Trojan PSW.Banker4.APSA, log HiJackThis Résolu

Question

Bonjour,

AVG a détecté le Trojan PSW.Banker4.APSA
Je n'arrive pas à l'enlever.
Voici le log HiJackThis.
Merci de votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:27:26, on 08/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Clo\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNavExtBho Class - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Program Files\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e05f85892da4bd48da70e6f598f9af9
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e05f85892da4bd48da70e6f598f9af9
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {A6A216EB-4F7C-11D5-8438-0000B456BA3D} (Matn5250 Control) - http://extra.experia.com/pages/matn5250.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - http://srvnotes.hardis.fr/dwa7W.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B1F0C48-FC53-4884-9FB3-632066440F36}: NameServer = 86.64.145.147 84.103.237.147
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

kraignos · Accepted Answer

Bootez avec le cd d'installation de windows XP

choisissez l'option "R" réparer une installation

le pc va booter en mode console de récupération et vous demander le mot de passe du compte "Administrateur" qui est créé à l'install initial du PC (allez faites un peti effort de mémoire)

ensuite allez dans c:\windows\system32\dllcache

en dos pour les plus jeunes ca se fait ainsi :

cd c:\windows\system32\dllcache

copiez user32.dll (la sauvegarde) dans c:\winsows\system32\ (la ou il a été effacé ou corrompu par le heal d'avg)

ca se fait ainsi à partir du répertoire c:\windows\system32\dllcache , tapez ceci :

copy user32.dll ..

merci de respecter l'espace entre user32.dll et le double-point

restet votre PC et ca devrait marcher

mettez a jour votre avg tant que vouis avez encore cette alarme, ignorez la a chaque fois, ou désinstallez avg pour installer antivir par exemple

j'étais très content d'avg mais je trouve qu'il y a maintenant beaucoup trop de faux positifs et de plus en plus dangereux comme celui ci

benurrr · Answer

salut, avec 2 antivirus risque de conflit

1) Télécharge SDFix d' AndyManchesta 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau. 

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\) 
N y touche pas pour l instant. 

2) Redémarre en mode sans échec 

3) SDFix 
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
* Appuie sur Y pour commencer le processus de nettoyage. 
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
* Appuie sur une touche pour redémarrer le PC. 
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Redhills · Answer

Bonjour,

J'ai eu le même problème de détection de spyware, j'ai suivi la méthode avec SDFix, sauf qu'au redémarrage je me retrouve avec un bel écran bleu : STOP : c0000135 (Composant introuvable) ... winsrv est introuvable ... réinstallation peut corriger le probleme. 

J'ai vu qu'il y avait un répertoire de backup avec des clés de registres. Je n'ai rien fait pour le moment par crainte d'empirer la situation.

Si je dois tout réinstaller je suis dans une mouise noire !

Vos avis svp.

Redhill

kraignos · Answer

ceci est un faux positif de AVG 8 seul lui le detecte dans user32.dll (test effectué avec virustotal) ce faux positif date de la mise a jour de ce matin (9/11) et n'est pas encore corrigée à 10h30 gmt+1

mettre en quarantaine ce fichier plante totalement windows et il sera alors nécessaire de passer par la console de récupération pour rétablir le fichier user32.dll dans son emplacement d'origine c:\windows\system32\

pour info cette dll est sauvegardée dans c:\windows\system32\dllcache

kraignos · Answer

après vérification le faux positif n'arriverait que sur des windows XP SP2 et pas sur des versions en SP3

Demo · Answer

Merci pour vos bonnes réponses,malheureusement consultées trop tard.J'ai executé la manip.qu'AVG me recommandait.Le Pc ne termine plus la séquence de démarrage,il repart en boucle avant la fin de
l'installation de XP.Je viens de voir ce forum avec mon 2e pc,pendant que l'autre,
le faux contaminé LOL,réinstalle une belle image disque que j'avais faite.
Je crois que c'est quand même la meilleure porte de sortie quand on est pas champion d'informatique.
Encore merci à vous, les cracs du pc, pour vos conseils.

Mémé · Answer

J'ai une question très stupide au sujet de ce problème (mais on s'y connait en informatique ou on s'y connait pas, hein !).

Après ce gros soucis avec avg, est-ce que l'ordinateur plante immédiatement après avoir mis le fichier en quarantaine, ou plante-il quand on redémarre l'ordinateur ?

ptitof · Answer

Bonjour
Même problème ce matin avec XP SP3 et AVG. Je suis passé sur mon portable, aussi en XP SP3+AVG mais pas pollué lui, ouf.J'ai pourtant fait la maj AVG sans problème. Sur mon PC fixe planté même en mode sans échec, impossible de booter sur le CD XP Pro d'origine malgré modif BIOS : boot failure ! Est-il possible de créer un CD bootable pour que je puisse lancer la console de récupération ?  Merci d'avance

riquet · Answer

Merci à tous pour les infos.  
Malheureusement, le scan AVG sur mon PC (booté en mode sans echec et scanné) semble indiquer que le user32.dll du cachedll est également contaminé.  Peut-on le récupérer (sain) autre part?

Merci d'avance

leauickque · Answer

Bonjour,
j'ai eu également le meme souci (merci AVG)...j'ai suivi la procédure préconisée par kraignos or je n'ai pas de dossier dllchache dans system32 pour copier user32.dll . Est ce que je peux télécharger ce .dll a partir du net sur le site de microsoft ou contient il des infos relatives à mon PC et dans ce cas je en peux pas ?

Merci de vos réponses!!

bopod · Answer

Bj

Le problème existe certainement sur XPSP3 aussi. Et avec toutes les versions de AVG (7.5, 8, Free, Payant).
Ce que moi j'aimerais bien savoir, avant que je fais n'importe quoi: est-ce qu'il s'agit d'un vrai trojan ou non? Symantec semble pas détecter quelque chose... donc, c'est "safe"?

Quoi faire alors quand on n'a pas déjà supprimé le user32.dll. Est-ce qu'il suffit de supprimer AVG et choisir une sollution antivirus qui ne tue pas l'ordinateur elle-même?

Il n'y a rien a trouver sur le site de grisoft... 

B

Pikach · Answer

Même problème ce matin, et malheureusement sur mon premier pc j'ai fait ce que AVG conseillait, pas sur le deuxième, et je n'aurai pas de cd de restauration avant plusieurs jours ... si seulement je n'avais pas relancé mon pc, j'aurais pu revenir en arrière ...

kalshyre · Answer

Bonjour,
Même problème, mais je n'ai pas encore redémarré, de peur d'avoir un écran bleu. En revanche, après avoir 'réparé' le fichier (avec succès à la 2e reprise, malheureusement), je ne peux plus démarrer de nouvelles applications (msn, skype, bloc note, en revanche l'explorater windows fonctionne).
Je n'ai pas le bon CD de windows sous la main, en revanche, j'ai des fichiers de restauration du registre crées par CCleaner (le dernier doit remonter à 2-3 semaines), cela permettrait-il de restaurer l'état précédent ?
J'ai également une partition dédiée RECOVER mais je ne sais pas comment l'utiliser.

PS: je n'ai pas de dossier/fichier system32/cachedll ou dllcache, en revanche mon system32/user32.dll a une date de modification de 08/2004, cela veut-il dire que AVG n'y a pas touché ?

Merci à ceux qui planchent pour trouver une solution !
Kalshyre

Monsieur Tout-le-Monde · Answer

Hello,

j'ai suivi la procédure de Kraignos pour récupérer le fichier user32.dll (j'insiste, il faut booter sur le CD d'installation, tenter de recopier le fichier en MS-DOS mode sans échec, ne fonctionne pas car la dll est utilisée).

Tentative de redémarrage NOK (grmbl).

Alors j'ai redémarré en mode sans échec et j'ai désinstallé AVG.

Et là redémarrage OK.

Tawara · Answer

Bonjour,

Même problème qu'au dessus, AVG signale un Trojan, d'après ce que j'ai pu lire, les options "Heal" ou "Mise en quarantaine" bougent le fichier user32.dll, aprés cette opération, l'ordi bug, reboot de manière intempestive, bloque sur le démarrage et reboot en boucle.

Comme conseillé plus haut, ne pas toucher au fichier user32.dll. Considérant que le trojan est un faux, choisir l'option "ignorer" n'est pas génant, et permet d'éviter ce problème et attendant un fix d'AVG.

Pour restaurer le fichier user32.dll, à priori pas d'autre choix de passer par un CD d'install, chez moi, même en mode sans échec le PC reboot en boucle. Donc euh.. je cherche activement mon CD et boot et je vous tiens au courant.

(Déçu par AVG n'empêche, un bug comme ça, ça va foutre sérieusement la merde chez beaucoup de gens)

Glouk · Answer

Bonjour,

Meme problème apparemment, mais moi j'en suis toujours a cette fameuse alerte d'avg que je me suis abstenu de toucher (screen https://imageshack.com/ )

Vous me conseillez de faire quoi a part mes mes fichiers sur disque dur externe ^^" ?

slytek81 · Answer

Bonjour,
même problème pour moi...
J'ai réussi a remettre en place user32.dll
Sauf que maintenant il ne trouve plus le fichier winsrv... et la je ne vois pas du tout quoi faire...

Ecran bleu..

leauickque · Answer

C'est bon j'ai désinstallé AVG et je viens d'acheter Kaspersky2009 :)

zazie38 · Answer

Bonjour à tous et merci !
Vos précieux conseils sont arrivés trop tard pour moi !
J'avais déjà plus de PC !!!
Tant pis, j'ai tout réinstallé, ça faisait un moment que je voulais le faire !!!
Merci quand même !

anne · Answer

j'ai le même problème...

je n'arrive pas à booter en mode sans echec, le pc redémarre. Je démarre depuis mon CDROM de restauration ASUS mais c'est un simple invite de commande et pas la console de récupération (pour ça il faudrait pouvoir booter en sans echec...)
j'ai essayé la commande 

expand C:\I386\user32.dl_ c:\windows\system32\user32.dll

car USER32.dl_ était dans C:\I386 mais cette commande ne fonctionne pas avec l'invite de commande mais uniquement avec la console de récup
(expand sert à décompresser USER32.Dl_ , vous pouvez essayer la commande dans la console de récup)

j'ai essayé de copier simplement le fichier avec copy  mais j'ai toujours l'écran bleu user32 est endommagée...
jcrois que c'est mort... putain de avg c'est des incompétents de mettre une maj pareil et ils sont injoignables biensur

bopod · Answer

Salut

La methode "kraignos" (regardez plus haut) semble correcte pour déjà un de mes machines. (XP SP3 - AVG FREE, 7.5)
Donc, boot du CD XP, choisir R de repair, copier le fichier user32.dll du cache et ensuite rédemarrer en "safe mode"

Deinstaller AVG et reboot. Plus de antivirus, mais tout le bazar semble fonctioner.

Pour cette solution en Néerlandais: je la ferais sur www.msvoskenslaan.be pour mes utilisateurs

Merci a tous ceux qui ont aidé!
b

Elfa34 · Answer

Est ce que les fichiers sauvegardés sur un disque dur externe (des fichiers persos, photos etc..) ce matin craignent ?

Regis144 · Answer

Bonjour,

Je n'ai pas ou plus le CD d'installation de windows WP... Comment est ce que je peux récupérer ce fichier ailleurs???

Benibur · Answer

je suis aussi tombé ds le panneau : après diverses tentatives (mais connaitre ce post becauz plus d'accès internet...). J'avais bien essayé d'utiliser la console de récupération mais rien à faire il ne voulait pas de mon mot de passe (? incompréhensible, pb de clavier ?)
bilan j'ai réinstallé une copie de ma partitions système (ça sert d'être prudent !)
par contre j'ai hâte qu'avg corrige ça car j'en ai marre de l'alerte qui ne sert à rien...
toutes mes condoléances pour ceux dont les conséquences sont plus graves ...

Seiki · Answer

Désinstaller AVG en mode sans echec a réglé le problème chez moi

Pas moyen de copier un fichier user32.dll téléchargé, même via le cd de windows.

bopod · Answer

Salut

Il'y a une heure que j'ai reçu une update haute priorité de AVG. Je l'ai installé sur mon machine test et après j'avais quand même le probleme de reboot. Quelqu'un qui sait s'il y a peut être la solution de grisoft, quand même. J'avais pas déjà redemarrer la machine depuis ce matin, donc je ne suis pas sûr que peut-etre ça pourrait été la correction d'avg?

Personne?

FARIO62 · Answer

Bien le bonjour a tous ...
Heureusement que ma fille m'a prete son pc ... Car le mien ... ben ... il ne veut plus demarrer ...
user32.dll en prison ... Merci AVG ...
Alors j'ai cherché et encore cherché ...
Ben j'ai pas de cd installation xp ... Acer me l'a pas donné avec mon pc ...
J'ai juste un cd de restauration que j'ai fait a l'epoque ...
Alors la ... J'ai le fichier user32.dll sur une clé usb ... Mais a par çà ...
J'attends vos idées tout simplement ...
Quand je pense que je trouvais AVG grandiose ...Et ben la ... J'avoue que ... Moins bien maintenant ...
Bon courage a tous et a toutes ...
Vive le net quand tout fonctionnne ...
Et j'attends avec impatience vos idées pour depanner tout cela ...

a+

Ippo · Answer

Merci pour ces précieuses infos
Pour la sortie de quarantaine de user32.dll, faut il procéder ainsi ?

[URL=https://imageshack.com/][IMG]http://img230.imageshack.us/img230/5479/trojandj3.jpg[/IMG][/URL]
[URL=http://g.imageshack.us/img230/trojandj3.jpg/1/][IMG]http://img230.imageshack.us/img230/trojandj3.jpg/1/w800.png[/IMG][/URL]

Et bien sûr désinstaller AVG par la suite

Triton220 · Answer

Bonjour, j'avais préparé il y a longtemps un CD bootable pour démarrer sous DOS. On n'est jamais trop prudent. J'ai récupéré une version de user32.dll qui se trouvait par chance sur mon PC sous XP SP2 (celle de sauvegarde dans c:\windows\system32\dllcache, elle, avait disparu). Une simple copie de cette DLL dans le répertoire c:\windows\system32 et tout est rentré dans l'ordre. J'en ai profité pour désinstaller AVG Grisoft v8.0 et mettre avast! v4.8 Edition familiale à la place. Ouf ! Je reviens de loin. En tout cas bravo pour vos réactions sur le forum ça m'a permis de garder mon calme !!

Bizousucre · Answer

Bonjour, j'ai rencontré le même soucis que vous, ce matin, j'ai pris soin de ne surtout pas supprimer le fichier infecté via AVG (me disant que c'était un fichier system et qu'il était donc indispensable au démarrage de Windows) et j'ai tout simplement supprimer AVG en mode sans échec et tout est rentré dans l'ordre ! Reste plus qu'à installer un AUTRE antivirus !

jml66 · Answer

Bonjour, bon meme PB que pour les autres ...
j'ai utilisé la solution : windows mode sans echec, lancer AVG, restoration du fichier user32.dll, quitter AVG,
desinstalation de AVG , redemarage windows en normal et hop tout roule :) 

merci a tous.

Neimad · Answer

et quand le mode sans échec aboutit à un écran bleu, que faire ?

a) pousser un cri
b) recommencer jusqu'à ce que l'ordi marche ou que je meure de fatigue
c) une autre solution ?

Fabrice · Answer

j'ai exactement le même problème sur 3 PC, tous équipés de AVG.
Je confirme aussi : TOUTE TENTATIVE DE REPARATION via AVG entrainera une corruption de windows (reboot en boucle, impossible de démarrer, etc...)

Pas de mouvements de la part d'AVG visiblement pour le moment...
Si qqun trouve une solution, pouvez vous la notifier ici? 

Bon courage à celles et ceux touchés par ce problème...

Lilin · Answer

Moi j'ai le même problème. user.dll a été mis dans la vault. Mais quand j'essaie de le restaurer AVG ne me laisse pas. J'ai peur de redémarer mon système et d'avoir l'écran blue. 
Que dois-je faire?

ptitof · Answer

Re-bonjour. Problème résolu provisoirement, merci craignos. Récupéré fichier user32.dll dans le cache pour le mettre en windows/system32/. Pu redémarrer mais alertes incessantes (réponse ignorer) : pu quand même faire nouvelle mise à jour de AVG (passé de celle de 9h35 à 16h42) mais toujours même problème ! Mais que fait Symantec ? (évidemment on est Dimanche ... !) Très mauvais point pour eux et cette affaire de faux positif. Je fonctionne provisoirement en laissant le bouclier web mais ayant désactivé le bouclier résident qui ne cessait de me donner des alertes (J'ai la version AVG Anti-virus + firewall (v 8.0.199)

mondorondo · Answer

c'est une fausse alerte, malheuresement de la virus DB 270.9.1777

Après avoir inutilement réussi à récuperer un user32.dll sur un autre ordi ayant la même version de SP et passé des heures à scanner avec Kapersky online (il m'a sauvé plus d'une fois), j'ai constaté que TOUS les ordis étaient affectés par ce problème. Donc aussi tous ceux de la famille à qui j'installe avg depuis des années. Sueurs froides...
Quelques heures après, donc, et redémarrage réussi, et une mise à jour de la database de virus 270.9.1778, voilà qu'AVG ne trouve plus rien sur le même fichier user32.dll qui lui avait semblé si suspect.

Après norton et mcafee, me voilà faché avec AVG.

Jmp66 · Answer

Fin de journée après un aller retour chez un de mes clients planté par ce satané AVG version réseau 7.5. Mise en USB de son disque sur mon PC copie de ma DLL users32. Redémarrage OK + Suppression AVG + Installation AntiVir en attendant de trouver mieux comme antivirus. D'ailleurs à ce sujet je suis preneur de vos commentaires sur les antivirus gratuits, car ce n'est pas vraiment mon domaine.

Seb Quebec · Answer

Salut Gang,

Jai tout simplement déinstaller AVG et le tout est revenu,

Merci a tous pour les conseils.

annabelle · Answer

avg free a aussi heal ce trojan, mais depuis il y a eu de nouvelles mises a jour... comment savoir si il y a toujours un probleme avant d'eteindre le pc? J'ai la copie du user32.dll, au cas ou, mais dans tous les cas, avg me ne dira pas si mon dll est retabli ou pas...avant que j'éteigne et prenne le riskque de demarer en mode sans échec, ce qui ne marche pas pour tout le monde...

Monsieur Tout-le-Monde · Answer

AVG a publié la solution sur son forum:

http://freeforum.avg.com/read.php?7,155461,155461#msg-155461

-restart your PC in safe mode (press F8 during windows start up)
-open the AVG control centre by clicking the logo or via start-programs-AVG
-go to the virus vault, select user32.dll and click restore.
-empty the virus vault
-close AVG
-now unistall the whole AVG program: start-programs-AVG-uninstall
-reboot the PC and it is fine. 

En résumé, 1/ il faut remettre la main sur le user32.dll puis 2/ en mode sans échec, désinstaller AVG.

1/ deux possibilités:
 - démarrer en mode sans échec, lancer AVG et restaurer le fichier user32.dll en quarantaine
 ou
 - démarrer windows depuis le CD d'installation et rétablir le user32.dll selon la procédure proposée par kraignos .

2/ en mode sans échec, aller dans ajout/suppression de programme et supprimer AVG

misslilia · Answer

mon ordi a planté. j'ai lu trop tard vos infos.
j'ai essayé de faire la procédure avec "copy user32", mais moi aucune trace du fichier nul part donc pas possible de le copier.
j'essaye de passer par dos pour récupérer de la vault d'AVG le fichier user32 qui est bloqué la bas mais accès refusé car j'ai un password session. comment faire pour accéder aux fichiers malgré ce password? ou comment taper mon password sous dos?

X-Fan · Answer

Yep, j'ai moi-même cette erreur mais voyant l'emplacement du fichier je n'ai pas fait la connerie de le supprimer ou de le mettre dans la voute. Donc à part qu'il me pop que mon ordi est infecté, il ne fait rien.

Je vais donc suivre le conseil de mettre à jour AVG jusqu'à qu'il arrête. C'est énervant, mais comme c'est un truc con, tant pis. Dommage par contre, première fois que AVG me fait un tel coup. Jusqu'à présent, ça a toujours bien marché.

Pour ceux qui l'ont supprimé, en résumé moi j'ai vu qu'il s'y prenait de 3 façons:
1- soit restaurer windows (avec ou sans CD)
2- récupérer le fichier sur un autre ordi et le mettre à la place
3- aller dans la voute AVG et lui dire de remettre le fichier en place

Bref, bon courage à ceux qui se sont fait prendre parce que j'imagine bien la galère que vous devez endurer. :(

X-Fan · Answer

AH et sinon je ne sais pas si ça peut aider mais ceux qui ont des versions Knopix de Linux ou des trucs du genre qui sont "bootable", pourquoi ne pas essayer de les utiliser pour accéder à votre C: et y remettre le fichier que vous aurez au préalable récupérer sur une disquette ou une clé USB.
Tant qu'à moi, si j'étais prise, j'utiliserais cette solution mais ce n'est pas tout le monde qui est équipé de ce genre d'OS portable.

saida · Answer

moi aussi, depuis hier j'ai exactement le meme probleme, comment dois je faire, help.. c est insupportable, je ne comprends pas

merci

dragoeco · Answer

Salut
g restaure user32dll avec le cd de windows (windows\system32) mais le probleme persiste (reboot systematique) et impossible de demarrer en mode sans echec (ecran bleu aussi). HELP PLEASE

X-Fan · Answer

Bon sinon pour info, moi j'ai rien touché à part IGNORE et j'ai fait une mise à jour d'une base de données de virus avec l'update manager de AVG et il m'affiche plus d'erreurs. Est-ce là la correction du problème à votre avis?

Elodie76 · Answer

Bonjour,

Ma soeur a été confrontée à ce problème. J'ai suivi la procédure de Kraignos en redémarrant par la console de récupération avec un CD d'installation. 
=> Problème, user32.dll n'était pas dans le dossier c:\windows\system32\dllcache\
(cela dit, j'ai appris l'existence de cette console de récupération et comment ça marche, donc merci!)

Seconde tentative : étant donné que mon PC fonctionnait, j'ai tenté de copier mon propre user32.dll sur son PC par le DOS, moyennant une clé USB. 
=> Echec : on avait un message d'erreur sur écran bleu, concernant GDI32.dll
Apparemment, ma version était beaucoup plus récente et non compatible avec son système

Troisième tentative : partir à la recherche de son user32.dll dans différents répertoires par le DOS et le copier dans system32
=> ça a marché !

Comme je n'y connais en fin de compte pas grand chose, je vous mets pas à pas ce que j'ai fait.
Pour commencer, elle a Windows XP Professionnel SP2
J'ai dû aller chercher des données dans mon PC et j'ai un Windows XP Familial SP3 version 2002 

1/ j'ai été farfouiller dans mon PC pour voir où était planqué ce fichier chez moi. 
Je l'ai trouvé dans plusieurs répertoires :
c:\windows\ServicePackFiles\i386\
c:\windows\$hf_mig$\KB890859\SP2QFE
c:\windows\$hf_mig$\KB925902\SP2QFE
c:\windows\$NtUninstallKB890859$\
c:\windows\$NtUninstallKB925902$\
c:\windows\$NtServicePackUninsntall$\
c:\windows\system32\ (of course)

2/ Retour sur le PC de ma soeur : 
- redémarrage par le CD d'installation
- entrée dans la console de récupération

3/ Dans le DOS, ouvrir un de ses dossiers par la commande "cd"
on tape :
c:\windows>cd $NtUninstallKB890859$
Une fois dedans, vérifier que user32.dll est dedans (commande "dir" et rechercher le fichier manuellement)
Ensuite j'ai tapé :
c:\windows\$NtUninstallKB890859$>copy user32.dll c:\windows\system32 
(en respectant bien les espaces)
Et le tour était joué.

4/ Redémarrer en mode sans échec et virer Avast !!!

Pour le PC de ma sister, ça a marché. Maintenant, tout dépend certainement des systèmes d'exploitation. Je ne suis pas spécialiste et je ne fais que partager l'astuce en me disant que ça pourra bien servir à qqn !

Elodie

clemju83 · Answer

Bonjour, pour ma part j'ai supprimé le fichier comme avg l'a fort bien conseillé... Est ce que en redémarrant en mode sans échec et en désinstallant avg le problème est résolu ou faut-il remettre le fichier windows32? 
merci

roudoudou · Answer

Merci Melodelavie.
Je vais aussi restaurer le USER 32 à partir du Vault car il était en quarantaine puis procéder à une UPDATE de AVG.

Soulard · Answer

Jai essayé le truc de zx227314 et ca marcherait mais a chaque fois que je tente de copier mon fichier ca m.indique acces refusé sur C:/ :(

clemju83 · Answer

Bonjour,
Comment est ce qu'on fait avec le cd d'installation pour booter l'ordinateur? J'ai un message qui me demande "select boot device". Je dois choisir celui ou il y'a écrit CDROM : PM-PIONEER DVD-RW ? Merci de me répondre au plus vite

ngoyette · Answer

remplace ton user32.dll
annule toute demande de avg
download combofix
execute combofix
redemarre et tout est super

Trojan PSW.Banker4.APSA, log HiJackThis

52 réponses

Votre réponse

Discussions similaires

Newsletters