virus avec redemarrage en cas de connexion Résolu

Question

Bonjour a vous.
Depuis quelque temps, mon ordinateur redemarre a chaque connexion a internet. Tant que je ne suis pas connecté, l'ordinateur fonctionne corectement.
Quelques secondes apres le debut de la connexion, un compte a rebours se declenche puis l'ordinateur redemarre au bout d'une minute
A chaque fois je fais un scan et un nouveau virus apparait. (mis en quarantaine par mon anti virus).

J'utilise un pc sous windows XP
J'ai l'antivirus avast

Par chance, j'avais déja installé HijackThis.
Si ca peut etre utile a toute personne voulant bien m'aider, je peux le copier ici.
Par contre, je ne peux me connecter que depuis mon travail et je ne pourrai donc vous donner d'autres info que mardi prochain.
En attendant, je bosse jusqu'a 21h :(
Merci d'avance

Lyonnais92 · Answer

Bonjour,

Si tu as un log HijackThis, poste le.

Avec de la chance , tu repartiras avec des éléments de solution (mais c'est pas garanti).

@+

sixfeetunder · Answer

Merci a toi Lyonnais92
voici le rapport


Logfile of HijackThis v1.99.1
Scan saved at 11:00:27, on 01/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Hijackthis Version FranÁaise\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Alaunch] C:\Windows\alaunch.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: CrÈer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: CrÈer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

Lyonnais92 · Answer

Re,

As tu eu un produit symantec d'installé ?

@+

sixfeetunder · Answer

J'avais norton préinstallé auparavant.
Mais j'ai jamais réussi a le désinstallé entièrement

Lyonnais92 · Answer

Re,

il faut que je quitte, je ne suis pas sur de me reconnecter avant ton départ.

la seule chose que j'ai trouvé c'est ça :

http://www.secuser.com/alertes/2003/blaster.htm
à partir du premier post en référence ci-dessous (celui de djedy).

Il y a un fix (fixblaster)(il est à peu près en milieu de page).

Je ne sais pas sous quelle forme il se présente. essaye de le télécharger de ton poste actiuel et de le charger sur une clé USB ou de le gracer sur sur un CD réinscriptible.

Ensuite tu essayes de le lancer sur l'ordi infecté.

Sinon, tu essayes si en 1 mn tu as le temps de décharger à partir de l'ordi malade.

Tiens nous au courant. J'ai bier compris que c'était mardi.

Bon week end.

sixfeetunder · Answer

Ok je vais essayer ca
merci pour tout Lyonnais92

sixfeetunder · Answer

Voila je suis de retour :)
Bon, fixblast n'a rien trouvé :(
Le compte a rebours est toujours la.
Et a chaque fois, le meme virus se réinstalle et Avast le remet en quarantaine.

Quelques infos supplémentaire au cas ou.

-Le virus est : win32:trojan-gen.
Il s'installe automatiquement a chaque connexion dans C:/ systeme volume information/-restore.....sys.
J'en ai mis un autre en quarantaine :
Meme nom mais installé dans C:/windows/system32/drivers/sysbus32.sys
(celui la ne réapparait pas a chaque connexion).

-Lors de l'apparition du compte a rebours s'affiche la meme horloge que l'on peut voir sur ce lien :
http://www.secuser.com/alertes/2003/blaster.htm
Mais au lieu de "appel de procédure distante" c'est "windows/system32/services.exe qui est mis en cause.


Voila.
Merci pour toute aide qui pourra m'etre apporté.
Je serai connecté jusqu'a 21h

Lyonnais92 · Answer

Bonjour,

esaye la manip du lien que tu m'as fourni :

Si ce délai de 60 secondes ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok". Cette opération n'est valable que pour Windows XP.

Essaye d'exécuter windows update.

@+

sixfeetunder · Answer

Bonjour lyonnais92
J'avais vu pour shutdown -a. J'ai essayé ce matin mais ca n'a pas marché

Lyonnais92 · Answer

Re,

as tu les moyens de télécharger sur un autre pc, de copier sur une clé USB ou un CD réinscriptible et d'injecter dans l'ordi malade ?
@+

sixfeetunder · Answer

J'ai en effet une clef USB
Mais je crois qu'ici au boulot on est plutot limité en terme de téléchargement. ca ne marche pas toujours.
Enfin je peux essayer

Lyonnais92 · Answer

Re,

1) on va essayer d'éradiquer Norton.

démarrer exécuter regedit OK

Tu fais rechercher avec symantec puis avec norton.

Tu fais la liste de tout ce que tu trouves et tu la mets dans ta réponse.

2) essaye de télécharger ceci: (merci a S!RI pour ce programme). 
http://siri.urz.free.fr/Fix/SmitfraudFix.zip 

Tu le dézippes daans un dossier ad hoc. Tu copies le dossier (avec ses fichiers) sur l'ordi malade
Exécute le :  Double click sur Smitfraudfix.cmd , choisitsl’option 1, il va générer un rapport 
Copie/colle le sur le poste stp. (poste le de suite, sinon il sera écrasé)

Si tu vois des lignes avec présent!, tu continues de cette manière : 
---------------------------------------------------------------------------- 
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
Relance le programme Smitfraud, 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal. 

3) Peux tu faire rechercher dans tous les disques dur les fichiers qui contiennent le mot Hosts.

Poste la liste.

Ouvre les avec le bloc notes. Si un te appait bizarre, copie/colle le contenu dans ta réponse.
@+

sixfeetunder · Answer

Merci lyonnais92
J'ai pu téléchargé smitfraudfix et je l'ai mis dans ma clef USB
J'ai également imprimé tout tes conseils.
Je ferais tout ca demain matin (je quitte le boulot tard ce soir).
Et je te tiens au courant demain apres midi.

En tout cas je te remercie déja pour tout tes conseils

sixfeetunder · Answer

Bonjour, bonjour.
Bon, je pense que ca va etre long.

Concernant norton.
Je ne sais pas trop quels infos donné. C'est la premiere fois que je fais regedit.
Pour norton il m'a donné cette adresse :
poste de travail/hkey users/S-1-5-21.../software/microsoft/windows/currentversion/explorer/menuorder/startmenu2/programs/nortonantivirus.

Pour symantec :
poste de travail/hkey-current-user/software:microsoft/windows/currentversion/explorer/comdlg32/opensavemru/*

Voila j'espère que c'est ca que tu me demandais.


Concernant Smitfraud
Le 1er rapport : 
SmitFraudFix v2.128

Rapport fait ‡ 12:00:25,84, 06/12/2006
ExecutÈ ‡ partir de C:\Documents and Settings\StÇphane\Bureau\Smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du systËme de fichiers est FAT32
Fix executÈ en mode normal

ªªªªªªªªªªªªªªªªªªªªªªªª C:\


ªªªªªªªªªªªªªªªªªªªªªªªª C:\WINDOWS

C:\WINDOWS	eller2.chk PRESENT !

ªªªªªªªªªªªªªªªªªªªªªªªª C:\WINDOWS\system


ªªªªªªªªªªªªªªªªªªªªªªªª C:\WINDOWS\Web


ªªªªªªªªªªªªªªªªªªªªªªªª C:\WINDOWS\system32


ªªªªªªªªªªªªªªªªªªªªªªªª C:\Documents and Settings\StÇphane


ªªªªªªªªªªªªªªªªªªªªªªªª C:\Documents and Settings\StÇphane\Application Data


ªªªªªªªªªªªªªªªªªªªªªªªª Menu DÈmarrer


ªªªªªªªªªªªªªªªªªªªªªªªª C:\DOCUME~1\ST…PHANE\FAVORIS


ªªªªªªªªªªªªªªªªªªªªªªªª Bureau


ªªªªªªªªªªªªªªªªªªªªªªªª C:\Program Files 


ªªªªªªªªªªªªªªªªªªªªªªªª ClÈs corrompues


ªªªªªªªªªªªªªªªªªªªªªªªª ElÈments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

ªªªªªªªªªªªªªªªªªªªªªªªª Sharedtaskscheduler
!!!Attention, les clÈs qui suivent ne sont pas forcÈment infectÈes!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


ªªªªªªªªªªªªªªªªªªªªªªªª AppInit_DLLs
!!!Attention, les clÈs qui suivent ne sont pas forcÈment infectÈes!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


ªªªªªªªªªªªªªªªªªªªªªªªª Winlogon.System
!!!Attention, les clÈs qui suivent ne sont pas forcÈment infectÈes!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


ªªªªªªªªªªªªªªªªªªªªªªªª pe386-msguard-lzx32


ªªªªªªªªªªªªªªªªªªªªªªªª Recherche infection wininet.dll


ªªªªªªªªªªªªªªªªªªªªªªªª Fin


Le 2eme rapport en mode sans echec :
SmitFraudFix v2.128

Rapport fait ‡ 12:12:20,35, 06/12/2006
ExecutÈ ‡ partir de C:\Documents and Settings\StÇphane\Bureau\Smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du systËme de fichiers est FAT32
Fix executÈ en mode sans echec

ªªªªªªªªªªªªªªªªªªªªªªªª Avant SmitFraudFix
!!!Attention, les clÈs qui suivent ne sont pas forcÈment infectÈes!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

ªªªªªªªªªªªªªªªªªªªªªªªª Arret des processus


ªªªªªªªªªªªªªªªªªªªªªªªª Generic Renos Fix

GenericRenosFix by S!Ri


ªªªªªªªªªªªªªªªªªªªªªªªª Suppression des fichiers infectÈs

C:\WINDOWS	eller2.chk supprimÈ

ªªªªªªªªªªªªªªªªªªªªªªªª Suppression Fichiers Temporaires


ªªªªªªªªªªªªªªªªªªªªªªªª Winlogon.System
!!!Attention, les clÈs qui suivent ne sont pas forcÈment infectÈes!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


ªªªªªªªªªªªªªªªªªªªªªªªª Nettoyage du registre
 
Nettoyage terminÈ. 
 
ªªªªªªªªªªªªªªªªªªªªªªªª AprËs SmitFraudFix
!!!Attention, les clÈs qui suivent ne sont pas forcÈment infectÈes!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


ªªªªªªªªªªªªªªªªªªªªªªªª Fin

Voila.
Je n'ai pas retenter de me connecter je préfere avoir le feu fert avant

Merci

P.S désolé pour les problèmes de police de caractères car ici je travaille sur Mac

Lyonnais92 · Answer

Bonjour,

pas de soucis avec la police, mais merci de me le signaler, cela m'évite de me poser des questions.

Pour poursuivre, tu vas sur ce lien 
https://www.malekal.com/tutoriel-ccleaner/ 
et tu  télécharges ccleaner.Tul 'installeras sur le pc malade. Tu décocheras la case devant "ajouter la barre d'outil Yahoo" lors de l'installation. Tu imprime une partie du tuto si tu peux ou tu notes. Les points importants : le réglage du nettoyage. Le nettoyage lui même et la réparation des erreurs de registre me semblent simples.

Sur l'ordi malade, tu installeras Ccleaner.

Tu désactivera la restauration système. Si tu ne sais pas faire, tuto ici (avec la réactivation à faire en fin de manip). 
http://service1.symantec.com/ 

Tu démarres en mode sans échec (tu redémarres, dès le début des iopérations du bios, tu tapotes sur la touche F8, ou F5 si F8 ne fonctionne pas). Sur al fenêtre quis 'ouvre, avec les flèches de direction tu choisis mode sans échec. L'ouverture peut être longue. L'aspect bizarre, c'est normal. Tu choisis la session normale et aps administrateur.

Tu lances Ccleaner et et tu l'exécutes en suivant le tuto. 

Nettoyage puis erreurs (du registre).

Tu lances AVG antispyware et tu détruis tout ce qu'il trouve.

Tu vides tes quarantaines;

Tu vides la corbeille.

Tu redémarres en mode normal;

Tu réactives la restauration système.


La, je crois qu'il faut y aller, tu te connectes à Internet.

Si ça marche, tu postes les logs.

Tu y rajoutes un log Hijackthis.

Sinon, tu postes quand même un log HijackThis.

@+

sixfeetunder · Answer

Ok merci Lyonnais92
J'ai téléchargé et mis sur ma clef usb
Meme topo, je ferais ca demain matin et je te tiens au courant dans l'apres midi.
Par contre le lien pour desactiver la restauration du systeme n'est pas bon.
Si tu en as un autre je suis preneur parceque j'ai peur de faire une connerie

Merci

Lyonnais92 · Answer

Re,

Ceci est il mieux ?


http://service1.symantec.com/...

@+

sixfeetunder · Answer

Ca marche ;)
je te remercie

Lyonnais92 · Answer

re,

OK, j'ai du faire un copier/coller de copier/coller et ça ne doit pas marcher quand le texte est aussi long lol.

Bonne chance.

@+

sixfeetunder · Answer

Bonjour
Voila les dernieres nouvelles...
J'ai donc nettoyé avec ccleaner en respectant toutes les consignes.
Par contre j'ai oublié AVG j'ai donc utilisé Ewido (je l'avais déja mais je savais pas trop comment ca marchait)

Bref, j'ai ensuite voulu me connecter... et là... rien. Pas de connexion.
Jusqu'a ce que je me rende compte que mon téléphone était en dérangement. 
Je suis gaté... accident de chantier dans ma rue. Les travaux de réparations sont en cours.

Enfin, ce doit etre réparé dans la journée.

le dernier rapport apres avoir tout nettoyé :

Logfile of HijackThis v1.99.1
Scan saved at 12:45:47, on 07/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijackthis Version FranÁaise\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Alaunch] C:\Windows\alaunch.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: CrÈer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: CrÈer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

Si il n'y a rien de suspect, je ferai une tentaive de connexion demain matin. Enfin si la ligne est réparé :(

Encore merci pour tout Lyonnais92

Lyonnais92 · Answer

Bonjour,

Le suspense continue lol.

Entre AVG et ewido, la différence peut tenir à l'ancienneté de la base de signature des malwares. Donc si tu peux refaire avec AVG ça serait mieux.

Je regarde ton log un peu plus tard (mais il n'y a jamais eu grand chose dans ton log HijackThis).

Faute d'enlever les clés de Norton, on va désactiver le service concerné. Il s'agit de :
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe .
Le tuto pour désactiver un service est là :
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe .
Le nom du service à désactiver est probablement celui que j'ai mis en gras.

Comme on est sur Symantec, profites en pour regarder ce qui concerne les problèmes de désinstallation de Norton. Commence ici et fouille un peu.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid?OpenView&Start=1

@+

sixfeetunder · Answer

Ok
Je vais utiliser AVG se sera plus prudent.
Pour norton j'ai trouvé ca :
http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/fdocid/20011010123420905

Je te tiendrai au courant

Lyonnais92 · Answer

Re,

regarde bien le millésime de ton Norton.

@+

sixfeetunder · Answer

Bonjour.
Bon malheureusement j'ai manqué de temps ce matin.
Mais ma ligne téléphonique remarche :)

Au démarrage de l'ordi un message d'erreur est apparu :
"Pour proteger votre ordinateur, windows a fermé ce programme :
Nom : Application Services et Controles
Editeur : Microsoft Corportation"

Puis deuxième message :
"Services.exe a rencontré un problème et doit fermer.
Cette erreur s'est produite le 05/12/2006 à 9:23:12....
Envoyer un rapport etc...."

Bizarre la date de l'erreur ?!?!

Enfin, j'ai installé AVG puis redémarré en mode sans échec.
J'ai lancé l'application et..... il a trouvé 8 fichiers infecté que n'avait pas trouvé ewido :(
Deux était noté comme risque élevé :
-rootkit.spb.a = c:/windows/system32/drivers/sysbus32.sys
-trojan.qhosts.he = c//windows/hosts
Je les ai supprimé.

Malheureusement, le temps que je fasse les differents scan, il était déja l'heure de partir bosser.
Demain matin, je vais installer un firewall (j'ai télécharger zonealarm)
Puis je vais tenter une connexion en faisant windows update.
Comme je bosse ce week end, je pourrai donner des nouvelles l'apres midi.

Voila, j'espère en voir le bout
Encore merci lyonnais92

Lyonnais92 · Answer

Bonjour,

1) regarde le jour et l'heure de ton système. Ca doit se faire dans panneau de configuration, date et heure. On ne sait jamais !!
2) J'ai trouvé ça :Vu que ton message d'erreur concerne apparement un bug de "services.exe", essaye de voir du coté des services qui se lancent au démarrage si des fois il n'y a pas un résidu d'un programme désinstallé.
Tu vas dans "Menu démarrer", puis "Exécuter", et tu tapes "services.msc" sans les guillemets. Vois si un des services ne correspond pas à un programme inéxistant, si c'est le cas, désactive-le.

Cela ramène à la piste de NORTON.

Donc tu essayes la manip suggerée au post 21 sur la désactivation d'un service et tu l'appliques à celui de Norton qui reste.

3) Les fichiers detectés apr AVG ont été supprimés par AVG  ou 'à la main' ?

4) Tu as réactivé la restauration système ? Si non, fais le.

5) C'est sur que tant que tu as le message à l'ouverture, l'ordi a un problème. Par contre, peux tu te connecter au NET ou bien se ferme t-il toujours ? 

Je suis présent aussi le week-end, donc n'ai pas d'hésitation

@+

sixfeetunder · Answer

Re,
1) Je vais regarder l'horloge, on ne sait jamais.
2) je vais voir avec services.msc. Puis je vais utiliser le logiciel pour désinstaller définitivement Norton
3) Je les ai supprimé avec AVG
4) Euhhh j'ai bien réactivé la restauration hier. Par contre J'ai oublié de la désactivé avant d'utiliser AVG ce matin.
5) Quand j'ai fini le scan d'AVG ce matin, j'avais déja mon manteau sur le dos pret a partir bosser. Donc je n'ai pas essayer de me connecter.

@+

sixfeetunder · Answer

Bonjour.

Bon, je commence directement par le plus interessant.
Ca Maaaarche......
Je suis connecter depuis plus d'une heure et demi.

-J'ai supprimer définitivement Norton avec le logiciel proposé par Symantec. Cependant il reste encore des dossiers et fichiers norton (notamment dans program files) par contre ils n'apparaissent plus dans le rapport HijackThis.
-J'ai installé zone alarm
-Dés ma premiere connexion, j'ai fait une mise a jour windows, avast, AVG et zonalarm

Bon, je serai rassuré lorsque j'aurais fait plusieurs redémarrage.
Je vais attendre un peu avant de crier définitivement victoire puis je ferai un récapitulatif de toutes le manipulations pour ceux a qui ca pourraient servir.

En tout cas encore merci a toi Lyonnais92

Lyonnais92 · Answer

Bonjour,

Je suis d'accord avec toi, on attend quelques jour avant de crier victoire.

Mais les nouvelles sont très encourageantes.

Ne serait-ce que parce que, si le problème revient, il faudra traiter ce qui provoque le retour. Pour le reste, on sait faire.

Bon week-end à toi. Si tout va bien, tu donnes de tes nouvelles en milieu de semaine. Je te donnerai les dernières consignes à ce moment là.
@+

sixfeetunder · Answer

Bonjour.
Bon, je touche toujours du bois.
Mais pour l'instant tout va bien :)

Lyonnais92 · Answer

Bonsoir,

Je crois que tu peux jeter fixblaster, smitfraudfix et même hijackthis.

Tu gardes AVG antispy et Ccleaner.

Tu y ajoutes Spybot search and destroy. Téléchargement et tuto ici :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/

Tu mets à jour régulièrement AVG et Spybot.

Tu les passe, ainsi que Ccleaner (nettoyage et erreur) une fois par semaine.

Ccleaner 'erreur', tu le passes après chaque désinstallation ou suppression.

Tu jeteras aussi HijackThis.

Essaye de supprimer le maximum Norton et Symantec, même dans le registre (sauvegarde avant)

@+

sixfeetunder · Answer

Merci Lyonnais92
Je vais faire tout ca
Par contre, la version d'AVG que j'ai installé est valable uniquement pour une periode d'essai de 30 jours. Ensuite, plus de mise a jour. J'ai peut etre pas téléchargé la bonne ?

Pour Norton, il ne me reste plus que quelques fichiers.
Je vais m'en débarrasser
Encore merci

Lyonnais92 · Answer

Re,

Pour AVG ce lien :
https://www.01net.com/telecharger/

Je crois qu'il reste gratuit même après 30 j. Par contre, la protection résidente ne doit plus être disponible. Mais tu peux mettre à jour la base et scanner.

Je suis à ta dispo si nécessaire.

Tu mettras problème résolu. Merci.

Bon surf.

sixfeetunder · Answer

Ok
encore merci pour tout Lyonnais92

Lyonnais92 · Answer

Bonsoir, 

De rien.
Ca a été un plaisir que de t'aider.
Bon surf.

Virus avec redemarrage en cas de connexion

34 réponses

Votre réponse

Discussions similaires

Newsletters