Antivirus persistants et install impossible Fermé

Question

Bonjour, 


j'ai "hérité" d'un portable complètement bloqué. Voilà en gros ce que j'ai fait.

Nettoyage avec CCleaner, Regcleaner, Ad aware, spyboot search & destroy. 
Passage de Hijack pour voir ce qu' il cachait; AVG, Norman, Bit defender. Meme en fixant dans hijack ça reste.
J'ai téléchargé et utilisé AVG remover => rien,  idem pour Norman
J'ai installé Avast mais malgré une bonne installation il n'est pas actif et même en démarrant l'appli rien. Aller sur internet sans antivirus ça me gène.
Alors j'ai regardé la fenêtre et tout compte fait je m'adresse à vous.
Je vous joins le rapport Hijack
Merci d'avance.
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:05, on 14/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Vista Start Menu\VistaStartMenu.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [OdTray.exe] "C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VistaStartMenu] "C:\Program Files\Vista Start Menu\VistaStartMenu.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exe (file missing)
O23 - Service: Norman Virus Control on-access component (nvcoas) - Unknown owner - C:\NORMAN\Nvc\BIN
vcoas.exe (file missing)
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE (file missing)
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

fred08700 · Answer

salut

hijackthis ne montre rien , fais plutôt ce scan de diagnostique

&#9679 Télécharges ZHPDiag ( de Nicolas coolman ).

	&#9679 Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

	&#9679 Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

	&#9679 Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

	&#9679 Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

	&#9679 Rends toi sur http://www.cijoint.fr/

	&#9679 Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

	&#9679 Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

	&#9679 Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

bidule37 · Answer

Voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201008/cijG6Z8np4.txt

fred08700 · Answer

bien on commence

Je t'ai mis un peu de boulot . Fais le dans cet ordre

 Supprimes Spybot : devenu obsolète . Regardes ici pour le désinstaller proprement 

Supprimes aussi : ad-aware

Présence de avast5 et AVG : un seul antivirus par PC
regardes ici pour en supprimer un des deux

***********************************

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes 

----------------------------------------------------------
[HKLM\Software\ImInstaller]
O51 - MPSK:{0151c11a-7d74-11db-9f95-00030d1e3c60}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{0151c11a-7d74-11db-9f95-00030d1e3c60}\Shell\explore\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{0151c11a-7d74-11db-9f95-00030d1e3c60}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{793e01cd-889b-11dc-a074-00030d1e3c60}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{793e01cd-889b-11dc-a074-00030d1e3c60}\Shell\explore\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{793e01cd-889b-11dc-a074-00030d1e3c60}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    => Infection Diverse
O51 - MPSK:{c0233a02-61fb-11db-9f8b-00030d1e3c60}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{c0233a02-61fb-11db-9f8b-00030d1e3c60}\Shell\explore\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{c0233a02-61fb-11db-9f8b-00030d1e3c60}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{dac6b31b-6dd6-11dc-a067-00030d1e3c60}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{dac6b31b-6dd6-11dc-a067-00030d1e3c60}\Shell\explore\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O51 - MPSK:{dac6b31b-6dd6-11dc-a067-00030d1e3c60}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\EXPLORER.EXE (.not file.)    
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS    
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>

----------------------------------------------------------
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ 

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

*********************************

Pour supprimer les anciennes versions de Java et télécharger la nouvelle. 

Télécharge javara 

==> suis bien le tutoriel 

********************************

Pour augmenter Windows au démarrage:

* Ouvrez l'utilitaire de configuration système :
o Faites : démarrer ==> Exécuter ==> tapez msconfig
o Ensuite, allez sur l'onglet Démarrage, décocher les programmes qui vous semblent inutiles au démarrage de votre PC. Cela n'empêchera pas les programmes de s'exécuter quand vous en aurez besoin, mais permettra à votre PC de démarrer plus vite.
ne laisse que antivirus et parefeu

N'hésitez pas, vous pouvez relancer l'utilitaire pour réactiver un élément décoché par erreur. 

*******************************

Télécharge CCleaner version slim. 
* Installe le puis lance le. 
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures" 
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche. 
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. 

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois). 

****************************

  &#9679 Télécharges Malwarebytes			

(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : 
https://www.malekal.com/tutorial-aboutbuster/

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"			

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			

    &#9679 L'analyse peut durer un bon moment.....			

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"		

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"		

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum		

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée		


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.		
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.		

**************************************

refais un scan ZHPdiag

bidule40 · Answer

Toujours le même problème avec avast5 installé mais pas démarré. Il reste cependant des traces avg mais après désinstallation propre.

Antivirus persistants et install impossible

4 réponses

Discussions similaires

Newsletters