|
|
|
infection par AV.EXE cheval de troie
Astucien  |
En me connectant sur un site habituel (tablatures pour guitare), tout à coup AVG me détecte un programme malveillant : AV.exe. Mise en quarantaine. Redémarrage du PC mais en session limitée, plus aucun programme ne fonctionne (IE7, Mozilla, AVG, ....). Je sors de la quarantaine le programme en question, Microsoft m'avertit que je n'ai plus d'anti-virus (désactivé) ainsi que le pare-feu. Remise en quarantaine. Mise à jour de Malwarebites, scan, il ne trouve rien. Session limitée toujours inutilisable. Donc en session administrateur, AVG m'informe de la mise en quarantaine :
Et me voici Help donc !!! Merci d'avance | ||||||||
Publicité | |||||||||
|
| |||||||||
 Grand Maître astucien | Bonsoir L'action d'AVG n'a pas suffit ? @+ Modifié par nardino le 13/02/2010 21:33 | ||||||||
Astucien |
en attendant, voici le rapport Hijackthis actuel : Logfile of Trend Micro HijackThis v2.0.2 Running processes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numeo.fr/ --
| ||||||||
Astucien | Hello nardino, non, Avg fonctionne mais tjs rien en session limitée. | ||||||||
Astucien | Re, quand je dis que plus rien ne fonctionne, en cliquant sur une icone, une fenêtre s'ouvre me demandant avec quoi il faut ouvrir le programme. Même l'explorateur ne s'ouvre plus. Et dans la barre des tâches, je n'ai plus que le HP, les 2 petits écrans clignotants d'internet, l'icone pour retirer un périphérique et l'heure. Tout le reste a disparu (sauf si je sors le fameux programme de sa quarantaine).
| ||||||||
| Grand Maître astucien | Bonsoir TomTom, Quand je prends en charge une question, je n'ai pas pour habitude de laisser tomber.
@+
| ||||||||
 Astucien | Post supprimer Salut | ||||||||
| Grand Maître astucien | Bonsoir. Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY @+ | ||||||||
Astucien | Bonsoir, le scan est en route, je ne sais pas combien de temps ça dure, mais en attendant une question : le fait que AVG ait mis cette saleté en quarantaine, est-ce que ça ne peut pas nuire au scan ? A + (et bonne nuit probblement) | ||||||||
Astucien | Encore, tout d'abord, je rapelle que je ne peux travailler (scans) qu'en session administrateur (je ne peux même pas lancer Hijackthis en session limitée). Et puis je n'ai pas saisi l'échange entre nardino et tomtom95 ! ça me concerne ? J'ai fait une bétise ?
A + | ||||||||
| Astucien | Non rassure toi aucunes bêtisse | ||||||||
| Grand Maître astucien | Bonsoir. Rien de grave et rien qui te concerne concernant notre échange. Je te demanderai de ne pas vider la quarantaine de AVG. Je souhaite récuperer les fichiers. Nous verrons après le rapport MBAM @+ | ||||||||
Astucien | Pour terminer la soirée, Rien de trouvé. Voici le rapport : Malwarebytes' Anti-Malware 1.44 13/02/2010 23:18:17 Type de recherche: Examen complet (C:\|) Processus mémoire infecté(s): 0 Processus mémoire infecté(s): Module(s) mémoire infecté(s): Clé(s) du Registre infectée(s): Valeur(s) du Registre infectée(s): Elément(s) de données du Registre infecté(s): Dossier(s) infecté(s): Fichier(s) infecté(s): | ||||||||
Astucien | Et donc, maintenant Merci encore de votre aide. A demain. Bonne nuit à tous.
| ||||||||
Astucien |
me voici revenu, et la nuit portant conseil (enfin, c'est ce qu'on dit * faire une restauration système à une date proche. * créer une autre session limitée temporaire (juste pour voir si je retrouve des applications qui fonctionnent). * restaurer cette pourriture et essayer de scaner avec Hijackthis et Malwarebytes pour voir s'ils trouvent quelque chose. Mais je ne sais pas s'ils fonctionneront compte tenu de ce que j'ai déjà constaté auparavant. Et est-ce qu'ils (Hijackthis et MAlware) trouveraient quelque chose en session administrateur si mes ennuis sont en session limitée ? Autre réflexion (oui, je n'ai pas dormi tout le temps, ça me tracasse), j'ai dit plus haut que les applications (Excel, Word, Xnview, Explorateur Windows, IE7, Mozilla, .....) ne fonctionnent pas. Quand je fais un clic droit sur une icone/ propriétés/ onglet raccourci, le chemin est bien spécifié. Si je fais "rechercher la cible", je trouve le fichier *.exe correspondant. Mais si je fais un double clic dessus, il ne se lance pas et une fenêtre s'ouvre demandant avec quoi il faut l'ouvrir . Encore autre chose, le fichier détecté est AV.exe. Ne serait-il pas un fichier de mon anti-virus "AVG" ? Je me dis ça comme c'est AV (comme AVG). J'ai dit une bétise ? Faudrait-il que je pose la question au support AVG en parallèle ? (bien que ce soit dimanche). A bientôt.
| ||||||||
| Astucien | Bonjour joel70 En attend d'une réponse de nardino un peu d'info Non av.exe c'est une infection http://www.processlibrary.com/fr/directory/files/av/ Voilà bon dimanche a vous deux | ||||||||
PC Astuces a besoin de vous pour survivre. Nos conseils et astuces vous ont aidé ? Vous avez résolu un problème sur votre ordinateur ? Vous avez profité de nos bons plans ? Aidez-nous en retour avec un abonnement de soutien mensuel. 5 € par mois 10 € par mois 20 € par mois
| |||||||||
Astucien | OK, attendons donc. Eh ben ! AVG me trouve aujourd'hui dans son analyse quotidienne un nouveau cheval de Troie : SHeur2.CLOI Mis en quarantaine. Bizarre ce 2è. Pourtant depuis hier j'ai limité mes ballades sur le web, uniquement à la recherche de renseignements sur ce pb. ça peut exister des "chevaux" qui s'activent à retardement ? A + | ||||||||
| Grand Maître astucien | Bonjour Tu es victime d'une nouvelle infection encore très mal traitée par les antivirus et ce fichier n'est pas en rapport avec AVG qui serait mal programmé pour supprimer des fichier lui appartenant. Je souhaiterais que tu fasses ceci : Tu vas dans la quarantaine de AVG. Tu restaures le fichier av.exe Tu repères bien où il va être restauré. Tu te rends à l'emplacement. Tu le compresses et tu héberges ici le fichier zip : MediaFire Tu me communiques le lien. Tu refais une analyse avec AVG pour le supprimer à nouveau. Désactive ton antivirus. Lance l'outil, il ne nécessite pas d'installation. @+
Modifié par nardino le 14/02/2010 14:27 | ||||||||
Astucien |
me revoici, mais ça ne marche pas. Je ne suis pas allé bien loin, je m'explique. Restauration = OK J'ai d'abord eu un avertissement :
Mais impossible à retrouver bien que j'avais noté l'emplacement de la restauration, le fichier n'apparait nulle part (j'ai aussi fait des recherches sur toutes les partitions), et tous les fichiers cachés sont (éventuellement) affichés :
donc je n'ai pas pu le compresser ni le mettre où tu souhaitais. J'ai malgré tout refait un scan AVG et supprimé le fichier :
Je me suis arrêté là dans ta procédure. Dois-je continuer malgré tout ? Ah ! En session "limitée" aucune amélioration, même aprés restauration du cheval. Dur, dur !! A +
| ||||||||
| Grand Maître astucien | Bonjour Pour les nouvelles détection, il est possible que celle déjà trouvée mais mal éradiquée en soit à l'origine, c'est même plus que propbable. Nous allons procéder autrement. Télécharge Combofix Restaure le fichier AV.exe Ouvre le bloc-notes : Tous les programmes-Accessoire-Bloc-notes
Désactive AVG le temps d'effecteur ce qui suit : Enregistre-le sous CFScript.txt, sur le bureau Combofix va se lancer et faire redémarrer l'ordinateur. S'il demande l'installation de la console de récupération, accepte. Poste le rapport C:\Combofix Réactive ton antvirus et refais un scan de contrôle. @+
Modifié par nardino le 14/02/2010 18:17 | ||||||||
Astucien |
en attendant que AVG ait fini son scan, voici le résultat de Combofix : ComboFix 10-02-12.01 - joël 14/02/2010 18:47:48.4.2 - x86 file zipped: c:\documents and settings\Tous\Local Settings\Application Data\AV.EXE (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) c:\documents and settings\Tous\Local Settings\Application Data\AV.EXE . 2010-02-13 18:31 . 2010-02-13 18:31 -------- d-----w- c:\program files\Trend Micro . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] [HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] c:\documents and settings\jo‰l\Menu D‚marrer\Programmes\D‚marrage\ c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [24/10/2009 16:33 25608] 2010-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job 2010-02-14 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job URLSearchHooks-*{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès ************************************************************************** - - - - - - - > 'lsass.exe'(1212) Avant-CF: 34 420 588 544 octets libres
- - End Of File - - F0AFCCE9F1E76BD9AB92176659A1D209
Bonne lecture et bon courage (et merci aussi Ah ! Combo n'a pas redémarré le PC, je l'ai donc fait. J'oubliais : il n'y a plus l'icone de AVG dans la barre des tâches, à droite près de l'horloge, bien que AVG soit bien actif, alors qu'elle y était toujours !!! A + Modifié par joel70 le 14/02/2010 19:18 | ||||||||
Astucien |
mais toujours rien d'accessible par la voie habituelle en session limitée. A + | ||||||||
| Grand Maître astucien | Bonsoir Tu peux restaurer les fichiers trouvés puisqu'ils sont dans un dossier Qoobox isolé. Tu vas d'ailleurs compresséer le dossier C:\Qoobox et me l'heberger ici : Puis tu me communiques le lien. @+ | ||||||||
Astucien |
Est-ce ça le lien pour le "dossier" Qoobox.zip (2,57 Mo) http://www.mediafire.com/myfiles.php ou ça http://www.mediafire.com/?otj4wzmimvz En attendant, je restaure le cheval A + | ||||||||
| Grand Maître astucien | Bonsoir Super Merci pour tous. Je te tiens au courant pour la suite. | ||||||||
Astucien |
maintenant, je vais m'occuper de la soupe A tout à l'heure peut-être. De toute façon, bonne soirée. A + | ||||||||
Astucien |
me revoici mais probablement épisodiquement (le WE est fini). En attendant (comme soeur Anne) qu'un preux chevalier vienne me délivrer de la tour (enfin plutôt DU tour) pendable que m'a joué ce cheval de Troie, je me repose aussi cette question sur les applications que je ne peux plus lancer normalement. Depuis la barre des tâches, impossible. Par contre depuis le bureau,en usant d'artifices, j'arrive à lancer certaines d'entre elles. Là j'écris depuis la session limitée. Autre bizarrerie, la disparition de certaines icones à droite, près de l'horloge : ce que j'ai en session administrateur (et aussi avant en limitée)
et maintenant en limitée :
Je sais que ce n'est pas tout à fait le même pb que le cheval, mais c'est lié dans la suite des évènements. Enfin, pour l'instant attendons l'avis des spécialistes. A +
Modifié par joel70 le 15/02/2010 10:39 | ||||||||
| Grand Maître astucien | Bonjour. Je te propose de tenter un scan avec Kaspersky. Tu désinstalles AVG provisoirement et tu installes la version d'essai de Kaspersky. Tu mets à jour et tu scannes le pc. Tu cliques dans Download sur version d'évaluation. Tu posteras le rapport @+ | ||||||||
Astucien |
là je suis sur un autre PC. J'avais envoyé un message au support AVG qui m'a donc demandé de procéder à un scan en mode sans échec (ce qui est en cours,..... très long), de leur envoyer le résultat ainsi qu'une analyse Hikackthis. Je suis donc un peu bloqué pour l'instant, qu'est-ce que c'est long en mode sans échec, déjà pour y accéder avec un clavier multimédia (touches multifonctions, on ne sait jamais laquelle est active), puis les différentes sortes de mode sans échec, la différence avec la console de récupération, les débuts de ligne qui dépassent l'écran, ..... . Enfin plein de petites misères qui occupent !! Bon, maintenant c'est en cours et je surveille. Et je vous tiens aussi au courant de ce côté. Mais en ce qui concerne AVG, nardino, tu dis désinstaller ou désactiver ? Car désactiver c'est tout enlever (j'espère que ça se désinstalle sans soucis), tout réinstaller (120 Mo), y compris les N° d'enregistrement, les mises à jour, ….etc. Je sais par ailleurs que 2 AV cohabitent très mal. Bon, je continue à surveiller le scan AVG. A +
| ||||||||
Nouvel astucien |
Salut,
j'ai le meme problème que vous. Ce problème n'apparait que dans une seule session utilisateur, là où le problème est apparut. Dans la session administrateur et dans les autres sessions tout va bien. Le problème est apparut après avoir cliqué sur la croix rouge pour fermer une fausse pub d'un faux antivirus, genre "XP Internet Security 2010". Pour info, le fichier av.exe se trouve dans nom_de_session\local-settings\application data ,mais pour le voir, il faut aller dans outils/options des dossiers, onglet Affichage, cocher "afficher les fichiers cachés" et "décocher masquer les fichiers protégés du systeme d'exploitation". J'ai aussi remarqué qu'en faisant un clic droit sur les programmes qui ne fonctionnent pas, il y a une ligne "Start" qui n'existe pas sur un autre ordinateur sain.
Je continue à chercher, plus d'infos demain. A+ Merci pour vos infos.
| ||||||||
| Grand Maître astucien | Bonsoir Joël Il faut bien sûr désinstaller mais avant il faut avoir la clé d'enregistrement disponible ainsi que le setup d'installation. Sinon tu laisses tomber Kaspersky. Avec Antivir cela sera possible à condition de désactiver et non désinstaller AVG. Le scan avec Antivir à faire en mode sans échec aussi. @+ | ||||||||
Astucien |
heureux de ne pas être seul dans cette galère (non, je blague Effectivement la ligne "start" permet de lancer les programmes qui ne voulaient pas jusque là, même dans la barre des tâches. Bien vu ! Mais c'est pas normal. En plus, il me manque des choses à droite de l'horloge. Sinon, j'ai aussi des contacts avec AVG quim'a fait faire des vérif qui n'ont rien donné. PAR CONTRE : ILs me fournissent des renseignements et des mises en gardes que je vous recopie ci-dessous. Il y a aussi des manipulations que je ne pourrai pas faire ce soir. Donc demain. ------------------------------------------- Av.exe fait partie d'un des nombreux programmes de faux antivirus, qui Ils m'ont donc mis en pièces jointes une recopie du résultat de l'analyse Hijackthis que je leur avais envoyé et une procédure Ccleaner. je vous copie ci-dessous l'analyse Hijackthis que je dois corriger (le rouge est devenu gras ici) : Logfile of HijackThis v1.99.1 Scan saved at 13:46:46, on 15/02/2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\internet explorer\iexplore.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe G:\Mes Documents\avg\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [GazelDisplay] "C:\Program Files\Djinn Numéris Itoo\gsyno.exe" -h O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [MtdAcqu] "C:\Program Files\Creative\MediaSource5\MtdAcqu.exe" /s O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{97788165-AC52-4D77-9442-0227005D3139}: NameServer = 10.145.0.254,10.25.1.1 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - F:\Program Files\Adobe\PhotoshopElementsFileAgent.exe O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe O23 - Service: AVG9IDSAgent (AVGIDSAgent) - Unknown owner - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe" AVGIDSAgent (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Démarrage Djinn (Gazel Startup) - Unknown owner - C:\Program Files\Djinn Numéris Itoo\vstartx.exe" /s (file missing) O23 - Service: Journal des connexions RNIS (GisdnLog) - Unknown owner - C:\Program Files\Djinn Numéris Itoo\gisdnlog.exe" -s (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NMSAccessU - Unknown owner - F:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Qu'en pensez-vous (de leurs conseils et de l'analyse) ? Je verrai ça demain aussi. Mais je suis content de leur action et vous tiens au courant également. Bonne soirée à tous les 2 (et à tous les autres qui suivent ce post depuis 3 jours).
| ||||||||
| Grand Maître astucien | Bonsoir AskBar n'est surement pas ce qui coince ton pc. Voici une liste de rpogramme qui l'installe :
Pour la virer : Télécharge ASK Remover.zip 1.1 Poste un nouveau rapport Hijackthis. Et fais le scan avec Antivir. @+ | ||||||||
Astucien |
OK, j'ai fait l'opération Ask Toolbar, mais rien n'a changé. Que ce soit en session limitée ou administrateur, c'est toujours présent (vérification dans IE7 Affichage/Barre d'outils), maintenant il y a Ask Toolbar en noir et grisé, ainsi que Yahoo ! Toolbar avec bloqueur de fenêtre pop-up également en grisé. Avant mes pb, je ne sais pas, je n'y faisais pas attention sauf que je n'avais pas coché cette ligne. Par ailleurs, Ask Toolbar existe toujours dans Démarrer/Paramètres/Panneau de configuration/Ajout-suppression de programmes. En plus il existe sur 2 lignes. Il n'y a pas d'améliorations côté lancement des applications, et j'ai même remarqué que je ne peux plus non plus jouer sur le volume (icone HP près de l'horloge). Suite à la remarque de baliy, la ligne "start" existe toujours en session limitée. Maintenant, voici le rapport Hijackthis, et toujours les 5 lignes avec Ask (j'en ai même vu une 6è): Logfile of Trend Micro HijackThis v2.0.2 Running processes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numeo.fr/ -- ------------------------------------------ Je vais faire le scan Antivir Bonne lecture. A +
| ||||||||
Astucien | Hello, et voici le rapport Antivir, en mode sans échec (quelle m...
Avira AntiVir Personal Scanning for 1763568 virus strains and unwanted programs. Licensee : Avira AntiVir Personal - FREE Antivirus Version information: Configuration settings for the scan: Start of the scan: mardi 16 février 2010 09:19 Starting search for hidden objects. The scan of running processes will be started Starting master boot sector scan: Start scanning boot sectors: Starting to scan executable files (registry).
Begin scan in 'C:\' <WINDOWS>
The scan has been done completely. 19571 Scanned directories --------------------- je vois aussi qu'il y a 4 warnings et 1 note ?? conclusion ? Et maintenant quid de Antivir et AVG (toujours désactivé). A +
| ||||||||
| Grand Maître astucien | Bonjour Tu peux désinstaller Antivir par Ajout/Suppression des programmes et redémarrer puis réactiver AVG. Tu fais un scan avec Malwarebytes qui traite dorénavant cette infection. Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY Pour AskBar, télécharge Toolbar-S&D de Eric_71
@+ | ||||||||
Nouvel astucien | joel70 a écrit :
Alors j'ai trouvé ca dans un autre forum (http://www.commentcamarche.net/forum/affich-2209431-fichier-exe-demande-ouvrir-avec), concernant l'ouverture des .exe : "Allo , j'ai eu le meme probleme avec mes fichier exe...j'ai fait le procedé et ca a marcher. Je n'ai pas encore essayé à cause de restrictions en vigueur sur le poste en question. Je m'en occupe demain. Et je ne suis pas sur que ca résolve tout notre problème. A+ , les recherches continuent.... | ||||||||
Astucien | Bonsoir, voici donc le rapport Malwarebytes (rien trouvé) : Malwarebytes' Anti-Malware 1.44 16/02/2010 19:47:21 Type de recherche: Examen complet (C:\|) Processus mémoire infecté(s): 0 Processus mémoire infecté(s): Module(s) mémoire infecté(s): Clé(s) du Registre infectée(s): Valeur(s) du Registre infectée(s): Elément(s) de données du Registre infecté(s): Dossier(s) infecté(s): Fichier(s) infecté(s): ------------ et la rapport Toolbarsd :
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2 "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 ) -----------\\ Recherche de Fichiers / Dossiers ... C:\Program Files\AskPBar -----------\\ Extensions (joël) - {0b38152b-1b20-484d-a11f-5e04a9b0661f} => winamptoolbar (Tous) - {0b38152b-1b20-484d-a11f-5e04a9b0661f} => winamptoolbar
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
-----------\\ Fin du rapport a 19:54:23,82 A savoir que dans le processus, après lancement de Toolbarsd, il y a bien eu scan mais sans redémarrage au préalable. Je n'ai pas encore testé la manipulation de baliy Bonne soirée (sans doute).
| ||||||||
Nouvel astucien | Salut, idem chez moi : AV.exe -> une vraie plaie ce truc Apparamment chopé sur un site de streaming : Méga vidéo "alloshowtv.com" Le seul remède efficace que j'ai trouver : restauration système ! ( XP SP1 - Internet Explorer version 6 ) Modifié par BreizhMan le 16/02/2010 20:56 | ||||||||
Astucien |
moi, il me semble que c'est sur www.guitartab.com, j'y cherchais des tablatures jazz. J'avais pensé à la restauration, mais j'attends encore un peu l'avis de spécialistes. Pour l'instant je ne suis pas vraiment bloqué, mais ça commence à me gonfler Bonne soirée et à bientôt.
| ||||||||
| Grand Maître astucien | Bonsoir Relance Toolbar S&D par l'option 2 Et donnes des nouvelles. @+ | ||||||||
Les bons plans du moment PC Astuces | Tous les Bons Plans | ||||||||||||||||||
| |||||||||||||||||||
| Forum PC Astuces | © 1997-2025 Webastuces |  |
À LA UNE
PRATIQUE
LOGITHÈQUE
TABLETTE ET MOBILE
BONS PLANS
FONDS D'ÉCRAN
JEUX
FORUM
Bonjour,
.
Re,
.
), en attendant vos avis .... avisés et sûrement plus efficaces que les miens, j'ai pensé à plusieurs manoeuvres (ne riez pas 
):
bonsoir (j'essaye malgré tout de garder le sourire !)
).
.
bonjour (enfin j'espère 
),
ce clavier multimédia !)
