HLDRRR.EXE, comment le virer?

Question

Bonjour,
J'ai chopé ce virus en utilisant un crack - chose que je ne ferai plus...- et j'ai utilisé le logiciel conseillé pour le scan (j'ai oublié le nom, mais c'est celui en espagnol, satinfo ou quelque chose comme ça je crois), bref.
Il m'a fait mon petit scan, et voici le rapport. (Je leur ai envoyé le fichier qu'ils me demandaient ( à savoir le "HLDRRR.exe" )
Quelqu'un saurait m'aider svp?

(((((((((((((((((((((((((((((((((((((((((((((((( RAPPORT)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))


	  Sun Sep 07 20:15:01 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.67
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Sun Sep 07 20:15:32 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

	  Sun Sep 07 20:17:10 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

	  Sun Sep 07 20:21:28 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.67
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Sun Sep 07 20:23:00 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.67
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Sun Sep 07 20:32:00 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

	  Sun Sep 07 20:32:38 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.67
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Sun Sep 07 20:42:30 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.67
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Sun Sep 07 20:42:55 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2731
Nº Total de Ficheros:      35773
Nº de Ficheros Analizados: 9268
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sun Sep 07 20:47:10 2008
EliBagle v11.67  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2731
Nº Total de Ficheros:      35773
Nº de Ficheros Analizados: 9268
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

sKe69 · Answer

Salut,

Infection par un bagle : 

1-IMPORTANT : 
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire : 
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)

Note : si tu as déjà le "Elibagla" sur ton PC -> supprimes le !!! 


2- Télécharges FindyKill de Chiquitine29 : 

Fais un clique droit sur le lien et choisis "enregistrer la cible sous ...." , destination le bureau .

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar 

--> Dezippes le (= extraire)  sur ton bureau .

Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) . 

--> Entre dans le dossier " FindyKill " 

Double clic sur " FindyKill.bat " (et pas sur autre chose!) pour lancer l'outil .

->choisis l'option 1 . Puis laisses travailler ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Helmout · Answer

Tout d'abord, merci de ton aide :) j'ai fais ce que tu m'as dit, mais j'ai pas de "FindyKill.bat", mais un FindyKill ( fichier de commande MS-DOS si j'en crois les "propriétés") c'est ça?

Helmout · Answer

c'était rapide ^^ voila le rapport:



--------- FindyKill V2.O55 par Chiquitine29 ---------    
 

[ Recherche effectuée à 21:31:06 | 07/09/2008 ]
[ INSTALL LOCATION : C:\Documents and Settings\Viovio\Bureau\FindyKill\FindyKill.bat ]
[ USER : Viovio | PC : TOTOR ]
[ BOOT MODE : Normal  ]
 
 
----------------- *** Recherche *** ------------------ 
 
 
»»»» Presence des fichiers dans C: 
 
"C:\Muestras" Present!! 
C:\InfoSat.txt Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
C:\WINDOWS\Prefetch\WINTEMS.EXE-????????.pf Present!! 
C:\WINDOWS\Prefetch\MDELK.EXE-????????.pf Present!! 
C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
C:\WINDOWS\system32\mdelk.exe Present!! 
C:\WINDOWS\system32\wintems.exe Present!! 
C:\WINDOWS\system32\ban_list.txt Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
C:\WINDOWS\system32\drivers\srosa.sys Present!! 
C:\WINDOWS\system32\drivers\hldrrr.exe Present!! 
"C:\WINDOWS\system32\drivers\downld" Present!! 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Viovio\Application Data 
 


»»»» Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    WinampAgent	REG_SZ	"C:\Program Files\Winamp\winampa.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    MSMSGS	REG_SZ	"C:\Program Files\Messenger\msmsgs.exe" /background
 
 
----------- ! Recherche realisée avec success ! -----------

sKe69 · Answer

J'espère que tu as bien supprimé Elibagla ( le "petit prg Espagnol" ) .


Relances FindyKill : 

-> choisis cette fois-ci l'option 2 .

/!\ il y aura 2 redémarrages !... laisses travailler l'outil jusqu' à l'apparition du message :
 "nettoyage terminé" . 

---> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Helmout · Answer

Voila le rapport...

 
--------- FindyKill V2.O55 par Chiquitine29 ---------    
 

[ Suppression effectuée à 21:36:55 | 07/09/2008 ]
[ INSTALL LOCATION : C:\Documents and Settings\Viovio\Bureau\FindyKill\FindyKill.bat ]
[ USER : Viovio | PC : TOTOR ]
[ BOOT MODE : Normal  ]
 
 
----------- /!\..... Suppression ...../!\ ----------- 
 
 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
Supprime ! de C:\WINDOWS\system32\mdelk.exe 
Echec de la supression!! C:\WINDOWS\system32\mdelk.exe  
Supprime ! de C:\WINDOWS\system32\wintems.exe 
Echec de la supression!! C:\WINDOWS\system32\wintems.exe  
Supprime ! de C:\WINDOWS\system32\ban_list.txt 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
Supprime ! de C:\WINDOWS\system32\drivers\srosa.sys 
Echec de la supression!! C:\WINDOWS\system32\drivers\srosa.sys  
Supprime ! de C:\WINDOWS\system32\drivers\hldrrr.exe 
Echec de la supression!! C:\WINDOWS\system32\drivers\hldrrr.exe  
Supprime ! de "C:\WINDOWS\system32\drivers\downld" 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\Viovio\Application Data 
 
 
 
 
---------- /!\..... Second passage ...../!\ ---------- 
 
 
 
 
»»»» Suppression des fichiers dans C: 
 
Supprime ! de "C:\Muestras" 
Supprime ! de C:\InfoSat.txt 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 
 
Supprime ! de C:\WINDOWS\Prefetch\MDELK.EXE-????????.pf 
Supprime ! de C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf 
Supprime ! de C:\WINDOWS\Prefetch\WINTEMS.EXE-????????.pf 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
Supprime ! de C:\WINDOWS\system32\mdelk.exe 
Supprime ! de C:\WINDOWS\system32\wintems.exe 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
Supprime ! de C:\WINDOWS\system32\drivers\srosa.sys 
Supprime ! de C:\WINDOWS\system32\drivers\hldrrr.exe 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\Viovio\Application Data 
 
 
 
------------ /!\..... Verification...../!\ ------------- 
 
 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Viovio\Application Data 
 
 
 
»»»» Suppression des clefs du registre.. 
 
 
"HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprime ! 
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA " - Supprime ! 
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA " - Supprime ! 
 
 
»»»» Suppression des clefs du registre effectuée ! 
 
 
»»»» Affichage des fichiers caches réparé ! 
 
 
»»»» Services de securité Windows redemarré ! 
 
 
»»»» Suppression des fichiers temporaires : 
 
 
Supprimé ! - "C:\WINDOWS\TEMP\avg8info.id" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_518.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_52c.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_530.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_534.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_568.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_5b8.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\PQ_BATCH.PQB" 
Supprimé ! - "C:\WINDOWS\TEMP\PQ_DEBUG.TXT" 
Supprimé ! - "C:\WINDOWS\TEMP\WGAErrLog.txt" 
Supprimé ! - "C:\WINDOWS\TEMP\WGANotify.settings" 
Supprimé ! - "C:\DOCUME~1\Viovio\LOCALS~1\Temp\clipsrv.exe"  
Supprimé ! - "C:\DOCUME~1\Viovio\LOCALS~1\Temp\~DF105.tmp"  
Supprimé ! - "C:\DOCUME~1\Viovio\LOCALS~1\Temp\~DF141.tmp"  
Supprimé ! - "C:\DOCUME~1\Viovio\LOCALS~1\Temp\~DF927.tmp"  
Supprimé ! - "C:\DOCUME~1\Viovio\LOCALS~1\Temp\~DF994.tmp"  
 
 	
»»»» Autres suppressions : 
 
 
 
 
 
 
---------- ! Nettoyage realisé avec succès ! ---------- 
 
 
»»»» Recherche d autres infections :

sKe69 · Answer

Impec ...

1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


2 --> Redémarres ton PC ! 


3- Télécharges et installes le logiciel HijackThis : 
 
ici : ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici : https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis (pour contrer une éventuelle infection Vundo): 
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ). 

tuto pour utilisation 
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ... et dis moi aussi : comment va le PC maintenant ?

Helmout · Answer

Ha ça semble déjà mieux, mais j'attends que tu me dises si c'est Ok ou pas ^^
voici le rapport:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:24, on 07/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System\ieudinit.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\System\ieudinit.exe
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\Viovio\APPLIC~1\rsvp.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\Viovio\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\Viovio\LOCALS~1\Temp\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\Viovio\LOCALS~1\Temp\clipsrv.exe /waitservice (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)

sKe69 · Answer

Bon ...

d'autres infections à traiter ... Puis on instalera par la suite un bon antivirus ( gratuit bien sûr ) ...


Donc fais ce qui suit :

1-Vas dans panneau de config/ajout et suppression de prg . 
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou 
"Adverts" --->si ils s'y trouvent , supprimes les .


2-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .  

Là,laisses toi guider: 
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

Helmout · Answer

raah encore? :(

J'n'ai vu aucun des programmes que t'as cité..

Helmout · Answer

Merci encore pour ton aide! Voila le rapport...


   --------------------\  Lop S&D 4.2.4-1   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
   BIOS : Default System BIOS
   USER : Viovio ( Administrator )
   BOOT : Normal boot

   "C:\Lop SD" ( MAJ : 06-09-2008|22:02 )
   Option : [1] ( 07/09/2008|22:16 )
 
   --------------------\  Listing des dossiers dans APPLIC~1  

   [06/08/2008|11:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [06/08/2008|11:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
   [07/09/2008|20:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg8
   [12/07/2008|18:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
   [03/09/2008|17:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
   [31/07/2008|17:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [31/07/2008|10:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [11/07/2008|14:45] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [11/07/2008|12:43] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [07/09/2008|20:11] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [07/09/2008|20:11] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

   [12/08/2008|18:47] C:\DOCUME~1\Viovio\APPLIC~1\Adobe
   [07/09/2008|21:33] C:\DOCUME~1\Viovio\APPLIC~1\EoRezo
   [11/07/2008|12:48] C:\DOCUME~1\Viovio\APPLIC~1\Identities
   [12/07/2008|15:35] C:\DOCUME~1\Viovio\APPLIC~1\ItsLabel
   [11/07/2008|14:51] C:\DOCUME~1\Viovio\APPLIC~1\Macromedia
   [31/07/2008|17:31] C:\DOCUME~1\Viovio\APPLIC~1\Microsoft
   [11/07/2008|14:22] C:\DOCUME~1\Viovio\APPLIC~1\Mozilla
   [07/08/2008|00:00] C:\DOCUME~1\Viovio\APPLIC~1\Opera
   [29/08/2008|19:10] C:\DOCUME~1\Viovio\APPLIC~1\vlc
   [04/08/2008|00:15] C:\DOCUME~1\Viovio\APPLIC~1\WinRAR
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [07/09/2008 21:54][--ah-----] C:\WINDOWS	asks\SA.DAT
   [05/08/2004 14:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [06/08/2008|12:08] C:\Program Files\Adobe
   [11/07/2008|14:43] C:\Program Files\Alwil Software
   [07/09/2008|21:48] C:\Program Files\CCleaner
   [12/07/2008|19:00] C:\Program Files\C-Media 3D Audio
   [11/07/2008|12:39] C:\Program Files\ComPlus Applications
   [07/09/2008|17:57] C:\Program Files\eMule
   [11/07/2008|14:40] C:\Program Files\EoRezo
   [06/08/2008|11:29] C:\Program Files\Fichiers communs
   [12/07/2008|18:08] C:\Program Files\Grisoft
   [17/07/2008|13:14] C:\Program Files\InstallShield Installation Information
   [29/08/2008|14:00] C:\Program Files\Internet Explorer
   [29/08/2008|14:03] C:\Program Files\Messenger
   [07/08/2008|12:49] C:\Program Files\Messenger Plus! Live
   [11/07/2008|12:43] C:\Program Files\microsoft frontpage
   [31/07/2008|17:25] C:\Program Files\Microsoft Office
   [05/08/2008|00:29] C:\Program Files\Movie Maker
   [07/09/2008|22:10] C:\Program Files\Mozilla Firefox
   [11/07/2008|12:38] C:\Program Files\MSN
   [11/07/2008|12:39] C:\Program Files\MSN Gaming Zone
   [05/08/2008|00:25] C:\Program Files\NetMeeting
   [11/07/2008|12:39] C:\Program Files\Online Services
   [29/08/2008|17:47] C:\Program Files\Opera
   [05/08/2008|00:25] C:\Program Files\Outlook Express
   [17/07/2008|13:14] C:\Program Files\PowerQuest
   [11/07/2008|12:41] C:\Program Files\Services en ligne
   [07/09/2008|21:55] C:\Program Files\Trend Micro
   [11/07/2008|12:48] C:\Program Files\Uninstall Information
   [12/07/2008|19:03] C:\Program Files\VIA
   [29/08/2008|17:46] C:\Program Files\VideoLAN
   [11/07/2008|14:49] C:\Program Files\Windows Live
   [07/09/2008|15:50] C:\Program Files\Windows Media Player
   [05/08/2008|00:25] C:\Program Files\Windows NT
   [11/07/2008|12:41] C:\Program Files\WindowsUpdate
   [04/08/2008|00:15] C:\Program Files\WinRAR
   [11/07/2008|12:43] C:\Program Files\xerox

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [06/08/2008|11:29] C:\Program Files\Fichiers communs\Adobe
   [06/08/2008|11:29] C:\Program Files\Fichiers communs\Adobe Systems Shared
   [31/07/2008|17:25] C:\Program Files\Fichiers communs\Designer
   [12/07/2008|19:02] C:\Program Files\Fichiers communs\InstallShield
   [06/09/2008|21:07] C:\Program Files\Fichiers communs\Microsoft Shared
   [11/07/2008|12:40] C:\Program Files\Fichiers communs\MSSoap
   [11/07/2008|13:50] C:\Program Files\Fichiers communs\ODBC
   [11/07/2008|12:40] C:\Program Files\Fichiers communs\Services
   [11/07/2008|13:50] C:\Program Files\Fichiers communs\SpeechEngines
   [05/08/2008|00:25] C:\Program Files\Fichiers communs\System
   [11/07/2008|14:48] C:\Program Files\Fichiers communs\WindowsLiveInstaller

   --------------------\  Process

   ( 29 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-09-07 22:17:30
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [F:1][D:0]-> C:\DOCUME~1\Viovio\LOCALS~1\Temp
   [F:1][D:0]-> C:\DOCUME~1\Viovio\Cookies
   [F:6][D:4]-> C:\DOCUME~1\Viovio\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 07/09/2008|22:18 - Option : [1]

   --------------------\  Fin du rapport a 22:18:08

sKe69 · Answer

Bon ... Erreur de jugement de ma part ...

fais ceci :

1- Télécharges ceci : 
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe 

double clique dessus ( cela répare la clé safeboot qui gère le mode sans echec ). 



2- Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

--->Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,
Impératif : redémarres en mode sans échec . 
Comment aller en Mode sans échec :
1) Redémarres ton ordi 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...) 

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script. 
--->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

Helmout · Answer

Heu.. le démarrage en mode sans echec ne fonctionne pas...

sKe69 · Answer

C'est bagle qui a causé ce genre de prb ... ;)

Essayes ce-ci d'abors pour réparer le mode sans échec : 
Cliques droit sur ce lien :
http://www.malekal.com/download/SafeBoot.reg 
Et choisis " enregistrer la cible sous " afin de télécharger "SafeBoot.reg" sur ton Bureau . 
Doubles cliques sur ce ".reg" et acceptes la fusion avec le registre .


Puis reprends la manipe de SDFix ...

Helmout · Answer

:( je craque...
quand je choisis " enregistrer la cible sous ", j'enregistre un .txt pas un .reg.

Helmout · Answer

Bon ça a pas l'air de marcher, je sais pas trop pourquoi, et je vais devoir y aller... je re-essayerai à tête reposée demain...
Merci pour ton aide!

Helmout · Answer

Bonjour!
me revoilà, pour la suite des évènements, j'ai réparé le mode sans echec puis j'ai pu faire ce que tu m'avais conseillé plus haut.

voilà le rapport SDfix : ( le rapport hijakcthis suivra dans le prochain post, pour un peu plus de clarté, il arrive!)



[b]SDFix: Version 1.222 [/b]
Run by Viovio on 08/09/2008 at 13:42

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 13:46:10
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Fri 11 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4896e7eb404b9f0d2ec9221b3c0f425b\BIT3.tmp"
Fri 11 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bfd81cbd42e5265d12677c96600c0804\BIT4.tmp"
Fri 11 Jul 2008       614,200 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d3d59acde4bc99f07df90298fa402c77\BIT7.tmp"
Fri 11 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\BIT1.tmp"
Sun  7 Sep 2008           149 A..H. --- "C:\Documents and Settings\All Users\Application Data\avg8\scanlogs\srmcheck.tmp"

[b]Finished![/b]

Helmout · Answer

et voilà le rapport hijakcthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:37, on 08/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)

sKe69 · Answer

Salut ,


il te faut un anitvirus :

Télécharges AntiVir ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/

Anti-virus gratuit ( en anglais mais très simple ) 
Installes le et mets le à jour (fais ce-ci très régulièrement ) .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible  


fais ce réglages supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" . 
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High 
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. 
*puis sur la droite, coches les cases suivantes : 
scan boot sectors of selected drives 
scan master boot sectors 
scan memory 
search for rootkit before scan 
et décoches : 
ignore off line files 
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
Impératif : Redémarrer l'ordinateur en mode sans échec . 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )

Helmout · Answer

Voilà! le scan est terminé:



Avira AntiVir Personal
Report file date: lundi 8 septembre 2008  16:36

Scanning for 1602323 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:        Save mode
Username:         Viovio
Computer name:    TOTOR

Version information:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12/08/2008 11:46:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26/06/2008 08:57:53
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26/05/2008 07:56:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  26/05/2008 07:58:52
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24/06/2008 13:54:15
ANTIVIR2.VDF  : 7.0.6.94     2998784 Bytes  31/08/2008 13:09:30
ANTIVIR3.VDF  : 7.0.6.129     230912 Bytes  08/09/2008 13:09:31
Engineversion : 8.1.1.28  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  25/02/2008 09:58:21
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes  08/09/2008 13:09:37
AESCN.DLL     : 8.1.0.23      119156 Bytes  10/07/2008 12:44:49
AERDL.DLL     : 8.1.1.1       397683 Bytes  08/09/2008 13:09:37
AEPACK.DLL    : 8.1.2.1       364917 Bytes  15/07/2008 12:58:35
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes  08/09/2008 13:09:36
AEHEUR.DLL    : 8.1.0.51     1397111 Bytes  08/09/2008 13:09:35
AEHELP.DLL    : 8.1.0.15      115063 Bytes  10/07/2008 12:44:48
AEGEN.DLL     : 8.1.0.36      315764 Bytes  08/09/2008 13:09:33
AEEMU.DLL     : 8.1.0.7       430452 Bytes  31/07/2008 08:33:21
AECORE.DLL    : 8.1.1.11      172406 Bytes  08/09/2008 13:09:32
AEBB.DLL      : 8.1.0.1        53617 Bytes  10/07/2008 12:44:48
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:01
AVREP.DLL     : 8.0.0.2        98344 Bytes  08/09/2008 13:09:32
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12/06/2008 13:48:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: lundi 8 septembre 2008  16:36

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!
Boot sector 'D:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '49' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
Begin scan in 'D:\' <SAVE>


End of the scan: lundi 8 septembre 2008  17:59
Used time:  1:23:28 Hour(s)

The scan has been done completely.

   3137 Scanning directories
 113342 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 113341 Files not concerned
    940 Archives were scanned
      1 Warnings
      0 Notes

sKe69 · Answer

Impeccable ... le rapport est vierge ...


1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( gardes CCleaner et Malwarebytes : très utiles ! )


2- Refais un coup de CCleaner ( registre compris ) .


3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le momment ) 


4- Purge de la restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC


5- Fais ce scan en ligne pour vérifier :

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...). 
- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ... 

S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer !

--> tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Helmout · Answer

Etape 1 terminé, voila le TCleaner.txt , et je passe aux autres étapes.

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\lopR.txt: trouvé !
C:\SDFIX: trouvé !
C:\Lop SD: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Viovio\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Viovio\Bureau\LopSD.exe: trouvé !
C:\Documents and Settings\Viovio\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Viovio\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Viovio\Bureau\LopSD.exe: supprimé !
C:\Documents and Settings\Viovio\Bureau\HJTInstall.exe: supprimé !
C:\lopR.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Lop SD: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Helmout2 · Answer

Mais pourquoi j'arrive plus à poster? :'(
edit: ha bah voila. le rapport donc : 

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Tuesday, September 09, 2008 7:59:21 AM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky :  8/09/2008
 Enregistrements dans la base antivirus Kaspersky : 1073117
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\
	F:\

Statistiques de l'analyse:
	Total d'objets analysés: 42716
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 12:02:23

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\cert8.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\content-prefs.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\cookies.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\downloads.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\formhistory.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\key3.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\parent.lock	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\permissions.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\places.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\places.sqlite-journal	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\search.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Messenger\vio_260@hotmail.com\SharingMetadata\Logs\Dfsr00005.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Messenger\vio_260@hotmail.com\SharingMetadata\pending.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Messenger\vio_260@hotmail.com\SharingMetadata\Working\database_8A44_31EE_4431_DE1F\dfsr.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Messenger\vio_260@hotmail.com\SharingMetadata\Working\database_8A44_31EE_4431_DE1F\fsr.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Messenger\vio_260@hotmail.com\SharingMetadata\Working\database_8A44_31EE_4431_DE1F	mp.edb	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Windows Live Contacts\vio_260@hotmail.comeal\members.stg	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Microsoft\Windows Live Contacts\vio_260@hotmail.com\shadow\members.stg	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\Cache\_CACHE_001_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\Cache\_CACHE_002_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\Cache\_CACHE_003_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\Cache\_CACHE_MAP_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Application Data\Mozilla\Firefox\Profiles\cq20b0lt.default\urlclassifier3.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Historique\History.IE5\MSHist012008090820080909\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temp\etilqs_JOkgub2iq3vgMTZzNbKR	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temp\~DF2229.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temp\~DF2259.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temp\~DF2F76.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temp\~DF2F96.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Viovio\NTUSER.DAT.LOG	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{8D1ECAF4-3E41-4737-8C39-FD84DF821C88}\RP1\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{8974A897-2440-491C-9246-C3E3AB0070E7}.bin	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
F:\divx\DivXPro502GAINBundle.exe	L'objet est verrouillé	ignoré

Analyse terminée.

sKe69 · Answer

Mais pourquoi j'arrive plus à poster? :'(

--> petit bug sur le site  ;) ...


bon le rapport est vierge , ce qui est plutôt bon signe  =)


repostes moi un dernier hijackthis de contrôle et attends la suite ...

Helmout2 · Answer

Ha ça me rassure je croyais que ca venait de moi!
voila ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:55:35, on 09/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)

sKe69 · Answer

Bon ...

dans l'ordre :

1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Tu cliques en bas sur le bouton FIX CHECKED et valides .


Si et seulement si tu n'as plus de soucis avec le PC , fais le suite :

2- Déconnectes toi et fermes bien toutes tes applications en cours .

Lances Toolscleaner2. 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... 


3- Refais un coup de CCleaner (registre compris).


4- fais ce check-up pour finir :

( étape A à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) )


A-Purge de la restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


Attention : ne pas toucher au PC pendant qu'il travaille !

B-Nettoyage et Défragmentation de tes Disques 
*Nettoyage : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" 
Cliques sur le bouton "nettoyage de disque", OK 
tu le fais pour chacun de tes disques 

*Vérifications des erreurs : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" 
"Vérifier maintenant", une boîte s'ouvre, cocher les cases : 
-réparer automatiquement les erreurs... 
-rechercher et tenter une récupération... 
--->Démarrer, ok 
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal 
tu le fais pour chacun de tes disques 

ensuite toujours dans le même onglet tu choisis : 
*Défragmentation : 
"défragmenter maintenant", OK 
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK 
tu le fais pour chacun de tes disques 


--> une fois terminé, dis moi ce que cela a donné ... =)

Helmout · Answer

Ça a l'air d'aller beaucoup mieux! J'ai fais toutes les étapes d'une traite, sans rebrancher internet, tu veux le rapport de TCleaner?

sKe69 · Answer

Impec,

tu veux le rapport de TCleaner?
-> oui stp ...


Prb résolu donc : 
http://www.commentcamarche.net/faq/sujet 11365 mettre son poste en probleme resolu


Content d'avoir pu te rendre service ... ^^


potasses néanmoins ceci:

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation par exemple ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(PS : pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
 https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

=================================================================
=> Rappel sur les principales causes d'infection : 

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/ 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html

* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
->https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
->autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

=================================================================
( merci le sioux )


Voili, voilou ...

bonne continuation à toi ... =)


A+

Helmout · Answer

Haa génial, merci pour tout! Je m'en serai pas sortie toute seule!
M'as tu fais installé un anti-spyware? Si oui lequel ( j'ai honte, mais j'y connais rien :p ) si non, tu m'conseilles lequel?
Je vais potasser tout ça comme tu dis, j'ai vraiment aucune envie de retomber dans le panneau, c'était suffisamment lourd!

Voila le rapport :


[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Viovio\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Viovio\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Viovio\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Viovio\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

sKe69 · Answer

Tu as sur ton PC Malwarebytes ( scanneur passif : scannes ton PC avec 1 fois par semaine en l'ayant mis à jours avant ... ) , c'est le meilleurs du momment donc gardes le bien .... Tu as aussi sur ton PC AVG Antispyware qui est pas mal ....


A+  ;)

Helmout · Answer

Maintenant que tu me le dis, il me semble que tu ne m'as pas fait installer Malwarebytes. J'ai re-survolé le topic mais j'ai pas vu ^^ enfin, je vais vérifier et le télécharger et l'installer si je n'l'ai pas. Merci encore!

sKe69 · Answer

re , Effectivement non ! ... :p Tiens ,voilà la manipe : souligne>Télécharges MalwareByte's : ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe ou ici : http://www.malwarebytes.org/mbam.php Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ ) Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 ( cela dis, il est très simple d'utilisation ). Impératif : redémarres en mode sans échec : Comment aller en Mode sans échec 1) Redémarres ton ordi 2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 3) Tu verras un écran avec options de démarrage apparaître 4) Choisis la première option : Sans Échec, et valide avec "Entrée" 5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) (attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...) Lances Malwarebyte's . Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire : -->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . -->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " . Redémarres ton PC ( mode normal ). Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date). Normalement , il ne devrait pas avoir grand chose ^^"

Helmout · Answer

Oops j'ai oublié de te répondre ^^
Il n'a rien trouvé, tout va bien! J'ai installé ce que tu m'as conseillé, mon ordi a l'air de se porter bien mieux!

Merci encore

HLDRRR.EXE, comment le virer?

32 réponses

Votre réponse

Discussions similaires

Newsletters