Se connecter / S'enregistrer
Votre question

Virus qui supprime les programmes de protection

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Janvier 2007 20:56:24

Bonjour,

Laetitia2007 a déjà créé un sujet sur ce pb, mais comme personne ne répond, j'ai eupeur que le sujet ne soit pas assez explicite.

Description du pb :


J'ai avast4 et AVG Anti-Spyware 7.5 avec une licence.

Depuis ce matin, mes fichiers .exe d'avast ont disparu, et AVG ne peux plus activer le bouclier résidant.

Je joins mon rapport.

Merci de votre aide.

Logfile of HijackThis v1.99.1
Scan saved at 19:55:27, on 03/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\stisvc.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\Explorer.EXE
E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
E:\Program Files\Logitech\MouseWare\system\em_exec.exe
E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
E:\Program Files\Microsoft ActiveSync\wcescomm.exe
E:\PROGRA~1\MICROS~4\rapimgr.exe
E:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Outlook Express\MSIMN.EXE
E:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobelm_Cleanup.0001
E:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobelm_Cleanup.0001
F:\Mes Documents\Téléchargement\antivirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Jet Detection] "E:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Ad-aware] "E:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [MediaGateway] E:\Program Files\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [mhczfpw] e:\winnt\system32\mhczfpw.exe mhczfpw
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PC Booster] E:\Program Files\inKline Global\PC Booster\PCBooster.exe
O4 - HKCU\..\Run: [WeatherWatcher] E:\Program Files\Weather Watcher\ww.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - Startup: ADSL Autoconnect.lnk = E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - Startup: Logiciel I-noo.lnk = E:\Program Files\Ouaps\Logiciel I-Noo\Logiciel I-noo.exe
O4 - Global Startup: DSLMON.lnk = E:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://e:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Download using Download &Express - file://E:\WINNT\system32\MetaProducts\Add_Url.htm
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://E:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://E:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://E:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://E:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - E:\WINNT\web\OpenFrame.htm
O8 - Extra context menu item: Pages liées - res://e:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://e:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://e:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C217778C-2EF8-4A07-B012-CD265E877164}: NameServer = 86.64.145.142 84.103.237.142
O20 - Winlogon Notify: ActiveSync - E:\WINNT\SYSTEM32\WcesWlgn.dll
O20 - Winlogon Notify: WgaLogon - E:\WINNT\
O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSLAutoconnect - Unknown owner - E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe

Autres pages sur : virus supprime programmes protection

3 Janvier 2007 21:32:19

Bonsoir,

Télécharge F-Secure Blacklight
- Lance F-Secure Blacklight (fichier blbeta.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici.
3 Janvier 2007 23:03:21

Voici le rapport F-Secure Blacklight

01/03/07 22:39:24 [Info]: BlackLight Engine 1.0.55 initialized
01/03/07 22:39:24 [Info]: OS: 5.0 build 2195 (Service Pack 4)
01/03/07 22:39:25 [Note]: 7019 4
01/03/07 22:39:25 [Note]: 7005 0
01/03/07 22:39:30 [Note]: 7006 0
01/03/07 22:39:30 [Note]: 7011 1052
01/03/07 22:39:32 [Note]: 7026 0
01/03/07 22:39:32 [Note]: 7026 0
01/03/07 22:39:32 [Note]: 7024 3
01/03/07 22:39:32 [Info]: Hidden process: E:\winnt\system32\mhczfpw.exe
01/03/07 22:39:32 [Note]: 7024 3
01/03/07 22:39:32 [Info]: Hidden process: E:\WINNT\system32\hldrrr.exe
01/03/07 22:39:32 [Note]: 7024 3
01/03/07 22:39:32 [Info]: Hidden process: E:\WINNT\system32\hldrrr.exe
01/03/07 22:40:04 [Note]: FSRAW library version 1.7.1021
01/03/07 22:40:08 [Info]: Hidden file: e:\Documents and Settings\Administrateur\Application Data\hidires\hidr.exe
01/03/07 22:40:08 [Note]: 10002 2
01/03/07 22:40:08 [Info]: Hidden file: e:\Documents and Settings\Administrateur\Application Data\hidires\m_hook.sys
01/03/07 22:40:08 [Note]: 10002 2
01/03/07 22:40:09 [Note]: 10002 3
01/03/07 22:40:09 [Note]: 10002 3
01/03/07 22:40:09 [Note]: 10002 2
01/03/07 22:40:09 [Note]: 10002 2
01/03/07 22:53:12 [Info]: Hidden file: E:\winnt\system32\mhczfpw.exe
01/03/07 22:53:12 [Note]: 10002 1
01/03/07 22:53:20 [Info]: Hidden file: e:\WINNT\system32\mhczfpw.dat
01/03/07 22:53:20 [Note]: 10002 1
01/03/07 22:53:25 [Info]: Hidden file: e:\WINNT\system32\mhczfpw_nav.dat
01/03/07 22:53:25 [Note]: 10002 1
01/03/07 22:53:25 [Info]: Hidden file: e:\WINNT\system32\mhczfpw_navps.dat
01/03/07 22:53:25 [Note]: 10002 1
01/03/07 22:53:25 [Info]: Hidden file: E:\WINNT\system32\hldrrr.exe
01/03/07 22:53:25 [Note]: 10002 2
01/03/07 22:55:08 [Note]: 2000 1012
01/03/07 22:55:08 [Note]: 2000 1012
01/03/07 23:01:53 [Note]: 7007 0
Contenus similaires
3 Janvier 2007 23:35:27

2 rootkits.

Commence par ceci :

1/ Télécharge Navipromo.zip et décompresse-le sur ton bureau.

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Choisis ton compte usuel, et non Administrateur.
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

3/ Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

4/ Redémarre normalement, poste un nouveau rapport HijackThis et le rapport Navipromo situé ici : C:\Navipromo.txt

5/ Poste un nouveau rapport F-Secure Blacklight.
4 Janvier 2007 00:16:01

Je n'arrive pas à démarrer en mode sans échec.

Je bloque sur un écran bleu avec le message suivant :

STOP 0X0000007B (0xEB81B84C, 0x00000034, 0x00000000, 0x00000000)
INACCESSIBLE_BOOT_SERVICE

4 Janvier 2007 00:45:46

Relance un scan Blacklight et pour chacun de ces fichiers détectés :

E:\WINNT\system32\hldrrr.exe
e:\Documents and Settings\Administrateur\Application Data\hidires\hidr.exe
e:\Documents and Settings\Administrateur\Application Data\hidires\m_hook.sys

- Sélectionne-les (cliquer dessus). Puis clique sur le bouton "Rename"
- Quand toutes les inscriptions nuisibles sont traitées, clique sur le bouton "Next >"
Un panneau d'avertissement s'affiche signalant que renommer une inscription légitime peut occasionner des problèmes avec Windows.
Coche "I have understood the warning and wish to continue" (je sais ce que je fais et souhaite continuer), puis clique sur le bouton "OK".
- Clique sur le bouton "Restart Now" (redémarrer maintenant) puis clique sur le bouton "OK".
- Laisse Windows redémarrer.

Poste un nouveau rapport Blacklight.

est-ce que le mode sans échec fonctionne maintenant ?
4 Janvier 2007 00:53:52

J'essaie ça de suite merci.
4 Janvier 2007 01:16:37

J'ai fait rename sur les trois fichiers que tu as listé, puis j'ai redémarré, et je ne peut toujours pas démarrer en mode sans échec.

Je suis obligé d'abandoné pour aujourd'hui, merci de ton aide.

Je m'y remettrai vendredi soir. Si tu es dans les parages, j'apprécierai à nouveau un coup de main pour résoudre ce fichu pb.

PS : j'ai l'impression que d'autres internautes commencent à avoir le même pb.
4 Janvier 2007 09:42:15

Avant d'aller me coucher, je me suis aperçu que AVG Anti-Spyware avait repris de la couleur (signe que le bouclier s'était remis actif, sans doute suite à la manip sur les 3 fichiers décrite ci-dessus).
J'ai donc supprimé AVAST avec un utilitaire de désinstallation spécial (comme il manquait des .exe, la désinstallation classique ne fonctionnait pas). J'ai réinstallé AVAST, et j'ai retrouvé mes log de protection.
Par contre, je n'arrive toujours pas à redémarrer en mode sans échec.
4 Janvier 2007 10:30:13

Puisque tu n'as toujours pas accès au mode sans échec, on va faire comme ceci :

relance BlackLight et renomme ces 4 fichiers :

E:\winnt\system32\mhczfpw.exe
e:\WINNT\system32\mhczfpw.dat
e:\WINNT\system32\mhczfpw_nav.dat
e:\WINNT\system32\mhczfpw_navps.dat

ensuite après redémarrage de Windows, poste un nouveau rapport BlackLight et un nouveau rapport HijackThis.
4 Janvier 2007 16:19:20

Bonjour esteban54,

Je ne suis pas chez moi. Je ferais ça demain soir.
Merci de ne pas me laisser tomber.
24 Juin 2007 10:46:51

bonjour j'ai eu le même problème et je n'arrive aussi plus à accéder au mode sans échec
Pouvez-vous m'aider ?

Merci :jap: 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS