Sujet Précédent Sujet Suivant

Problème avec avast

Résolu
thib79 Messages postés 350 Statut Membre -  
 cath -
slt moi jé installer avast il y a qqlque moi sans problème é pi après environ 3 mois jé remarké ke ma protection résidente n'etai plus la au démarage de mon ordinateur jé essayé de démarrer avast avec l'icone et il ma dit qu'il ne trouvait pa ashAvast.exe je suis allé voir dan le dossier d'installation et avast ne marchai plus, jé ensuite essayer de le suprimer dan ajout/supression de programmes mé sa ne marchai pa non plus jé donc télécharger le fichier de desinstallation et la il me le suprimai(il ne restai k1 fichier ashShell.dll) jé ensuite réinstaller avast mé la toujours le même problème.
A voir également:

59 réponses

Réponse 1 / 59
thib79 Messages postés 350 Statut Membre 13
 
ça yé ça marche merci salwa 5 je commençais a desépérer!!!
1
Réponse 2 / 59
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
bonsoir je pense que tu es infecté par le virus bagle

télécharge ELIBAGLA sur ton bureau:

http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe

Double-clic sur Elibagla.exe>laisse la case
"eliminar ficheros automaticamente" coché>clique sur"explorar"
>laisse-le travailler>poste le rapport final qui sera
dans c:\infosat.txt

a+++
0
Réponse 3 / 59
thib79 Messages postés 350 Statut Membre 13
 
tiens voila le rapport
Wed Mar 07 17:44:48 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\CTI\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\CTI\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Mar 07 17:45:00 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1060\A0320578.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1060\A0320649.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1060\A0320652.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1061\A0320672.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1061\A0320702.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1061\A0320704.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325677.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325678.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325688.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325692.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325697.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325707.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325719.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325720.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1063\A0325738.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0325754.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0325860.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0325872.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0327868.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0327907.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0327912.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1064\A0327931.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0327940.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0327941.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0328041.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0328051.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0328067.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0328071.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0329062.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0329086.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0329095.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0331091.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1065\A0331101.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0320833.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0320923.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0320934.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0321054.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0321073.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0322072.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0322120.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0322131.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0322226.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0323342.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0323353.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0323379.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0323400.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0323407.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0323506.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0324504.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0324609.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0324625.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0325608.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1062\A0325629.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1071\A0331196.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1071\A0331204.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1071\A0331217.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1071\A0331224.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{86E374D7-EB67-4370-ACBE-C5C02148821C}\RP1071\A0331228.EXE --> Eliminado Bagle
0
Réponse 4 / 59
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
ok essay maintenant de desinstaller/reinstaller avast , scan ton pc avec et supprime les virus detecté

a+++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 59
thib79 Messages postés 350 Statut Membre 13
 
merci jessaye et je tiens au courant
0
Réponse 6 / 59
thib79 Messages postés 350 Statut Membre 13
 
sa ne marche pa voila ce qu'il me met:
07.03.2007 18:03:14 general: Started: 07.03.2007, 18:03:14
07.03.2007 18:03:14 general: Running setup_av_pro-3ae (942)
07.03.2007 18:03:14 system: Operating system: WindowsXP ver 5.1, build 2600, sp 2.0 [Service Pack 2]
07.03.2007 18:03:14 system: Computer WinName: CTI-9A1ZBWJME9K
07.03.2007 18:03:14 system: Windows Net User: CTI-9A1ZBWJME9K\CTI
07.03.2007 18:03:14 general: Cmdline: /uninstwiz
07.03.2007 18:03:14 general: Old version: 3ae (942)
07.03.2007 18:03:14 general: Install check: 'C:\Program Files\Alwil Software\Avast4\ashDisp.exe' does NOT exist
07.03.2007 18:03:14 general: SGW32P::CheckIfInstalled set m_bAlreadyInstalled to 0
07.03.2007 18:03:14 general: DldSrc set to inet
07.03.2007 18:03:14 system: Computer DnsName: cti-9a1zbwjme9k
07.03.2007 18:03:14 system: Computer Ip Addr: 212.96.81.151
07.03.2007 18:03:14 registry: Get registry: Software\Microsoft\Internet Explorer\Version=6.0.2900.2180
07.03.2007 18:03:14 general: Operation set to INST_OP_INSTALL
07.03.2007 18:03:14 general: GUID: 81d5f486-0526-450a-9e77-ba2e1944d9b8
07.03.2007 18:03:15 general: Default server pseudo definition loaded as ''.
07.03.2007 18:03:15 general: SelectCurrent: selected server 'FailSafeServer' from 'main'
07.03.2007 18:03:15 package: GetPackages - set proxy for inet
07.03.2007 18:03:15 internet: SYNCER: Type: use IE settings
07.03.2007 18:03:15 internet: SYNCER: Auth: another authentication, use WinInet
07.03.2007 18:03:15 general: Entered SetupProcessPro::Do( INST_OP_INSTALL )
07.03.2007 18:03:15 general: Entered SetupProcessWin32Avast::Do( INST_OP_INSTALL )
07.03.2007 18:03:15 general: Entered SetupProcessWin32::Do( INST_OP_INSTALL )
07.03.2007 18:03:15 general: Entered SetupProcess::Do( INST_OP_INSTALL )
07.03.2007 18:03:30 general: Connection test
07.03.2007 18:03:30 internet: SYNCER: Type: standard HTTP proxy (rfc2616,2617)
07.03.2007 18:03:30 internet: SYNCER: Auth: no authentication
07.03.2007 18:03:30 general: progress thread start
07.03.2007 18:03:30 general: progress start - 1
07.03.2007 18:03:30 general: progress end - 0
07.03.2007 18:03:30 general: progress thread end
07.03.2007 18:03:35 general: Connection test
07.03.2007 18:03:35 internet: SYNCER: Type: standard HTTP proxy (rfc2616,2617)
07.03.2007 18:03:35 internet: SYNCER: Auth: no authentication
07.03.2007 18:03:35 internet: SYNCER: Type: use IE settings
07.03.2007 18:03:35 internet: SYNCER: Auth: another authentication, use WinInet
07.03.2007 18:03:35 general: progress thread start
07.03.2007 18:03:35 general: progress start - 1
07.03.2007 18:03:35 general: progress end - 0
07.03.2007 18:03:35 general: progress thread end
07.03.2007 18:03:37 general: Connection test
07.03.2007 18:03:37 internet: SYNCER: Type: standard HTTP proxy (rfc2616,2617)
07.03.2007 18:03:37 internet: SYNCER: Auth: no authentication
07.03.2007 18:03:37 general: progress thread start
07.03.2007 18:03:37 general: progress start - 1
07.03.2007 18:03:37 general: progress end - 0
07.03.2007 18:03:37 general: progress thread end
07.03.2007 18:03:41 general: Connection test
07.03.2007 18:03:41 internet: SYNCER: Type: use IE settings
07.03.2007 18:03:41 internet: SYNCER: Auth: another authentication, use WinInet
07.03.2007 18:03:41 general: progress thread start
07.03.2007 18:03:41 general: progress start - 1
07.03.2007 18:03:41 general: progress end - 0
07.03.2007 18:03:41 general: progress thread end
07.03.2007 18:03:44 general: Connection test
07.03.2007 18:03:44 internet: SYNCER: Type: no proxy
07.03.2007 18:03:44 internet: SYNCER: Auth: no authentication
07.03.2007 18:03:44 general: progress thread start
07.03.2007 18:03:44 general: progress start - 1
07.03.2007 18:03:44 general: progress end - 0
07.03.2007 18:03:44 general: progress thread end
07.03.2007 18:03:47 internet: SYNCER: Type: no proxy
07.03.2007 18:03:47 internet: SYNCER: Auth: no authentication
07.03.2007 18:03:48 general: progress thread start
07.03.2007 18:03:48 general: progress start - 1
07.03.2007 18:03:48 general: compatCopyFile( \servers.def.vpu, C:\DOCUME~1\CTI\LOCALS~1\Temp\_av_proI.tm~a01320\onefile ) failed with error 0x00000002
07.03.2007 18:03:48 general: InvalidateCurrent: invalidated server 'FailSafeServer' from 'main'
07.03.2007 18:03:48 general: SelectCurrent: unable to find any suitable server in 'main'
07.03.2007 18:03:48 internet: while trying to get file 'servers.def.vpu', error 0x00000002 has occured, try 1
07.03.2007 18:03:48 internet: tried 1 servers to get file 'servers.def.vpu', but failed (0x00000002)
07.03.2007 18:03:48 file: GetNewerStampedFile:GetFileWithRetry failed: C:\DOCUME~1\CTI\LOCALS~1\Temp\_av_proI.tm~a01320\onefile, servers.def.vpu, error: 0x00000002
07.03.2007 18:03:48 package: Download servers.def, servers.def.vpu failed with error 0x20000011.
07.03.2007 18:03:48 general: compatCopyFile( \servers.def, C:\DOCUME~1\CTI\LOCALS~1\Temp\_av_proI.tm~a01320\onefile ) failed with error 0x00000002
07.03.2007 18:03:48 general: InvalidateCurrent: invalidated server 'FailSafeServer' from 'main'
07.03.2007 18:03:48 general: SelectCurrent: unable to find any suitable server in 'main'
07.03.2007 18:03:48 internet: while trying to get file 'servers.def', error 0x00000002 has occured, try 1
07.03.2007 18:03:48 internet: tried 1 servers to get file 'servers.def', but failed (0x00000002)
07.03.2007 18:03:48 file: GetNewerStampedFile:GetFileWithRetry failed: C:\DOCUME~1\CTI\LOCALS~1\Temp\_av_proI.tm~a01320\onefile, servers.def, error: 0x00000002
07.03.2007 18:03:48 package: Tried to download servers.def but failed with error 0x00000002.
07.03.2007 18:03:48 general: progress end - 0
07.03.2007 18:03:48 general: progress thread end
07.03.2007 18:03:48 general: InvalidateCurrent: invalidated server 'FailSafeServer' from 'main'
07.03.2007 18:03:48 general: SelectCurrent: unable to find any suitable server in 'main'
07.03.2007 18:03:48 internet: SYNCER: Type: Invalid
07.03.2007 18:03:48 internet: SYNCER: Auth: no authentication
07.03.2007 18:03:48 general: SelectCurrent: unable to find any suitable server in 'main'
07.03.2007 18:03:48 general: progress end - forced
07.03.2007 18:03:48 general: progress thread end
0
Réponse 7 / 59
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
ok desinstalle avast ensuite lance ccleaner

supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

Ccleaner
https://www.malekal.com/tutoriel-ccleaner/

ensuite relance elbagla puis essay d'installer avast

https://www.clubic.com/telecharger-fiche11113-avast-antivirus-gratuit.html

a++++
0
meredation Messages postés 25 Statut Membre 1
 
CCLEANER C UN SPYWARE!!!!!!!!
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > meredation Messages postés 25 Statut Membre
 
Salut,

je ne sais pas si tu vas avoir le temps de me lire avant d'être banni.

"Ccleaner c un spyware" mdr

Quelle est ta source ?

Ca ne serait pas les sites de cracks qui t'envoient des spywwares ?
Bye
0
Réponse 8 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir à tous les 2.

salwa, au post 2, dans le log de elibagla, il est demandé d'envoyer ce fichier C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
à cette adresse : virus@satinfo.es

Je pense que l'outil a rencontré une nouvelle version, qu'il sait la déceler mais pas la détruire. J'ai eu le même problème sur un autre post, ils sont passés de la v10.23 à la v10.24 et la nouvelle version a tout réparé.

thib79, il faut que tu envoies ce fichier et que tu attendes la version v10.25 (demain ?);

salwa, tu vas trouver le changelog sur le site. Tu pourras contrôkler l'apparition de la nouvelle version (il faut que dans la v10.25 il y ait la mention d'au moins une nouvelle variante de HLDRRR.EXE).

A mon avis, si le fix ne résoud pas tout, c'est que la mise à jour n'a pas encore été faite.

Bonne suite
0
Réponse 9 / 59
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
bonsoir lyonnais et merci pour ces precision , c'est vrai je comprend pas l'espagnole :p

a++
0
Réponse 10 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

pour avancer salwa5 :
1) tu as relancé elibagla et les symptômes ont disparu ?

Mets le rapport dans ta réponse (c:\satinfo.txt).

2) remets un log Hijackthis.

@+
0
Réponse 11 / 59
thib79 Messages postés 350 Statut Membre 13
 
je pense que c'est grace a Ccleaner car dans le rapport yavais rien.
0
Réponse 12 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

1) as tu pu réinstaller avast ?

2) remets un log HijackThis que l'on voit où on en est

3) il reste des choses à faire (en particulier la restauration système est infectée).
@+
0
Réponse 13 / 59
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
bonsoir thib fait ce que lyonnais te demande :) il est important pour nous de bien comprendre certaine choses pour mieu aidé ceux qui rencontre le meme probleme

a+++++
0
Réponse 14 / 59
thib79 Messages postés 350 Statut Membre 13
 
jé désinstaller avast avec le programme de désinstallation que alwil proposait ensuite jé lancer Ccleaner et enfin jé lancé elibagla.
voici le rapport:
Sat Mar 10 14:39:17 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Mar 10 14:39:18 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

et enfin jé réinstaller avast et la magnifique ça a marché.
0
Réponse 15 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour thib79,

tu pourrais nous renvoyer un log HijackThis qu'on vérifie ?

il faudrait aussi que tu désactives-réactives ta restauration système. Elle est infectée. Ca veut dire que, si tu l'utilises, l'infection risque de redémarrer.
Pour ça, tu as un tuto ici :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

tu fais bien désactiver puis réactiver. Et tu rebootes l'ordi.
@+
0
Réponse 16 / 59
thib79 Messages postés 350 Statut Membre 13
 
tu entend quoi par reboutter

sinon voila le log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 19:24:31, on 10/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Wet_Me!ut.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\CTI\Bureau\Jeux\jeu de carte\Le Barbu\barbu.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\CTI\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Wet_Me!ut] C:\WINDOWS\Wet_Me!ut.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.crazyfrog.com
O15 - Trusted Zone: http://www.dragonballz.com
O15 - Trusted Zone: http://*.dragonballz.com
O15 - Trusted Zone: http://f006.mail.caramail.lycos.fr
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5E1A58-82E5-4599-BF4D-C222F3D6971F}: NameServer = 212.151.137.166 212.151.136.242
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
0
Réponse 17 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

rebooter l'ordi c'est le faire redémarrer.

Tu n'as pas de parefeu.

Installe et configure Kerio avec le lien ci-dessous :
http://kerio.probb.fr/Systemesd-exploitation-c1/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Kerio-4-version-gratuite-t201.htm

Ton ordi a d'autres infections.

Je prépare les manipulations à faire pour les enlever.

@+
0
Réponse 18 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
re,

relance Hijackthis, choisis do a scan only.

Coche la case devant les lignes suivantes :
O4 - HKLM\..\Run: [Wet_Me!ut] C:\WINDOWS\Wet_Me!ut.exe
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - https://www.afternic.com/domains/downloadv3.com

Si tu n'a pas mis volontairement les sites ci-dessous dans la zone de confiance, ajoute ces lignes :
O15 - Trusted Zone: http://www.crazyfrog.com
O15 - Trusted Zone: http://www.dragonballz.com
O15 - Trusted Zone: http://*.dragonballz.com
O15 - Trusted Zone: http://f006.mail.caramail.lycos.fr

Ferme toutes les autres fenêtres actives et clique sur Fix checked.

Fermes HijackThis.

Supprime C:\WINDOWS\Wet_Me!ut.exe

Si il résiste, télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\Wet_Me!ut.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Télécharge Brute Force Uninstaller (de Merijn) ici: http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement à la racine de ton disque dur ou l'endroit qui te convient, nomme ce dossier BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (par exemple C:\BFU)
Ensuite, télécharge EGDACCESS.bfu (de Metallica) :
Fais un clik droit ici : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
Sauvegarde dans le dossier créé (C:\BFU).
**Note : si tu utilises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Tu as une démo animée ici (merci balltrap34):
http://perso.orange.fr/rginformatique/section%20virus/bfu%20demo.htm
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Lance "Brute Force Uninstaller" en double-cliquant BFU.exe (Dans le dossier C:\BFU)
- Clique sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
- Coches la case Show log after scrïpt ends
- Clique sur Execute pour que le fix fasse son boulot :-) Attends que le message Complete scrïpt execution apparaîsse et clique sur OK.
Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le, tu le posteras plus tard sur le forum.
Clique Exit pour fermer le programme BFU.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Remets un log HijackThis.
@+
0
Réponse 19 / 59
thib79 Messages postés 350 Statut Membre 13
 
jé le pare feu de windows et la protection résidente d'avest est que ça sufit
0
Réponse 20 / 59
thib79 Messages postés 350 Statut Membre 13
 
voila le rapport est qui reste des truc a faire (je nai fé que le truc avec hijackthis) voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 14:05:13, on 14/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\CTI\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.crazyfrog.com
O15 - Trusted Zone: http://www.dragonballz.com
O15 - Trusted Zone: http://*.dragonballz.com
O15 - Trusted Zone: http://f006.mail.caramail.lycos.fr
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5E1A58-82E5-4599-BF4D-C222F3D6971F}: NameServer = 212.151.137.166 212.151.136.242
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
0

Discussions similaires

Phishing faux mail d'avast
Colette34 -
Gerper -

2 réponses
Arnaque installation Avast Premium security
Eldanield -
bazfile -

9 réponses
arnaque de avast prelevement sans autorisation
petit -
Petittoune -

15 réponses
Impossible de joindre Avast
soleil12 -
Panth33ra -

6 réponses
Prélèvement dri Avast software
Ml -
dadout -

2 réponses