Virus qui désactive avast, spybot,etc ...

Benoit -  
 Benoit -
Bonjour,

Voilà, j'ai été sur un site internet visiblement pas très clean ... Tout s'est mis à trembler (!!!), j'ai donc fermer le navigateur par ctrl+al+del et j'ai rebooté le pc ... Mais depuis Avast, mon antivirus ne se lance plus au démarrage, l'executable avast semble même avoir completement disparu, pareil pour spybot !

J'ai tenté de reinstaller avast, j'ai réussi et j'ai directement lancé un scan au démarrage, mais il n'a rien trouvé.

une fois le scan terminé et revenu dans windows, avast avait a nouveau disparu ...

je ne sais pas ce que c'est comme virus, mais ca m'a l'air d'une belle saloperie ... Quelqu'un peut-il m'aider ???

Merci d'avance ...

Benoit
Configuration: Windows XP
Firefox 2.0.0.9

8 réponses

  1. Benoit
     
    Impossible de demarer en mode sans echec ... des que je choisi le mode sans echec, le pc redémarre. (un effet du virus ?)

    l'nalyse d'avast au démarrage, déconecté du net ne donne tjrs aucun résultat.

    Et des que j'arrive sur le bureau, avast a disparu.

    Le log hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 02:24:59, on 22/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    H:\Program Files\Bonjour\mDNSResponder.exe
    H:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    H:\WINDOWS\System32\nvsvc32.exe
    H:\WINDOWS\system32\PnkBstrA.exe
    H:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    H:\PROGRA~1\Mozilla Firefox\firefox.exe
    H:\Documents and Settings\Loic\Bureau\FICHIERS TELECHARGES\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - Startup: RocketDock.lnk = H:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir en Adobe PDF - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://H:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\program files\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - H:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - H:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - H:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
    O23 - Service: avast! Mail Scanner - Unknown owner - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Bonjour Service - Apple Computer, Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - H:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - H:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
    1
  2. toto
     
    bonsoir lorsque tu as réinstaller avast et fait un scan étais tu déconnecter physiquement d'internet (débrancher la liaison du pc à ta box (livebox ,freebox ,neufbox ou autres )) et avais tu redémarrer le pc en mode sans échec ,sinon esaye de le réinstaller et de faire un scan sans être connecter pour voir , essaye aussi un hijack pour voir si tu n'as rien de louche qui se charge au démarrage.
    a+
    0
  3. Benoit
     
    Bonjour,

    je débranche le cable ethernet et je test ça ....

    Merci
    0
  4. toto
     
    bonsoir ces 2 fichiers te disent ils quelquechose

    H:\WINDOWS\System32\nvsvc32.exe
    H:\WINDOWS\system32\PnkBstrA.exe

    si non essaye une recherche avec google pour voir à quoi ils correspondent .

    As tu installer un nouveau logiciel avant ce probleme?

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Benoit
     
    nvsvc32.exe est un processus correspondant au pilote de carte graphique Nvidia.

    PnkBstrA.exe vient apparement de Call of Duty 2 ... Il ne me sert plus a rien, comment effacer ?

    Mais je ne pense pas que ca soit ces trucs là qui soient le pbleme.

    Je n'ai rien installé, c'est quand j'ai ouvert un site internet ... (bon j'avoue, c'était sur un forum, et qqun en réponse avait indiqué ca serait un virus .... mais je suis curieux, et je pensais pas que l'ouverture d'un site web (juste une adresse dans le navigateur) puisse amener un virus si je ne téléchargeais rien :/).

    Mon pbleme ressemble à celui ci : http://www.commentcamarche.net/forum/affich 2659717 exe supprime de avast spybot antivir

    Peut-être une piste ?

    Thanks,
    0
  7. Benoit
     
    Des nouvelles ...

    J'ai installé Antivir, qui lui visiblement fonctionne bien.

    Il m'a trouvé 4 fichiers infectés, voici le log (je ne mets que la partie fichiers, la base de registre et le boot étant clean) :

    Starting the file scan:

    Begin scan in 'H:\'
    H:\hiberfil.sys
    [WARNING] The file could not be opened!
    H:\pagefile.sys
    [WARNING] The file could not be opened!
    H:\System Volume Information\_restore{EE27B44D-CF0F-47D9-9D96-CAA45C859452}\RP149\A0058789.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/VB.EV.92 Backdoor server programs
    [INFO] The file was deleted!
    H:\System Volume Information\_restore{EE27B44D-CF0F-47D9-9D96-CAA45C859452}\RP149\A0058791.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was deleted!
    H:\System Volume Information\_restore{EE27B44D-CF0F-47D9-9D96-CAA45C859452}\RP149\A0058792.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/VB.EV.92 Backdoor server programs
    [INFO] The file was deleted!
    H:\System Volume Information\_restore{EE27B44D-CF0F-47D9-9D96-CAA45C859452}\RP149\A0058793.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/VB.EV.92 Backdoor server programs
    [INFO] The file was deleted!
    H:\WINDOWS\system32\drivers\sptd.sys
    [WARNING] The file could not be opened!

    End of the scan: jeudi 22 novembre 2007 10:38
    Used time: 5:56:02 min

    The scan has been done completely.

    9227 Scanning directories
    377960 Files were scanned
    4 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    4 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    3 Files cannot be scanned
    377956 Files not concerned
    2598 Archives were scanned
    3 Warnings
    0 Notes
    0
  8. Benoit
     
    et voici la fiche de la bêbête :

    http://www.avira.com/en/threats/section/fulldetails/id_vir/4040/bds_agent.nin.html

    Maintenant que je sais tt ca, je fais quoi ?

    Pleaaaaaase
    0
  9. Benoit
     
    Visiblement Antivir m'a débarrassé du probleme !

    J'ai don réussi a réinstaller avast, spybot etc ...

    Et j'ai finallement désinstaller moi même avast au profit d'antivir ...

    Tt semble fonctionner nickel !
    0