbfix?

emirage1000 · Answer

ah non ok j'étais perdue avec tous ces logiciels..

emirage1000 · Answer

bon en fait l'analyse a plutôt pris quelques heures... et j'avais des RDV au boulot...
J'essaie le mode sans échec
Voilà le rapport:

############################## | FindyKill V5.045 |

# User : 4526TS (Utilisateurs) # HP16004518031
# Update on 23/06/2010 by El Desaparecido
# Start at: 14:34:12 | 11/08/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1201 [VPS 100527-1] 4.8.1201 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 74,52 Go (30,92 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque amovible # 7,39 Go (22,25 Mo free) [PIU PIU] # FAT32

################## | Eléments infectieux |

Supprimé ! F:\autorun.inf 

################## | MD5 ... |


################## | CRC32 ... |


################## | Registre | 


################## | Etat |

# Mode sans echec restauré ! 

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_HP16004518031.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.045 ! |

emirage1000 · Answer

arghhhhhhhhhhh... Le mode sans échec marche pas... Quand je clique dessus, il revient à la page bleue, puis page noire en me demandant comment je veux démarrer, et rebelotte jusqu'à ce que je lui dise démarrage normal...
Comme avant, quoi...

Bon, sur ce je dois y aller, mais on peut continuer demain matin si tu n'es pas découragé!
Merci en tout cas.

sherred · Answer

ok
on doit rater quelques chose

je vais y reflechir

en attendant essaye de repasser  MBAM  mais cette fois ci en mode complet

puis on tente un autre qui des fois ramene des resultats

Télécharge a-squared Free
https://www.pcastuces.com/logitheque/telechargement.asp?num=1227
https://www.clubic.com/telecharger-fiche20274-a-squared-free.html
Double-cliquez sur l'éxecutable A-squared Free pour commencer l'installation.
Sélectionnez la langue de votre choix, ici le français, puis cliquez sur Ok.
Pendant l'installation tu verra des cases a cochées , dont celle-ci:

Organiser des scannes par l'intermédiaire du menu contextuel : coche cette case, qui te permettra d'analyser un fichier en effectuant un clic droit sur celui-ci.

Dès la fin de l'installation, coche la case Démarrer a-squared free,

Une petite fenêtre va s'afficher, pour la mise a jour  clique sur Non
une fois à l'écran d'accueil, tu pourra régler les paramètres du logiciel, faire la mise à jour de la base virale,
Clique sur Paramètres présent dans la colonne de gauche. Laisse l'onglet Général comme il est configuré. Sélectionne l'onglet Mise à jour et décoche les cases Installer l'aide et Installer les modules de langues additionnels. 
Ne touche pas aux autres onglets.
En haut du logiciel, cliquez sur Mise à jour en ligne
enfin clic dans la colonne de gauche sur Balayer le PC

emirage1000 · Answer

OK voila le rapport de malware. Je télécharge l'autre truc.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4412

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12/08/2010 09:50:48
mbam-log-2010-08-12 (09-50-48).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 219510
Temps écoulé: 31 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\C\bsedao.exe.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\cfocb.exe (Trojan.Pramro) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\jcnat.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

emirage1000 · Answer

j'ai téléchargé a squarred. Mais apres qu'il me demande la langue et si j'accepte blablabla, il s'éteint automatiquement.
J'ai réessayé plusieurs fois, et je l'ai même re téléchargé sur un autre site mais c'est la même chose...

sherred · Answer

essaye ca egalement
réparer l'accès au mode sans échec, en téléchargeant : SafeBootKeyRepair
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

emirage1000 · Answer

ok voila le rapport ici:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijSbB5M1r.txt

j'ai réussi a téléchargé asquarred , à l'installer mais maintenant il veut aps s'ouvrir...

j'essaie l'autre truc

emirage1000 · Answer

voila la réponse de safeboot ici
http://www.cijoint.fr/cjlink.php?file=cj201008/cijsSTIIQQ.txt

sherred · Answer

ton sans echec "avec prise en charge reseau "  fonctionne ?  ou pas

emirage1000 · Answer

c'est ce que j'étais en train d'essayer et ... VICTOIRE!
Donc j'ai utilisé le petit logiciel clean pour désinstaller avast et je crois qu'il est définitivement hors de mon ordi!
Merci encore, ça a été dur mais on (tu...) y est arrivés!
Avant d'en terminer, est ce que tu aurais un anti virus gratuit a me conseiller? Je reste avec avast ou je change???

Merci.

sherred · Answer

attend c'est loin d'etre terminé

pour l'antivirus  je te conseil antivir d'avira  

mais tu peu repasse "en rapide ' MBAM  en mode sans echec

ensuite redemarre en mode normale 
http://www.commentcamarche.net/download/telecharger-55-antivir

emirage1000 · Answer

bon, finalement, le mode sans échec n'a marché qu'une fois... Maintenant c'est revenu comme avant...

j'ai lancé mbam en démarrage normal voilà le rapport (encore des virus...)
je vais télécharger l'anti vuris.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4412

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12/08/2010 11:47:42
mbam-log-2010-08-12 (11-47-42).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 159472
Temps écoulé: 6 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

emirage1000 · Answer

bon j'ai remis mozilla ça va.
Mais l'anti virus  détecte 40000 trucs bizarres, faut que je les supprime ou 40aine???

a demain

sherred · Answer

ce virus est une vrai saloperie

Télécharge Dr Web CureIt sur ton Bureau : 

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe 

- Double clique drweb-cureit.exe et ensuite clique sur Analyse; 

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui. 
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". 
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok. 
- De retour à la fenêtre principale : clique pour activer Analyse complète 
- Clique le bouton avec flèche verte sur la droite, et le scan débutera. 
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter. 
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable. 
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv 
- Ferme Dr.Web Cureit 
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). 
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

emirage1000 · Answer

bon, j'ai pas encore télécharger doc machin, mais là ça va plus du tout.
Le nouvel anti virus me trouve des virus partout, 10 à la minute, et si je les supprime, après je ne peux plus ouvrir mozilla, ou word, etc. et dès que j'ouvre un doc j'ai 3 alertes anti virus... D'ailleurs c'est tout le temps le virus W32/SalityAT
donc pour l'insnt je clique sur "refuser l'acces" mais ça s'arrête jamais...

Donc je fais quoi? Avec cet antivirus? On continue? Ou vaut mieux pas que je reformate tout? (cela dit ça va être galère aussi...)

sherred · Answer

soit tu fait avec Dr Web  comme je te le dit , et ca devrait aller mieux

soit tu lance un scan avec antivir  et tu met tout en quarantaine

SalityAT est tres coriace

emirage1000 · Answer

salut,

vendredi j'ai essayé plusieurs fois de lancer Dr Web, mais a chaque fois il s'est bloqué (toujours au même état d'avancement d'ailleurs), et j'ai été obligée d'éteindre l'ordinateur à la barbare...

Voilà, du coup je sais pas quoi faire, à part peut être prendre une hache et tout détruire...

sherred · Answer

Télécharger RavAntivirus (d'Evosla) : 
http://ww25.evosla.com/compteur.php?soft=rav_antivirus 
Brancher les disques amovibles sans les ouvrir avant de lancer le Fix 
Décompresser l'archive sur le bureau 
Double-cliquer sur RAV.exe pour lancer l'outil 
Une fois RAV ANTIVIRUS lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés 
S'il y a infection un rapport s'établira, sinon le logiciel affichera le message : « Votre Ordinateur est sain » 
Retirer les disques amovibles et redémarrer l'ordinateur.

emirage1000 · Answer

j'ai installé rav et l'ai démarré. il a trouvé un virus (ona) et l'a supprimé. cela dit il continuait a chercher , a le trouver et à le désinstaller sans arrêt, donc au bout d'une heure j'ai arrêté le scan...
voilà...

sherred · Answer

ok 

Télécharge combofix.exe   sur ton bureau 
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe  


 double clique combofix.exe.  
 touche 1 (Yes) pour démarrer le scan.  
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.  
Le rapport se trouve également ici : C:\Combofix.txt  

 Déconnecte toi d'internet  ferme les fenêtres de tous les programmes en cours. 

arrête provisoirement les anti virus et autres protections pendant l'analyse 
durant la durée de l'analyse ne te sert pas de ton pc  


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares 

Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

anaruz2955 · Answer

Hi.
j'ai essayé d'installer mon antiv Ava.pro mais il veut pas s'installer, et après avoir lu les conseilles de sherred , j'ai installé ZHPDiag et il m'as envoyé un message sous ce lien :  http://www.casimages.com/f.php?f=120121112903588495.txt .
SVPL aidez moi  pour que je puisse installer mon avast . 

Merciiiiiii

Virus empêche d'ouvrir ou désinstaller avast

37 réponses

Votre réponse

Discussions similaires

Newsletters