Antivirus non installable

Fermé
Cachou83 - 27 févr. 2007 à 19:21
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 - 28 févr. 2007 à 19:27
Bonjour,
Tout a commencé Samedi,au moment ou mon ordi a commencé a ne plus vouloir se connecter en WIFI, puis a ne plus vouloir démarrer AVAST mon antivirus. J'ai donc essayé de le désinataller, pour en réinstaller un autre...AVG... et depuis j'en suis là, j'essaie d'installer un ati virus depuis....

Alors lemessage d'erreur de AVG est le suivant :
Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory

J'ai une analyse Hijackthis voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 19:00:07, on 27/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\hldrrr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Kikou\LOCALS~1\Temp\_PA305\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Auto EPSON Stylus DX4200 Series sur WOOD] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P40 "Auto EPSON Stylus DX4200 Series sur WOOD" /O18 "\\WOOD\Imprimante2" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kikoucachou.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B87023-48EA-408B-A7E6-DD1E3DB8B8EF}: Domain = hleveque.bordeaux.inserm.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe


J'ai aussi fait un scan Bitdefender, mais là je n'ai pas gardé le rapport... il a détecter trois virus :Trojan, Win32 bagle D et F.

Que puis je faire ca ne marche toujours pas
merci

Cachou83
A voir également:

23 réponses

did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 19:27
Bonsoir,

télécharge ELIBAGLA sur ton bureau:

http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe

Double-clic sur Elibagla.exe>laisse la case
"eliminar ficheros automaticamente" coché>clique sur"explorar"
>laisse-le travailler>poste le rapport final qui sera
dans c:\infosat.txt

a+
0
Voicile résultat de l'analyse infoSat

Tue Feb 27 19:29:13 2007
EliBagle v10.20 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\KIKOU\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\KIKOU\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.20
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Feb 27 19:29:59 2007
EliBagle v10.20 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


A present quelle est la suite

Car il semblerait qu'il n'est pas effacé le dossier infecté...
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 19:56
re,

Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau:

https://europe.f-secure.com/exclude/blacklight/index.shtml

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse!

a+
0
Comment je sais que le scan est fini? le dossier txt est deja crée sur mon bureau
Voila ce qu'il y a a l'intérieur

7 19:59:48 [Info]: BlackLight Engine 1.0.55 initialized
02/27/07 19:59:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/27/07 19:59:53 [Note]: 7019 4
02/27/07 19:59:53 [Note]: 7005 0
02/27/07 19:59:55 [Note]: 7006 0
02/27/07 19:59:55 [Note]: 7011 180
02/27/07 19:59:56 [Note]: 7026 0
02/27/07 19:59:56 [Note]: 7026 0
02/27/07 19:59:56 [Note]: 7024 3
02/27/07 19:59:56 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/27/07 19:59:56 [Note]: 7024 3
02/27/07 19:59:56 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/27/07 20:00:21 [Note]: FSRAW library version 1.7.1021
02/27/07 20:00:28 [Note]: 10002 2
02/27/07 20:00:28 [Note]: 10002 2

C'est tout.

Cachou83
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Je suis désolée je ne suis pas assez patiente, le scan n'est pas fini je renverrai le résultat...
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 20:11
re,

c'est ce que j'attendais!

1. Télécharge The Avenger par Swandog46 sur ton Bureau:

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau

2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to delete:
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe



3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous "Script file to execute" choisir "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt

a+
0
Re,
Je ne comprends pas ou je dois coller le texte en gras.
J'ai mis Avenger sur mon burau ensuite je fais quoi?

Merci
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 20:29
re,

tout est expliqué!

tu as téléchargé Avenger, tu fais clic droit, extraire ici!

tu as maintenant une icone en forme d'épée sur ton bureau, tu double clic dessus pour lancer l'outil et ensuite tu suis les consignes!

2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to delete:
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe


3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous "Script file to execute" choisir "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt
0
il n'y a rien dans le fichier Avenger
il est vide
0
Quand mon ordi a redémarré j'ai bien eu un écran noir puis j'ai ouvert ma session et la le fichier etait vide
J4ai recommancé et la le fichier m'a envoyé un résultat
je l'envoie dans une min
0
Voila le résultat de Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hdrnboyo

*******************

Script file located at: \??\C:\WINDOWS\system32\jdv^gdlp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 20:47
re,

as tu accès au mode sans échec?

C'est important!

a+
0
Je viens de réussir a installer AVG
C'est bon signe non?
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 20:55
re,

oui, c'est bon signe et si tu as accès au mode sans échec, c'est encore mieux!

a+
0
Bon j'ai donc mis AVG antivirus 7.5
Mais je ne peux pas mettre l'antispywear comment ca se fait?
Bon je vais essayer de redémarrer sans echec.
A tout
0
Voila j'ai démarrer en mode sans echec.

Que faut il que je fasse?

Faut il que je télécharge un autre anti virus ou un autre spywear?

MErci
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 21:15
re,

si tu as accès au mode sans échec, c'est que ton infection n'est plus présente!

fais une recherche et dis moi si tu trouves:

C:\WINDOWS\SYSTEM32\wintems.vir

et

C:\WINDOWS\system32\hldrrr.vir

a+
0
Oki j'ai fait une recherche ils n'y sont pas, ils ont bien été enlevés.

Faut il que je scan en mode sans echec??

Par contre je ne peux toujours pas acceder a mes connections WIFI, il

Windows ne peut configurer cette connexion réseau
Si vous avez autorisé un autre programme a gerer cette connexion sans fil, utilisez ce programme.
Si vous souhaitez que Windows configure cette connexion sans fil, Démarrer le service configuration automatique sans fil...

Il faut que je le fasse?

Merci
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 21:57
re,

on continue sur l'infection, pour le reste, on verra ensuite!

passe un scan en ligne ici:

http://www.bitdefender.fr/scan8/ie.html

poste le rapport ensuite!

a+
0
Ca ne marche pas ca me dit un truc du genre:
this web site is not authorized to host this activeX control
0
Je suis allée directement sur Bitdefender.fr et j'ai lancé un scan enligne directement delà, c'est pareil?
0
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
27 févr. 2007 à 22:12
re,

oui, c'est pareil!

tu tombes sur la même page!

a+
0
Oki oui j'ai vu ca dans l'adresse.

PAr contre comme j'ai réussi a installer AVG antivirus 7.5, j'ai essyé de désinstaller Avast, et je ne peux pas, estce que ca peut vouloir dire que mon ordi n'est pas débarrassé du virus?

Pour l'instant Bitdefender n'a rien trouvé.

Merci
0
Bon je vias le laisser scanner j'enverrai le rapport demain matin.

Merci bcp en tous cas

Bonne nuit, a demain
0