Votre question

Virus/trojan desactive mon antivirus!!!

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Juin 2007 00:25:44

Bonjour à tous! J'ai besoin d'aide car mon ordi semble etre infecté suite à un surf sur un site ou j'aurai pas du mettre les pieds (j'avoue :pfff:  ). Bref, ce qui est hallucinant c'est qu'il efface des fichiers d'Avast ce qui le rends innoperant. De plus je ne peut meme plus installer de nouveaux antivirus ou firewall gratuits tels que Kerio, bitdefender etc, qui generent une erreur a l'installation. Pour couronner le tout, impossible de redemarrer en mode sans echec! (l'ordi demarre en mode normal a chaque fois...)

Voici le log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:10:33, on 29/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\telechargements\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\Advanced System Optimizer\IEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S122.tmp" /EF "HKLM"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ScrHots.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_13\bin\npjpi142_13.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_13\bin\npjpi142_13.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Program Files\xampp\service.exe (file missing)

--
End of file - 4465 bytes

Nb: J'ai essayé un log avec navilog, mais a la fin de l'analyse, il me met un tas d'erreur et ne m'ouvre pas notepad!... :( 

Si quelqu'un pouvait jeter un coup d'oeuil, je lui en serais extremement reconnaisant! :) 

Autres pages sur : virus trojan desactive antivirus

a b 8 Sécurité
29 Juin 2007 13:38:32

Bonjour,

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
29 Juin 2007 19:12:16

Merci beaucoup Angeldark, mais je viens juste de resoudre mon soucis. Effectivement Blacklight a trouvé plusieurs fichiers cachés dans le répertoire de Windows Movie Maker (apparemment le virus se cachait en partie là et dans win32). Je les ai renommés puis effacés. Maintenant tout fonctionne correctement. Voici le rapport avant mes bidouilles:

06/29/07 13:21:45 [Info]: BlackLight Engine 1.0.64 initialized
06/29/07 13:21:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/29/07 13:21:45 [Note]: 7019 4
06/29/07 13:21:45 [Note]: 7005 0
06/29/07 13:21:48 [Note]: 7006 0
06/29/07 13:21:48 [Note]: 7011 1276
06/29/07 13:21:48 [Note]: 7026 0
06/29/07 13:21:48 [Note]: 7026 0
06/29/07 13:21:50 [Note]: FSRAW library version 1.7.1022
06/29/07 13:21:54 [Info]: Hidden file: c:\Documents and Settings\Laurent\Application Data\hidires\hidr.exe
06/29/07 13:21:54 [Note]: 10002 2
06/29/07 13:21:54 [Info]: Hidden file: c:\Documents and Settings\Laurent\Application Data\hidires\rosa.sys
06/29/07 13:21:54 [Note]: 10002 2
06/29/07 13:21:54 [Note]: 10002 3
06/29/07 13:21:54 [Note]: 10002 3
06/29/07 13:21:54 [Note]: 10002 2
06/29/07 13:21:54 [Note]: 10002 2
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
06/29/07 13:23:18 [Note]: 10002 3
06/29/07 13:23:18 [Note]: 10002 2
06/29/07 13:23:18 [Note]: 10002 2
06/29/07 13:24:10 [Note]: 10002 2
06/29/07 13:24:10 [Note]: 10002 2
06/29/07 13:25:37 [Note]: 2000 1012
06/29/07 13:28:03 [Note]: 7007 0

et voici maintenant: (ca va?)

06/29/07 13:33:21 [Info]: BlackLight Engine 1.0.64 initialized
06/29/07 13:33:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/29/07 13:33:22 [Note]: 7019 4
06/29/07 13:33:22 [Note]: 7005 0
06/29/07 13:33:25 [Note]: 7006 0
06/29/07 13:33:25 [Note]: 7011 1336
06/29/07 13:33:26 [Note]: 7026 0
06/29/07 13:33:26 [Note]: 7026 0
06/29/07 13:33:28 [Note]: FSRAW library version 1.7.1022
06/29/07 13:37:04 [Note]: 2000 1012
06/29/07 13:38:11 [Note]: 7007 0

En tout cas, encore merci!
Contenus similaires
a b 8 Sécurité
29 Juin 2007 21:25:01

Citation :
A la fin du scan, NE TOUCHE A RIEN !

Tu ne sais pas lire ?!

Télécharge ELIBAGLA en bas de cette page.
Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
Double-clique dessus pour l'ouvrir.
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.

AIDE : Comment supprimer Bagle ?
29 Juin 2007 23:47:29

Citation :
Tu ne sais pas lire?


Heu... ben voui mais j'avais fait ca avant ta réponse (regarde les heures du rapport precedent et de ton post). Enfin, merci de me consacrer un peu de ton temps :)  . Voici le rapport d'Elibagla:

Fri Jun 29 23:33:11 2007
EliBagle v10.42 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\ROSA.SYS.Muestra EliBagle v10.42
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\LAURENT\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Jun 29 23:34:26 2007
EliBagle v10.42 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
a b 8 Sécurité
30 Juin 2007 11:46:21

Refais un scan Blacklight.
30 Juin 2007 15:38:41

Nouveau rapport du scan Bl, :

06/30/07 15:18:36 [Info]: BlackLight Engine 1.0.64 initialized
06/30/07 15:18:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/30/07 15:18:36 [Note]: 7019 4
06/30/07 15:18:36 [Note]: 7005 0
06/30/07 15:18:40 [Note]: 7006 0
06/30/07 15:18:40 [Note]: 7011 1284
06/30/07 15:18:41 [Note]: 7026 0
06/30/07 15:18:41 [Note]: 7026 0
06/30/07 15:18:43 [Note]: FSRAW library version 1.7.1022
06/30/07 15:22:41 [Note]: 2000 1012
06/30/07 15:37:39 [Note]: 7007 0
a b 8 Sécurité
30 Juin 2007 16:12:46

C'est mieux ?
30 Juin 2007 19:57:18

Oui, tout marche impecable merci. J'ai juste ANtivir qui me detecte un malware (TR/Crypt.XPACK.Gen ), je lui dit de l'effacer mais 2h plus tard il me le redetecte! C'est grave?
a b 8 Sécurité
30 Juin 2007 20:17:25

L'emplacement ?
30 Juin 2007 23:48:58

C'était dans:
C:\System Volume Information\_restore{43B1496A-EF9B-46DA-AB0A-C3D332DC2825}\RP265\A0030438.exe

Donc apparemment dans la resto système...
a b 8 Sécurité
1 Juillet 2007 23:09:07

Il suffit de désactiver puis réactiver la restauration du système.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS