Votre question

aswboot.exe introuvable

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Mars 2007 00:06:08

Bonjour à tous !
j'ai un probleme avec avast antivirus.
lorsque j'ai redémarré mon ordi, j'ai reçu un message me disant que mon systeme était infecté. L'icone d'avast n'apparaisait plus et lorsque je voulai redemarrer l'antivirus, un message apparaissait:
"l'application C:\WINDOWS\system32\aswboot.exe ne peut etre exécutée en mode win32."
Des fichiers .exe apparaissent sur mon disque dur (C:) .
J'ai effectué une recherche avec hijackthis, ayant donné ceci:

Logfile of HijackThis v1.99.1
Scan saved at 22:14:45, on 01/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mvsr32.exe
C:\WINDOWS\system\system.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\cmh.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\oliv\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://numericable.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.usenext.de/index.cfm?TD=381868
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8E5A2506-A3B7-4219-8ED2-BCEB8FCA968E} - C:\WINDOWS\System32\vtusrss.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Workflow] I:\Workflow.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: vtusrss - C:\WINDOWS\SYSTEM32\vtusrss.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Microsoft Validation Service - Unknown owner - C:\WINDOWS\mvsr32.exe
O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe

Comment pourrai-je supprimer les virus puisque mon antivirus est HS ?

cette question a peut etre déjà été posée, alors je m'en excuse d'avance, mais je n'âi pas trouvé la solution...

Merci d'avance...

Autres pages sur : aswboot exe introuvable

2 Mars 2007 00:10:27

bonsoir, ça c'est ce qu'on appelle une multi-infection ;) 
deux scans avant de commencer le grand nettoyage ...
il faudra penser à mettre à jours windows...

~Télécharge. F-Secure Blacklight
https://europe.f-secure.com/exclude/blacklight/blbeta.e...


- Lance F-Secure Blacklight (fichier blbeta.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...


2

~Télécharge Smitfraudfix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

~Dezippe la totalité de l'archive smitfraudfix.zip
Recherche:
~Double clique sur smitfraudfix.cmd
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
2 Mars 2007 00:15:28

Salut,
Merci bien d'avoir répondu si vite.
Pour blbeta, le scan donne:

03/02/07 00:13:12 [Info]: BlackLight Engine 1.0.55 initialized
03/02/07 00:13:12 [Info]: OS: 5.1 build 2600 (Service Pack 1)
03/02/07 00:13:12 [Note]: 7019 4
03/02/07 00:13:12 [Note]: 7005 0
03/02/07 00:13:20 [Note]: 7006 0
03/02/07 00:13:20 [Note]: 7011 1868
03/02/07 00:13:20 [Note]: 7026 0
03/02/07 00:13:21 [Note]: 7026 0
03/02/07 00:13:21 [Note]: 7024 3
03/02/07 00:13:21 [Info]: Hidden process: C:\Documents and Settings\oliv\Application Data\hidires\hidr.exe
03/02/07 00:13:26 [Note]: FSRAW library version 1.7.1021
03/02/07 00:13:27 [Info]: Hidden file: C:\Documents and Settings\oliv\Application Data\hidires\hidr.exe
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:27 [Info]: Hidden file: c:\Documents and Settings\OLIV\Application Data\HIDIRES\M_HOOK.SYS
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:27 [Info]: Hidden file: c:\Documents and Settings\OLIV\Application Data\HIDIRES\FLEC003.EXE
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:33 [Note]: 10002 2
03/02/07 00:13:33 [Note]: 10002 2
03/02/07 00:13:35 [Note]: 2000 1012
03/02/07 00:13:35 [Note]: 2000 1012
03/02/07 00:14:02 [Note]: 7007 0
Contenus similaires
2 Mars 2007 00:20:41

et voici le rapport de Smitfra:

03/02/07 00:13:12 [Info]: BlackLight Engine 1.0.55 initialized
03/02/07 00:13:12 [Info]: OS: 5.1 build 2600 (Service Pack 1)
03/02/07 00:13:12 [Note]: 7019 4
03/02/07 00:13:12 [Note]: 7005 0
03/02/07 00:13:20 [Note]: 7006 0
03/02/07 00:13:20 [Note]: 7011 1868
03/02/07 00:13:20 [Note]: 7026 0
03/02/07 00:13:21 [Note]: 7026 0
03/02/07 00:13:21 [Note]: 7024 3
03/02/07 00:13:21 [Info]: Hidden process: C:\Documents and Settings\oliv\Application Data\hidires\hidr.exe
03/02/07 00:13:26 [Note]: FSRAW library version 1.7.1021
03/02/07 00:13:27 [Info]: Hidden file: C:\Documents and Settings\oliv\Application Data\hidires\hidr.exe
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:27 [Info]: Hidden file: c:\Documents and Settings\OLIV\Application Data\HIDIRES\M_HOOK.SYS
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:27 [Info]: Hidden file: c:\Documents and Settings\OLIV\Application Data\HIDIRES\FLEC003.EXE
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:27 [Note]: 10002 2
03/02/07 00:13:33 [Note]: 10002 2
03/02/07 00:13:33 [Note]: 10002 2
03/02/07 00:13:35 [Note]: 2000 1012
03/02/07 00:13:35 [Note]: 2000 1012
03/02/07 00:14:02 [Note]: 7007 0

N.b; qu'est ce que tu entends par "poste ce rapport" ?
2 Mars 2007 00:25:26

bon, on commence en attendant le rapport smitfraudfix...

1
~Télécharge Elibagla sur cette page :
http://www.zonavirus.com/datos/descargas/95/elibagla.as...

Tu trouveras le programme à télécharger tout en bas de la page :,
clique sur escargar Elibagla 10.22

Enregistre ce fichier sur le bureau
Va sur ton bureau et double-clic sur Elibagla.exe
La case "eliminar ficheros automaticamente" doit être cochée
Clique sur"explorar" et laisse-le travailler
~Poste le rapport final qui sera dans c:\infosat.txt
~Poste un nouveau rapport blacklight.

2
Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

~Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.e...

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

~Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

~Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

~Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis


++++++++++++++++++++
pour résumer, il nous faudra 4 rapports:
-c:\infosat.txt
-un nouveau blacklight
-le report.txt
-un nouvel hijackthis
2 Mars 2007 00:26:41

Citation :
et voici le rapport de Smitfra:

non, c'est ànouveau blacklight...
Citation :
qu'est ce que tu entends par "poste ce rapport"

tu le copies/colles ici
2 Mars 2007 02:15:32

Elibagla me donne ce message lorsque je l'execute:

Archivo modificado, posiblemente por un virus
contacte con stinfo
2 Mars 2007 02:17:10

voici le message de smitfraud (désolé pour ce mauvais copier coller)

SmitFraudFix v2.146

Rapport fait à 0:16:43,59, 02/03/2007
Executé à partir de C:\Documents and Settings\oliv\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\tcpipmon.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\oliv


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\oliv\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\oliv\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

2 Mars 2007 10:52:12

bonjour,
comme tu as plein d'infection en même temps (vundo/smitfraud/bagle et des bots),on va inverser la procédure alors puis tu repasseras elibagla...

1
sdfix (la procédure est au dessus)

2
~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
http://www.malekal.com/modesansechec.php

~Double clique sur smitfraudfix.cmd
~Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
~Réponds Oui (o) à toutes les questions.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
~Poste le nouveau rapport.


3
~Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo.
~Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
~Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

4
tu passesElibagla tu posteras le rapport

5
un nouveau rapport hijackthis

bonne journée ;) 

12 Mars 2007 17:41:21

Salut, désolé de répondre si tard...
J'ai tenté de redemarrer l'ordi en mode sans echec, mais sans résultats...
J'ai alors défini le mode sans echec en démarrage automatique.
Ce mode a completement planté mon ordi.
Il redémarre en boucle.
je ne sais pas quoi faire et suis complement bloqué....
12 Mars 2007 22:40:49

bonsoir

Citation :
J'ai alors défini le mode sans echec en démarrage automatique.


pas simple ton histoire...tu aurais mieux fait de suivre mes conseils :( 

1as-tu le temps de faire ça?
démarrer/executer/msconfig, et décocher la case /SAFEBOOT sous BOOT.INI puis appliquer et redémarrer.

2
tu as le cd de windows? (pas un cd constructeur, celui de windows)

13 Mars 2007 20:23:25

Salut !
en fait, il ne redémarre pas, et je n'ai pas le disc de windows
13 Mars 2007 20:55:49

enfin, il redémarre, mais en boucle, m'affiche à chaque fois, la sélécion des modes de démarrage, mais redémarre en boucle
13 Mars 2007 21:11:13

bonsoir
tu ne réponds pas à mes question...
13 Mars 2007 21:26:51

Excuse, moi, j'ai peut etre mal compris, mais windows redémarre directement après que j'ai choisi le mode sans echecs, sans echec prise en charge réseaux, démarrer windows normalement etc.
Je ne peux plus retourner sur le bureau...
ça redémarre toujours avant
je peux pas répondre mieux, il ne se passe rien d'autre :) 
13 Mars 2007 21:28:13

re
Citation :
tu as le cd de windows? (pas un cd constructeur, celui de windows)
13 Mars 2007 21:31:39

non, je ne l'ai pas, c'est un ordi que l'on m'a donné, sans le cd de windows.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS