Votre question

PB virus qui empeche l'install d'un antivirus

Tags :
  • Kaspersky
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Février 2007 22:09:19

Bonjour

Je rencontre un gros probleme de virus sur mon PC windows xp. J’utilise kaspersky comme antivirus, jusque la aucun probleme ! Sauf que j’ai du choper quelque chose car mes fichiers pour lancer kaspersky (3 fichiers : avpcc, Avpm et avp32 ) ont disparus !!!! J’ai supprimé le logiciel, l’ai reinstaller : tjrs le meme probleme
J’ai telecharger une nouvelle version a partir de mon pc portable que j’ai passé sur le pc de bureau via clé usb, il me l’installe, redemarre, et rien !
Je decide de telecharger un nouvel antivirus, il l’installe, redemarre, le truc semble se lancer, jusqu'à ce qu’avec la souris j’aille dans les icones de la barre des taches, et pouf ! plus d’icones, le truc ne marche pas !
En gros, il me zappe tous les fichiers et applications qui semblent etre un antivirus…
Parfois, la barre en haut certaines fenetres clignote….

Que faire ? parce que si il ne veut pas m’installer d’antivirus, comment je vais faire ???
Merci a tous de vos reponses
Canapelie/

Autres pages sur : virus empeche install antivirus

6 Février 2007 22:11:44

bonsoir, probablement bagle
~ Télécharge la dernière version d'HijackThis
http://www.merijn.org/files/hijackthis.zip ;
~Crée un "nouveau dossier" dédié à Hijackthis (c:\Hijackthis\),dézippe Hijackthis.exe dans ce répertoire
~Lance Hijackthis.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.

6 Février 2007 22:26:42

Je fais cette manip depuis le PC infecté ?
Contenus similaires
6 Février 2007 22:29:25

si tu as accés au net oui

après tu évites de surfer avec (pour éviter d'autre infections)
6 Février 2007 22:31:32

VOICI

Logfile of HijackThis v1.99.1
Scan saved at 22:30:20, on 06/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\hijackthis\HijackThis.exe
C:\Documents and Settings\Caro\Application Data\U3\0E51EA500091D8DF\LaunchPad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x...
O16 - DPF: Yahoo! Hearts - http://download2.games.yahoo.com/games/clients/y/ht1_x....
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/hardwaredetectio...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

6 Février 2007 22:35:09

c'est le rapport généré sur le pc qui est infecté???
6 Février 2007 22:39:08

bon... ce rapport est clean
va falloir chercher alors :( 

1

~Télécharge. F-Secure Blacklight
https://europe.f-secure.com/exclude/blacklight/blbeta.e...


- Lance F-Secure Blacklight (fichier blbeta.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...

2

~Fais un clic droit sur Hijackthis.exe et renomme-le en scanner.exe., puis
~Lance scanner.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.


6 Février 2007 22:43:05

VOILA pour
f secure blacklight


02/06/07 22:35:13 [Info]: BlackLight Engine 1.0.55 initialized
02/06/07 22:35:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/06/07 22:35:14 [Note]: 7019 4
02/06/07 22:35:14 [Note]: 7005 0
02/06/07 22:35:19 [Note]: 7006 0
02/06/07 22:35:19 [Note]: 7011 1368
02/06/07 22:35:19 [Note]: 7026 0
02/06/07 22:35:19 [Note]: 7026 0
02/06/07 22:35:19 [Note]: 7024 3
02/06/07 22:35:19 [Info]: Hidden process: C:\Documents and Settings\Caro\Application Data\hidires\hidr.exe
02/06/07 22:35:24 [Note]: FSRAW library version 1.7.1021
02/06/07 22:35:26 [Info]: Hidden file: C:\Documents and Settings\Caro\Application Data\hidires\hidr.exe
02/06/07 22:35:26 [Note]: 10002 2
02/06/07 22:35:26 [Info]: Hidden file: c:\Documents and Settings\Caro\Application Data\hidires\m_hook.sys
02/06/07 22:35:26 [Note]: 10002 2
02/06/07 22:35:26 [Info]: Hidden file: c:\Documents and Settings\Caro\Application Data\hidires\flec003.exe
02/06/07 22:35:26 [Note]: 10002 3
02/06/07 22:35:26 [Note]: 10002 3
02/06/07 22:35:26 [Note]: 10002 3
02/06/07 22:35:26 [Note]: 10002 2
02/06/07 22:35:26 [Note]: 10002 2
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/06/07 22:35:50 [Note]: 10002 3
02/06/07 22:35:50 [Note]: 10002 2
02/06/07 22:35:50 [Note]: 10002 2
02/06/07 22:37:32 [Note]: 10002 2
02/06/07 22:37:32 [Note]: 10002 2
02/06/07 22:38:48 [Note]: 2000 1012
02/06/07 22:41:20 [Note]: 7007 0
6 Février 2007 22:45:41

:) 
Le virus bagle était caché, je prépare la réponse. 15mn

peux-tu faire un scan hijackthis renommé comme demandé en 2 (c'est juste par curiosité)
6 Février 2007 22:46:18

et VOICI POUR LE 2
merci de tta patience !

Logfile of HijackThis v1.99.1
Scan saved at 22:45:07, on 06/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x...
O16 - DPF: Yahoo! Hearts - http://download2.games.yahoo.com/games/clients/y/ht1_x....
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/hardwaredetectio...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

6 Février 2007 23:00:05

1/ Télécharger The Avenger par Swandog46 sur votre Bureau.

http://swandog46.geekstogo.com/avenger.zip

l'extraire sur le bureau


2/ Copier tout le texte ci-dessous sans le mot "citation": mettre en surbrillance et appuyer sur les touches(Ctrl+C):



Citation :
drivers to unload:
m_hook.sys

registry keys to delete:
HKLM\System\CurrentControlSet\Services\m_hook

Files to Delete:
C:\Documents and Settings\Caro\Application Data\hidires\hidr.exe
c:\Documents and Settings\Caro\Application Data\hidires\m_hook.sys
c:\Documents and Settings\Caro\Application Data\hidires\flec003.exe


Folders to delete:
c:\Documents and Settings\Caro\Application Data\hidires


- Enregistre le fichier sur ton bureau sous le nom remove.txt


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


3/ Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

* Sous "Script file to execute" choisir "Input Script Manually".
* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
* Cliquer Done
* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
* Répondre "Yes" deux fois quand demandé.


4/ The Avenger va automatiquement faire ce qui suit:

* Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
* Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et transféré l'archive zip ici : C:\avenger\backup.zip.

5/ essaie de réinstaller ton antivirus puis post le log C:\avenger.txt
6 Février 2007 23:10:48

il vient de redezmarrer 2 fois, me sors le log, et aussi :
windows pas de disque - annuler ecommencer ou continuer ???
6 Février 2007 23:12:25

post le log si tu peux
6 Février 2007 23:14:47

comment je fais ? pour poster un log ?
pour la fenetre "windows pas de disque" je clike koi ?
6 Février 2007 23:20:07

ok je vais te le poster
6 Février 2007 23:20:45

VOICI

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fvqgctfp

*******************

Script file located at: \??\C:\WINDOWS\system32\cwvyeoxa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key \Registry\Machine\System\CurrentControlSet\Services\m_hook.sys not found!
Unload of driver m_hook.sys failed!

Could not process line:
m_hook.sys
Status: 0xc0000034

Registry key HKLM\System\CurrentControlSet\Services\m_hook deleted successfully.
File C:\Documents and Settings\Caro\Application Data\hidires\hidr.exe deleted successfully.
File c:\Documents and Settings\Caro\Application Data\hidires\m_hook.sys deleted successfully.
File c:\Documents and Settings\Caro\Application Data\hidires\flec003.exe deleted successfully.


Folder c:\Documents and Settings\Car not found!
Deletion of folder c:\Documents and Settings\Car failed!

Could not process line:
c:\Documents and Settings\Car
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
6 Février 2007 23:25:48

PUREE ca marche ton truc !
Merci bcp, comment te remercier ?? un baiser virtuel !!! SMAAAACK
DErniere question ? qu'est ce que je fais de tous les fichiers telechargés ? les log et tou ca ? je peux virer, ou bien je les garde quelque part ?
MERCI SHAMROCK
6 Février 2007 23:28:01

tu as fais une petite erreur !!!
avenger est un tool très puissant, à manier avec beaucoup de prudence:
look:
Citation :
Folder c:\Documents and Settings\Car not found!
Deletion of folder c:\Documents and Settings\Car failed!

cela veut dire que tu as raté ton copier coller.tu en as oublié un morceau. à une lettre près plus tu perdais tout c:\Documents and Settings\Caro.
heureusement qu'il y a une sauvegarde sur le pc ...
ne touche plus à rien !

peux tu redémarrer normalement?
6 Février 2007 23:29:11

tu m'as fait peur, :ouch: 
on arrête avec avenger pour l'instant tu gardes tout
reposte un log blacklight
6 Février 2007 23:32:09

oups mince, heureusement qu'il ne ma pas tout effacé, mes disk sont bien chargés !!!! j'ai effectivement vu a un moment donné une erreur......PFIOUUU
DOnc tous les ligiciels je les garde dans un coin ? et je dois reposter un log de black ok, sinon ca redemarre bien, kaspersky marche
6 Février 2007 23:34:11

ok
continue alors poste le blacklight
6 Février 2007 23:39:10

VOICI

02/06/07 23:34:17 [Info]: BlackLight Engine 1.0.55 initialized
02/06/07 23:34:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/06/07 23:34:17 [Note]: 7019 4
02/06/07 23:34:17 [Note]: 7005 0
02/06/07 23:34:19 [Note]: 7006 0
02/06/07 23:34:19 [Note]: 7011 1372
02/06/07 23:34:19 [Note]: 7026 0
02/06/07 23:34:20 [Note]: 7026 0
02/06/07 23:34:25 [Note]: FSRAW library version 1.7.1021
02/06/07 23:38:10 [Note]: 7007 0


ALORS C GRAVE DOCTEUR
6 Février 2007 23:40:38

ça roule
poste un rapport hijackthis pour continuer la désinfection
6 Février 2007 23:44:36

VOICI

Logfile of HijackThis v1.99.1
Scan saved at 23:43:55, on 06/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Documents and Settings\Caro\Application Data\U3\0E51EA500091D8DF\LaunchPad.exe
C:\hijackthis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Caro\Application Data\hidires\hidr.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x...
O16 - DPF: Yahoo! Hearts - http://download2.games.yahoo.com/games/clients/y/ht1_x....
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/hardwaredetectio...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /Service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /Service (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

6 Février 2007 23:58:34

tu me fais peur a plus rien dire là...
7 Février 2007 00:00:29

on garde avenger jusquà demain ;) 


Imprime ou sauvegarde cette procédure sur ton bureau car une bonne partie de ton travail est à faire en mode sans échec. (tu n’auras alors pas accès au net pendant ce temps).Si tu ne comprends pas quelque-chose, dis-le moi.


Etape 1

~Télécharge AVG anti-spyware.
http://www.ewido.net/en/download/
~Mets le à jour. en cliquant sur le bouton mise à jour dans le menu du haut.
~Télécharge CCleaner:

http://www.filehippo.com/download_ccleaner/

~Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! Ccleaner"

ATFCleaner
http://www.atribune.org/public-beta/ATF-Cleaner.exe


Etape 2

~Redémarre en mode sans échec
(f8 au démarrage de ton pc)
http://www.malekal.com/modesansechec.php

~Lance Hijackthis “Do a system scan only”.
Coche les lignes qui suivent si encore présentes et uniquement celles-là.
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Caro\Application Data\hidires\hidr.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)


Clique sur Fix checked (en bas à gauche)



Etape 3

Ensuite tu n'a plus qu'à supprimer les fichiers et les dossiers.

~Supprime
Le dossier en gras si encore présent
C:\Documents and Settings\Caro\Application Data\hidires


Note :
Citation :
Pour afficher les dossiers et fichiers cachés du système :
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système.

Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.


Etape 4

Lance ATF Cleaner :


Double-clique sur ATF-Cleaner.exe afin de lancer le programme.
- Si tu utilises IE
Sous l'onglet Main, choisir : Select All
Cliquer sur le bouton Empty Selected

- Si tu utilises le navigateur Firefox :
Clique Firefox en haut et choisis : Select All
Clique le bouton Empty Selected

Note : Si tu souhaites conserver les mots de passe sauvegardés, clique "No" à l'invite.

- Si tu utilises le navigateur Opera :
Clique Opera en haut et choisis : Select All
Clique le bouton Empty Selected
Note : Si tu souhaites conserver les mots de passe sauvegardés, clique "No" à l'invite.
Clique Exit, du menu principal, afin de fermer le programme



Lance AVG :

~Dans l’onglet analyse, dans Paramètre, clique sur Actions recommandées : choisis Quarantaine.
~Clique sur Analyse puis Analyse complète du système pour commencer le scan.

~Une fois que le scan est terminé, clique sur Appliquer toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.

~Une fois que la suppression des fichiers infectés a été faite, clique sur enregistrer le rapport et sauvegarde-le sur le bureau.
TutoAVG antispyware : (merci à Malekal) .
http://www.malekal.com/tutorial_AVG_AntiSpyware.html



Etape 5

~Redémarre normalement

cache à nouveau les fichiers pour te protéger.
Citation :

Panneau de configuration/Options des dossiers/onglet Affichage/décocher Afficher les fichiers et dossiers cachés, cocher Masquer les fichiers protégés du Système.
[/b]
Tu garderas :Masquer les extensions de fichiers connus, décocher.

Lance Ccleaner :
Clique sur le bouton erreur, tu fais « supprimer les erreurs »
Clique sur le bouton nettoyage, tu fais « lancer le nettoyage ».
Tuto de CCleaner: (merci à Malekal) .
http://www.malekal.com/tutorial_CCleaner.html

+++++++++++++++++++++

~Nous allons maintenant sécuriser ton ordinateur en installant un pare-feu. Je te propose ces logiciels :
Le pare-feu :zone alarm que tu peux télécharger ici http://www.zonelabs.com/store/content/cata...&lid=nav_z...
Tuto pour zone alarm http://www.malekal.com/tutorial_zonealarm.php
ou
Le pare-feu :Kerio que tu peux télécharger ici
http://www.sunbelt-software.com/evaluation/440/kerio.ex...

Tuto pour Kerio : http://www.malekal.com/kerio_firewall.php



poste-nous le rapport AVG antispyware ainsi qu’un nouveau log Hijackthis

Bon courage :D 
7 Février 2007 00:03:30

wahouuuuuuuuuuu...........En fait, ca n'a pas marché ??? pourtant j'ai l'impression que si ! quel est le souci
J'ecris depuis mon pc portable, qui lui, est sain et sauf, donc j'ai acces au net
7 Février 2007 00:05:09

ok, bon je me lance..............tu es la encore jusqu'a quelle heure ?
7 Février 2007 00:07:14

en antispy, moi j'ai adware, je desinstalle ? et remplace par AVG ?
7 Février 2007 00:11:02

mais non, tout a marché.
ton pc est presque propre, maintenant c'est de la rigolade...

on peaufine, ;) 

avg va probablement te virer quelques petites infections dûes à bagle.
je te fais enlever le dossier hidires à la main pour éviter une autre erreur de manip.
on garde avenger jusquà demain,si rien ne se passe on le supprimera. sinon, on pourra toujours revenir en arrière grâce au backup.

bagle fait partie des virus les plus puissant actuellement. Donc si tu veux éviter une réinfection, mets un parefeu. (fin de mon dernier post)


allez dodo :hello: 
7 Février 2007 00:12:03

tu peux garder adaware et prendre avg en complément
7 Février 2007 00:15:14

OK MERCI BCP, je vais fair ela suite
Bonne nuit bien méritee
7 Février 2007 00:16:47

je poste le log , tu reviens demain ? pour voir ?
et le logiciels telechargés je peux les virer maintenant ?
7 Février 2007 00:20:20

MON PC refuse catégoriquement de redemarrer en mode sans echec !
le bourru.............
alors ok je garde les logiciels jusqu'a demain, par contre j epeux pas continuer la procedure
7 Février 2007 00:23:55

2 pistes
-f5 à la place de f8 sur certains pc
ou
-attendre... :) 
le mode sans echec peut parfois prendre une petite heure
7 Février 2007 00:44:49

ben je surligne le "mode sans echec" il semble partir, mais me renvoie sur la page ou l'on choisi echec sans echec etc......
a demain
7 Février 2007 10:43:47

bonjour, alors tu essaies encore, si ça ne marche pas tu fais tout en mode normal.
tu ajoute un scan en ligne:
Kaspersky
~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://webscanner.kaspersky.fr/

~ Clique sur Online Scanner.
~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

~Sélectionne le poste de travail comme analyse.

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.
Tuto en image : http://support.kaspersky.fr/admin/u2Files/Image/webscan...

7 Février 2007 15:55:20

salut !

alors j'ai lancé AVG qui m'a trouvé objets infectés
Kaspersky vient de se lancer sur le pc infecté, il ma trouvé des virus ( bagle, emailworm...j'uitlise pas la messagerie...) et d'autres et je lui ai demandé de les effacer
Il est en train de finir, alors je le laisse, et apres je vais sur le sit de kaspersky pour faire l'analyse en ligne, et je te poste tout ca dès que se sera fini....
Je n'ai pas fini la procedure d'hier par contre....etape 1 validée
il faut que je la finisse quand meme ? en mode normal alors ?

7 Février 2007 16:26:21

bonjour
c'est surtout pour avg le mode sans échec.
de toute façon, si ça ne marche pas tu es probablement encore infectée.
c'est le scan kaspersky qui pourra m'orienter.
poursuit les étapes 2,3,4,5 quand même puis redédémarre en mode sans échec dès que tu peux. n'oublie pas d'insister, cela peut prendre plus de temps.

si pas de dysfonctionnement, supprime avenger avant le scan en ligne (ça fera moins de lecture ;)  )
7 Février 2007 17:06:03

alors AVG a fini de scanner, en mode normal

voici le rapport, avant les procedures que tu m'avait donné

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:03:51 07/02/2007

+ Résultat de l'analyse:



C:\Downloads\Creatures-dm[1].exe -> Adware.Trymedia : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@casalemedia[1].txt -> TrackingCookie.Casalemedia : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@casinotropez[2].txt -> TrackingCookie.Casinotropez : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@com[1].txt -> TrackingCookie.Com : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@perf.overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@questionmarket[2].txt -> TrackingCookie.Questionmarket : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Caro\Cookies\caro@statcounter[2].txt -> TrackingCookie.Statcounter : Aucune action entreprise.


Fin du rapport

MAintenant je vais l'ancer l'analyse Kasp en ligne
et je ferai les manip apres
7 Février 2007 17:09:03

tu n'as pas cliqué "appliquer toutes les actions" donc avg n'a rien fait.
de toute façon il faudra arriver à le passer en mode sans echec.

fais bien toutes les opérations 2,3,4,5 avant le scan en ligne.
8 Février 2007 16:22:22

salut

Je n'ai as encore fait les manip', j'ai eu du monde hier chez moi
Mais je vais les faire auj ou demain, j'espere que tu sera encore la !!
Merci et a +
8 Février 2007 16:50:00

ok
n'oublie pas que tu es encore infectée, c'est probablement le dossier "hidire" qui bloque le démarrage en mode sans echec
14 Février 2007 02:10:17

ok, j'ai pas encore fait les manip, pas eu le temps, mais je fais toute la procedure DEMAIN ! et si j'arrive pas a passer en mode sans echec, je fais quand meme les etapes
Jete poste les trucs demain soir donc mercredi 14
A + j'espere !!!!! j'ai fais trainé....j'aurais pas du.....en ce moment, mes hauts parleurs on un souci...je suis sure que c'est du a ca.....;
A demain !
caro/
14 Février 2007 16:40:23

COUCOU
j'ai voulu commencer les manips
Etape 1 je telecharge les logiciels
Etape 2 : tjrs impossible de passer en mode sans echec, je le fai sen mod normal. Je lance hijackthis, scan, par contre les lignes que tu me demande de cocher et fix checked ne s'y trouve pas, je ne retrouve pas exctement les lignes....
Je fais koi ?????????????
14 Février 2007 16:43:01

ok j'ai trouvé la ligne 09 - extra button orange etc....
par contre la 04 HCKU..... je ne l'ai pas exctement moi la ligne qui y ressemble le plus c'est 04HCKU/../run : WOOKIT C:/program/wanadoo/shell.exeapplaunchclientzone.shl PARAm= cnx
ENfin a peu pres koi..........
14 Février 2007 18:39:36

bonjour il faut imprérativement commencer par cela:

supprime le dossier en gras en mode normal si tu ne peux pas acceder au mode sans echec.
Citation :
C:\Documents and Settings\Caro\Application Data\hidires


Note :
Citation :

Pour afficher les dossiers et fichiers cachés du système :
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système.


Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.


si ça ne marche pas vois-tu ce dossier?
après je sens que comme on n'est pas allé au bout, il va falloir tout recommencer. hijackthis/blacklight....rien d'autre de toi même!surtout pas avenger

14 Février 2007 19:02:57

ok je dois donc supprimer l=ce fichier dans C:/ ?

Ok je le vois, et il est vide apparemment
Je supprime donc
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS