Tom's Guide > Forum > Sécurité - Virus > virus bloquant anti virus

virus bloquant anti virus

Forum Sécurité - Virus : virus bloquant anti virus

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
indep@IDN   26-08-2007 à 01:42:06

bonsoir j'utitlise avast en antivir et depuis ce soir il ne démarre plus. jessaie d'installé spybot mais le .exe est absent.
que faire?

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
indep@IDN   26-08-2007 à 01:55:04
- 0 +

APRES AVOIR LU LES DIFFERENT POST A CE SUJET VOICI MON RAPPORT HIJACK:

Logfile of HijackThis v1.99.1
Scan saved at 01:54:28, on 26/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Rar$EX00.766\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\FAMILLES SERVICES\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/ [...] anager.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/ [...] NPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

Répondre à indep@IDN
rinik   26-08-2007 à 11:55:43
- 0 +

j'ai le meme probleme que toi. Depuis un certain temps ça me fais la meme chose... Soi tu as un virus, soi il faut que tu formates ton ordinateur.
voila

Répondre à rinik
indep@IDN   26-08-2007 à 14:31:07
- 0 +

de plus impossible de redemarrer en mode sans echec

Répondre à indep@IDN
indep@IDN   26-08-2007 à 15:58:38
- 0 +

est ce que quelqu'un a une vrai solution svp???

Répondre à indep@IDN
OmaR   26-08-2007 à 23:26:48
- 0 +

@indep : Merci de ne pas utiliser le bouton alerter (http://img.infos-du-net.com/forum/themes_static/images_forum/3/exclam.gif) (qui sert à alerter un modérateur lorsqu'il y a un problème sur le site) afin de nous signaler que vous avez un soucis avec votre PC.

 

Merci de patienter qu'un helpeur s'occupe de vous :)


Message édité par OmaR le 26-08-2007 à 23:28:01
------------------------------ Les dessins des seins ou les desseins des saints ?
 Répondre à OmaR
Sham_Rock   27-08-2007 à 00:27:11
- 0 +

bonsoir

je te préviens tout de suite,
bagle est une infection très sévére...la désinfection ne marche pas toujours.

due à un tléléchargement de crack de trop. (la plupart du temps, cette infection est logée dans les crack d'antivirus)

~Télécharge. F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


- Lance F-Secure Blacklight (fichier fsbl.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f- [...] Light.html


------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
indep@IDN   27-08-2007 à 00:52:11
- 0 +

merci de votre réponse et désolé d'avoir abusé de cette fonction je post ça de suite


Message édité par indep@IDN le 27-08-2007 à 01:13:24
Répondre à indep@IDN
indep@IDN   27-08-2007 à 01:07:59
- 0 +

voici

08/27/07 00:58:59 [Info]: BlackLight Engine 1.0.64 initialized
08/27/07 00:58:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/27/07 00:58:59 [Note]: 7019 4
08/27/07 00:58:59 [Note]: 7005 0
08/27/07 00:59:02 [Note]: 7006 0
08/27/07 00:59:02 [Note]: 7011 1512
08/27/07 00:59:02 [Note]: 7026 0
08/27/07 00:59:02 [Note]: 7026 0
08/27/07 00:59:04 [Note]: FSRAW library version 1.7.1022
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/27/07 01:00:40 [Note]: 10002 3
08/27/07 01:00:40 [Note]: 10002 2
08/27/07 01:00:40 [Note]: 10002 2
08/27/07 01:04:05 [Note]: 10002 2
08/27/07 01:04:05 [Note]: 10002 2
08/27/07 01:04:50 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
08/27/07 01:04:50 [Note]: 10002 2
08/27/07 01:04:50 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/27/07 01:04:50 [Note]: 10002 2
08/27/07 01:05:19 [Note]: 2000 1012
08/27/07 01:05:48 [Note]: 7007 0

Répondre à indep@IDN
Sham_Rock   27-08-2007 à 23:45:16
- 0 +

bonsoir

sauvegarde toutes tes données importantes avant de continuer.
Cette nouvelle variante du virus bagle est très coriace et peut se terminer par un crash du pc.

+++++++++++++++++

Télécharge gmer à partir de l'une de ces adresses :
http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Clic sur Scan
Arrete le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).

_________

Menu Démarrer / executer et tape : cmd puis clic sur OK.
Tape chacune de ces commandes en appuyant sur la touche entrée à chaque fois pour valider la commande :


Citation :

gmer -killall
gmer -del service srosa
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\srosa"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\srosa"
gmer -del file "c:\WINDOWS\system32\drivers\srosa.sys"
gmer -del file "c:\WINDOWS\system32\drivers\hidr.exe"
gmer -reboot




Si le PC ne redémarre pas, fais un reset.




+++++++++++

refais un scan avec blacklight pour vérifier

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > virus bloquant anti virus
Aller à :

Il y a 2766 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,322 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens