Votre question

Virus avec Avira Antivir

Tags :
  • Avira
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Janvier 2011 07:26:47

Bonjour à tous, depuis quelque temps, à chaque démarrage de mon PC, le logiciel Avira Antivir se met à crier, c'est à dire qu'il me signale tout le temps le même virus !!! :( 
dont le nom est :

Tr/Crypt.ZPACK.Gen dans le dsquery32.dll

Il m'en signale 4 ou 5, et je dois à chaque fois les supprimer si je veux surfer tranquillement sur internet...

Donc si quelqu'un a une petite idée sur ce qui se passe, dîtes le moi !! :ange: 

Merci d'avance.

P.S : J'ai regardé le topic http://www.infos-du-net.com/forum/296786-11-crypt-zpack
Mais le virus ne se trouve pas sur le dsquery32.dll... Je peux quand même suivre les conseils qui y sont donnés?

Autres pages sur : virus avira antivir

a c 614 8 Sécurité
9 Janvier 2011 11:47:07

Bonjour,


Chaque désinfection est spécifique, il ne vaut mieux pas refaire des manipulation qui n'ont pas été donné pour son propre cas ;) 

Regardons un peu çà :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    m
    0
    l
    9 Janvier 2011 20:06:16

    Merci pour ta réponse, je vais essayer, je te tiens au courant
    m
    0
    l
    Contenus similaires
    a c 614 8 Sécurité
    10 Janvier 2011 17:02:02

    Re,

    Mouarf, y'a pas mal d'infection sur ce pc, des vieilles et des récentes ... faudra peut-être pensé à revoir ta manière d'utiliser un pc, arrêter le p2p et faire gaffe quand tu télécharges des logiciels à tout va sur le net ... ;) 

    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !



    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    SRV - File not found [Auto | Stopped] -- c:\windows\system\svchost.exe -- (darkness)
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2542115
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = SOCKS=125.167.150.151:8080
    FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_France Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}"
    FF - prefs.js..browser.search.selectedEngine: "Softonic_France Customized Web Search"
    [2010/12/08 15:52:46 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\aahmcj20.default\searchplugins\conduit.xml
    [2010/02/20 14:44:28 | 000,000,000 | ---D | M] (*xg.dll) -- C:\PROGRAM FILES\PREMIEROPINION
    O2 - BHO: (no name) - {0B105779-5FAC-4E04-BF4C-0A11715CF382} - C:\WINDOWS\System32\confmsp32.dll File not found
    O2 - BHO: (no name) - {0EF6FD8B-5C64-4F9E-B73E-50346A98F173} - C:\WINDOWS\System32\i81xdnt532.dll File not found
    O2 - BHO: (no name) - {13D93C18-4865-4221-BE1C-490DF4150E22} - No CLSID value found.
    O2 - BHO: (PremiereAdvertisingPlatform) - {547395D9-934A-CED6-B851-F238C86079E5} - C:\Program Files\PremiereAdvertisingPlatform\PremiereAdvertisingPlatform.dll File not found
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - No CLSID value found.
    O2 - BHO: (no name) - {72BE8679-EAED-470A-BA24-CA80CFA9B75F} - No CLSID value found.
    O2 - BHO: (Adobe PDF Reader Link Helper) - {F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88} - C:\WINDOWS\System32\AcroIEHelpe.dll File not found
    O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - No CLSID value found.
    O4 - HKLM..\Run: [rkfree] C:\Program Files\rkfree\rkfree.exe File not found
    O4 - HKCU..\Run: [ccleaner] C:\Program Files\CCleaner\CCleaner.exe File not found
    O4 - HKCU..\Run: [smceegs] c:\documents and settings\mohamed\local settings\application data\smceegs.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: RTHDBPL = c:\documents and settings\assiya\application data\systemproc\lsass.exe File not found
    O16 - DPF: {75D2080B-4857-4B96-9B7D-732634FBD01F} http://www.secretmakersearch.com/ (Reg Error: Key error.)
    O20 - AppInit_DLLs: (C:\WINDOWS\System32\dsquery32.dll) - C:\WINDOWS\system32\dsquery32.dll ()
    O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found
    O20 - HKLM Winlogon: Shell - (nlou.cco) - File not found
    O20 - HKLM Winlogon: Shell - (ibvksw) - File not found
    O20 - Winlogon\Notify\c8170555788: DllName - C:\WINDOWS\System32\dsquery32.dll - C:\WINDOWS\system32\dsquery32.dll ()
    O20 - Winlogon\Notify\jkhhf: DllName - C:\WINDOWS\system32\jkhhf.dll - C:\WINDOWS\System32\jkhhf.dll File not found
    O20 - Winlogon\Notify\mljhhee: DllName - mljhhee.dll - File not found
    O20 - Winlogon\Notify\PremierOpinion: DllName - C:\Program Files\PremierOpinion\pmls.dll - C:\Program Files\PremierOpinion\pmls.dll (VoiceFive Networks, Inc.)
    O28 - HKLM ShellExecuteHooks: {72BE8679-EAED-470A-BA24-CA80CFA9B75F} - Reg Error: Key error. File not found
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\Documents and Settings\Mohamed\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Mohamed\Local Settings\Application Data\*.tmp -> ]
    [2011/01/09 07:58:02 | 000,132,608 | ---- | M] () -- C:\WINDOWS\System32\dsquery32.dll
    [2009/06/18 12:27:24 | 000,001,001 | ---- | C] () -- C:\Documents and Settings\Mohamed\Local Settings\Application Data\smceegs_navps.dat
    [2009/06/18 12:27:23 | 000,325,891 | ---- | C] () -- C:\Documents and Settings\Mohamed\Local Settings\Application Data\smceegs_nav.dat
    [2009/06/18 12:27:23 | 000,003,457 | ---- | C] () -- C:\Documents and Settings\Mohamed\Local Settings\Application Data\smceegs.dat
    [2008/05/26 22:18:22 | 000,691,947 | ---- | C] () -- C:\Documents and Settings\Mohamed\Local Settings\Application Data\rkibak_navfx.dat
    [2007/07/29 10:39:22 | 000,000,345 | -HS- | C] () -- C:\WINDOWS\System32\khhytkvq.ini
    [2007/07/28 10:43:02 | 001,248,331 | -HS- | C] () -- C:\WINDOWS\System32\ftbpdqbx.ini
    [2007/07/27 14:16:38 | 000,772,204 | -HS- | C] () -- C:\WINDOWS\System32\fhhkj.ini
    [2009/07/31 08:59:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\rkfree
    [2010/11/06 19:48:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2010/12/29 18:53:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mohamed\Application Data\ScanSpyware
    @Alternate Data Stream - 362 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:05EE1EEF
    @Alternate Data Stream - 3020 bytes -> C:\Documents and Settings\All Users\Application Data\rkfree:cfg

    :Files
    C:\PROGRAM FILES\PREMIEROPINION

    :Commands
    [purity]
    [emptytemp]
    [emptyflash]
    [resethosts]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.



    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    10 Janvier 2011 17:21:31

    Merci l'ami ! Je ferai ces opérations demain soir ou au plus tard mercredi après-midi, merci encore de tes réponses
    m
    0
    l
    a c 614 8 Sécurité
    11 Janvier 2011 16:40:14

    Bonjour,

    Il manque le rapport Malwarebyte's ;) 

    [:_tom_:7]
    m
    0
    l
    a c 614 8 Sécurité
    12 Janvier 2011 16:28:47

    Re,

    Mouarf, c'est encore pire que ce que je croyais ... en plus doit y avoir un rootkit ...


    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    m
    0
    l
    12 Janvier 2011 21:43:39

    Bonsoir hyunkel30, j'ai suivi les étapes comme tu me l'as dit, une fois le scan lancé, je touche plus au pc. Je suis donc parti faire un tour le temps que ça finisse, d'ailleurs, ça a duré assez longtemps :D 
    Une fois revenu, je ne trouve plus le logiciel sur le bureau, ni le rapport de scan... :( 
    Est-ce normal?
    m
    0
    l
    14 Janvier 2011 17:33:00

    Bonjour,

    Je dois également désactiver le pare-feu avant de lancer le scan avec Gmer?
    m
    0
    l
    a c 614 8 Sécurité
    14 Janvier 2011 22:23:29

    Bonsoir,

    En mode normal, non, juste l'antivirus et si tu as d'autres protection (antispyware, anti-malware, protecteur de modification (spybot), HIPS (bloqueur de porcessus), etc ...)

    En mode sans échec, normalement, ces programme ne sont plus actif, d'où ma demande précédente.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS