je n arrive pas a instaler mon antivirus Résolu/Fermé

Question

Bonjour,

on ma refait mon ordi mais je me suis rendu compte trop tard qu'ils avaient oublier de mettre l'anti virus kasperski et j'ai malheureusement attraper un virus qui ma empêcher de travailler.il referme mon ordi tous seul
j'ai donc essayé de mettre mon anti virus impossible de l'installer voici le message d'erreur 

l'administrateur système à configuré la politique de votre système pour interdire cette installation (je suis seul sur cette ordi)

voici le rapport du fichier hitjachis je ne sais pas si cela vas vous aider moi je ne comprend rien j'espére qu'un bon cœur secourable vas pouvoir m'aider merci d'avance

 snoupy59

voici donc le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:37, on 17/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Internet\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ovh.co.uk/mail/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32
tos.exe,
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [5821d7ad] rundll32.exe "C:\WINDOWS\system32\awnvlspc.dll",b
O4 - HKLM\..\Run: [BM5b12e431] Rundll32.exe "C:\WINDOWS\system32ikrkeog.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] C:\Windows\LSD\LClock\lclock.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [VoipBuster] "G:\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32
tos.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: jpfkgj.dll ejwwxu.dll orgzpl.dll vwymmy.dll eorxml.dll zuxnsj.dll
O20 - Winlogon Notify: eseqgt - C:\WINDOWS\
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

Utilisateur anonyme · Answer

sors de la session et connecte toi en tant qu'administrateur sans mot de mot passe

servabat · Answer

voici le fichier que tu DOIS a TOUT PRIX SUPPRIMER !! :
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32
tos.exe
renvoit moi un scan please

Utilisateur anonyme · Answer

Putain je sais pas comment vous faîte pour lire tous ce scan, c'est trop long...

servabat · Answer

please pas de gros mots ^^

totobetourne · Answer

servabat il faudrait peut etre passer un fix pour enlever une ligne infecte , hijack aide a desinfecte mais il n agit pas comme cela.
pour ton infection il faut sd fix avec de tel ligne.on verra apres.



Bonjour,

*Télécharge SDFix (créé par AndyManchesta)
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
*Double-clique sur SDFix.exe
*Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
*Redémarre en mode sans échec
*Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
*Double clique sur RunThis.bat pour lancer le script. (Le .bat peut ne pas apparaître)
*Appuie sur Y pour commencer le processus de nettoyage.
*Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
*Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
*Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
*Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
*Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
*Copie/colle le contenu


*Si Sdfix ne se lance pas
* Clique sur Démarrer > Exécuter
*Copie/colle ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
*Clique sur Ok.
*Redémarre et essaie de relance SDFix.

totobetourne · Answer

on en a enlever des choses avec sd fix , le fichier ntos.exe netait pas partie avec le hijack.

mais il doit rester autre chose.on va continuer avec un autre outil qui devrait t enlever d autres lignes car il doit en rester.


1)Telecharges malwares bytes anti malwares :

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.





2)refais un rapport hijack pour voir si il te reste quelquechose.
apres on verra pour gagner du temps au demarrage si tu veux et ce serait bien d augmenter tes securite et aussi il faut bien reflechir avant d accepter un fichier.

totobetourne · Answer

fait malwarebyte voir le message precedent et colle le rapport . merci.

totobetourne · Answer

tu as passer malwarebyte en mode snas echec ou pas?normallement mode sans echec pas de connection reseau.

snoupy59 · Answer

Je crois pas le refait

totobetourne · Answer

resultat , colle le rapport.

totobetourne · Answer

il repere les meme clef qu il aurait du deja eliminer.
utilise cet outil

pour voir télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

feelgood · Answer

Salut, ne pas oublier de mettre a jour MBAM, la version actuelle et la 1.30 ( en faisant la mise a jour, elle passera de l'ancienne version à la nouvelle)...

totobetourne · Answer

refais un rapport hijack et colle le . merci.

totobetourne · Answer

on va encore un peu regarder.

1)Ensuite,
*Rends toi sur ce site :

https://www.virustotal.com/gui/

*Clique sur "Parcourir" et cherche ce fichier :      C:\WINDOWS\system32\hpoipm07.exe 
*Un rapport va s'élaborer ligne à ligne.
*Attends la fin. Il doit comprendre la taille du fichier envoyé.
*Sauvegarde le rapport avec le bloc-note.
*Copie le dans ta réponse.
*Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Reanalyse" le fichier maintenant

colle le rapport.




2)colle le rapport d'un scan en ligne.cela se fait avec internet explorer et il faut acepter un active x pour que le scan puisse s effectuer.

bitdefender en ligne :il desinfecte en meme temps
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

totobetourne · Answer

ok mais il ne nomme pas les fichiers infectes , fait un rapport avec les autres scan en ligne.


ou en es tu avec l analyse du fichier sur virustotal?

totobetourne · Answer

a chaque fois que tu as passe malwarebyte c etait en mode sans echec ou pas?car il faut en mode sans echec.

mais a mes yeux je crois qu il ne reste plus rien.

comment se comporte ton pc?

totobetourne · Answer

va sur virus total pour ses fichiers.et analyse les.

C:\WINDOWS\system32\qhgqgqel.dll 
C:\WINDOWS\system32\fcwdbgis.dll 
C:\WINDOWS\system32\orgzpl.dll 
C:\WINDOWS\system32\rpgdbble.dll 


colle moi les rapports ,je prefere m assurer que ce soit des faux positif.
il y a aussi d autres fichiers avec rogue winantispyware va verifier si il existe tout de meme si tu as garder le rapport car moi je ne voit pas le chemin des fichiers.

snoupy59 · Answer

Bonjour  et excuse moi pour ne te répondre que maintenant j'ai moi aussi attraper un mauvais virus et il me faudrait  aussi de l'aide car la médecine a du mal a le virer lol

fichiers avec rogue winantispywar comment je doit faire quelle programme utilise es que Malwarebite anti malware est il suffisant pour se qui suit ces fichier impossible de les trouver j'ai fait une recherche il ne sont pas dans l ordi




C:\WINDOWS\system32\qhgqgqel.dll
C:\WINDOWS\system32\fcwdbgis.dll
C:\WINDOWS\system32\orgzpl.dll
C:\WINDOWS\system32\rpgdbble.dll 



donc voici le rapport que j'ai pu faire


--Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.11.18.2	2008.11.18	-
AntiVir	7.9.0.31	2008.11.18	-
Authentium	5.1.0.4	2008.11.18	-
Avast	4.8.1281.0	2008.11.17	-
AVG	8.0.0.199	2008.11.17	-
BitDefender	7.2	2008.11.18	-
CAT-QuickHeal	10.00	2008.11.18	-
ClamAV	0.94.1	2008.11.18	-
DrWeb	4.44.0.09170	2008.11.18	-
eSafe	7.0.17.0	2008.11.17	-
eTrust-Vet	31.6.6209	2008.11.14	-
Ewido	4.0	2008.11.17	-
F-Prot	4.4.4.56	2008.11.17	-
F-Secure	8.0.14332.0	2008.11.18	-
Fortinet	3.117.0.0	2008.11.18	-
GData	19	2008.11.18	-
Ikarus	T3.1.1.45.0	2008.11.18	-
K7AntiVirus	7.10.526	2008.11.15	-
Kaspersky	7.0.0.125	2008.11.18	-
McAfee	5437	2008.11.17	-
Microsoft	1.4104	2008.11.17	-
NOD32	3620	2008.11.18	-
Norman	5.80.02	2008.11.17	-
Panda	9.0.0.4	2008.11.17	-
PCTools	4.4.2.0	2008.11.17	-
Prevx1	V2	2008.11.18	-
Rising	21.04.11.00	2008.11.18	-
SecureWeb-Gateway	6.7.6	2008.11.18	-
Sophos	4.35.0	2008.11.18	-
Sunbelt	3.1.1801.2	2008.11.14	Porn-Dialer.Win32.CapreDeam.BL (vf)
Symantec	10	2008.11.18	-
TheHacker	6.3.1.1.157	2008.11.18	-
TrendMicro	8.700.0.1004	2008.11.18	-
VBA32	3.12.8.9	2008.11.17	-
ViRobot	2008.11.18.1474	2008.11.18	-
VirusBuster	4.5.11.0	2008.11.17	-
Information additionnelle
File size: 57344 bytes
MD5...: 9f1573f5069ba5b0a7ca131c52430e65
SHA1..: 431dd8e717fd9cbc2b5608c6c43e517601f7159e
SHA256: 5bfc588e2127d6e81f08686916b50980751aa1c9df3a0492826d5cc2ed3daad6
SHA512: af6ee7d022ff770d9e735354e135aaf6785f11378325b468bda95f010724ae0a
786861a06b80c9850dc369b43b19cfea161f3566b2002d8bb87408ca63334b58
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x407d9e
timedatestamp.....: 0x3ddb8456 (Wed Nov 20 12:47:18 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x981c 0xa000 6.24 d3606a1ff27ae8ceeefec5c7100b6fbc
.rdata 0xb000 0xd6c 0x1000 4.85 09f0f626f1bee7a76de5a03f79756134
.data 0xc000 0x103c 0x1000 2.70 98a5c658606a38c58dca189b7cbea05b
.rsrc 0xe000 0x3c8 0x1000 1.01 75815ed909bec4e8d75bdc16387a9914

( 4 imports )
> WSOCK32.dll: -, -, -, -
> KERNEL32.dll: LocalAlloc, ReleaseMutex, UnmapViewOfFile, CloseHandle, MapViewOfFile, LocalFree, CreateFileMappingA, CreateMutexA, SetEvent, IsBadStringPtrA, GetCurrentProcessId, GetTickCount, OpenProcess, WaitForSingleObject, GetVersionExA, FreeLibrary, WriteProcessMemory, GlobalAlloc, GlobalFree, lstrcmpA, lstrcmpiA, lstrcpyA, lstrcatA, ResetEvent, GetLastError, DuplicateHandle, GetCurrentProcess, CreateEventA, Sleep, LoadLibraryA, GetProcAddress, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, ReadProcessMemory, HeapReAlloc, WideCharToMultiByte, FreeEnvironmentStringsW, HeapAlloc, GetOEMCP, VirtualAlloc, GetEnvironmentStrings, GetACP, MultiByteToWideChar, GetEnvironmentStringsW, InitializeCriticalSection, WriteFile, EnterCriticalSection, HeapFree, VirtualFree, RtlUnwind, HeapDestroy, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, GetCPInfo, LeaveCriticalSection, HeapCreate, SetHandleCount, GetStdHandle, GetFileType, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue
> USER32.dll: PostQuitMessage, wsprintfA, SetWindowTextA, PeekMessageA, DispatchMessageA, TranslateMessage, MessageBoxA, MsgWaitForMultipleObjects, CreateWindowExA, RegisterClassA, DestroyWindow, DefWindowProcA, LoadCursorA, ShowWindow
> ADVAPI32.dll: RegCloseKey, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor

( 0 exports )
ThreatExpert info: https://www.symantec.com?md5=9f1573f5069ba5b0a7ca131c52430e65

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

Autre fichier
VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.co
Il n'est pas de joie qui égale celle de se créer de nouvelles amitiés.
Ce n'est pas la volonté qui mène au but, mais le but qui donne la volonté

totobetourne · Answer

comment se comporte ton pc et refais un nouveau hijack.

totobetourne · Answer

fait tu bien les mise a jour windows?

ton pc semble plus propre.

snoupy59 · Answer

oui les mis a jour se font correctement et regulierment

Je n arrive pas a instaler mon antivirus

21 réponses

Discussions similaires