Prob virus WIN XP - - - antivir inefficaces !Fermé

Question

Bonjour, je poste sur ce forum car je suis actuellement en guerre contre un virus extremement resistant dont je n'arrive pas a me defaire. Voici une petite chronologie des affrontements :

- Avast me trouve il y a un mois un virus, de type trojan, que je choisis de supprimer
- Des la suppression du virus, Internet ne marche plus
- Pire, au redemarrage, mon PC me demande d'ouvrir une session utilisateur (PC configure a la base pour ne pas utiliser de comptes utilisateurs). J'ai eu beau essayer toutes les idees qui me sont passees par la tete (y compris administrateur), aucun moyen de m'y connecter.
- Je decide alors de reinstaller windows sur une autre partition de mon DD ( apres avoir formate les differentes partitions de mon DD, mais en ayant pris soin de mettre quelques donnees importantes sur un disque dur externe emprunte a un ami )
- Premier geste : je reinstalle AVAST et me reconnecte a internet : un jour plus tard, Avast commence a trouver a nouveau des virus, localises dans system32, et qui prennent a chaque fois des noms differents. Puis une semaine plus tard, c'est a dire hier, je me rends compte que mon gestionnaire des taches est desactive, regedit.exe egalement (l'administrateur m'aurait ote les droits ^^). 
- Je redemarre en mode sans echec, lance avast ET spybot. 

Spybot : 


--- Report generated: 2008-08-30 18:28 ---

Le conseil du jour: Cliquez sur la barre située à droite pour voir plus d'informations! ()
  

SCKeylogger: [SBI $546AC3B1]  Exécutable (Fichier, nothing done)
  D:\WINDOWS\system32\.exe

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Réglages (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Réglages (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter.SP2Update: [SBI $D7D77116] Réglages (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2

Microsoft.WindowsSecurityCenter.TaskManager: [SBI $FD4267D3] Réglages (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Microsoft.WindowsSecurityCenter.TaskManager: [SBI $FD4267D3] Réglages (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1202660629-413027322-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Microsoft.WindowsSecurityCenter.TaskManager: [SBI $FD4267D3] Réglages (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Réglages (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.WindowsSecurityCenter.RegistryTools: [SBI $D60CD1E3] Réglages (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools

Microsoft.WindowsSecurityCenter.RegistryTools: [SBI $D60CD1E3] Réglages (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1202660629-413027322-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools

Microsoft.WindowsSecurityCenter.RegistryTools: [SBI $D60CD1E3] Réglages (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools




Je corrige les problemes, verification faite le gestionnaire des taches est de nouveau accessible ... pendant dix secondes puis impossible d'y acceder de nouveau (sauf si je relance spybot - option peu pratique).

Est ce quelqu'un a une idee sur la question ? Je vous fait suivre le rapport hijackthis que je vais lancer juste apres ce post si ca peut vous aider

Merci d'avance !!!!

balltrap34 · Accepted Answer

salut
tu fait une garantie contre les virus???????????????????????????????????????????
la tu me fait très fort

si tu veut parler de client fidèle j en suis a plus de 150 

et en matière de désinfection moi je n est plus rien a prouver
se n est pas une leçon que je veut donner mais simplement empêcher des personnes dire que avast et spybot et tous est regler

a++

Themj · Answer

Voila le hijack


Logfile of HijackThis v1.99.1
Scan saved at 23:58:52, on 30/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\WINDOWS\Explorer.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\drivers\services.exe
D:\WINDOWS\System32\wpabaln.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Documents and Settings\DanieleAmar\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\services.exe
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: DSLMON.lnk.disabled
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: https://outlook.live.com/owa/
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://www.triforce.fr/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C992B294-345F-43E2-84E6-CB1079017B5A}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

amd64 · Answer

envoi le raport et commence a instaler ce prog :
 https://www.01net.com/telecharger/windows/Securite/anti-spam/fiches/44096.html

du temp qu'ont regarde le raport lance le prog sur analise rapide et met tout en quarantaine

tu copie et colle le raport de malwarebytes et colle ici pour verif

tremeur53 · Answer

vis perso (je suis tech maintenance)
dévirusser, je le fais avec AVAST au démarrage
+ spybot

avant toute chose, déconnecte internet
si tu as un cd wndows (pas restauration) faire exécuter sfc /scannow(attention à l'espace avant/) pour restaurer sans risque les fichiers système
tu fais un nettoyage spybot puis un scan avast au démarrage (sous dos)

m'enfin vu l'étendue de tes galères, je reformaterais le tout

amd64 · Answer

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

coche cette ligne et clic sur fixcheket

envoi le raport malwarebytes

amd64 · Answer

c'est vrai aussi qu'il serait mieux de tout reinstaler proprement sur C:

tremeur53 · Answer

je nettoie des dizaines de bécanes par an
jamais eu besoin de HijackThis

amd64 · Answer

et de formater D:

Themj · Answer

Chose que jai oubliee de mentionner javais reinstalle Windows sur ma partition C premierement et le probleme des comptes utilisateurs s'etait manifeste a nouveau. D'ou l'installation ensuite sur D. Pour le cote propre de la chose en effet je peux repasser :) 

Voici le rapport de malwarebytes :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1099
Windows 5.1.2600 Service Pack 1

00:26:25 31/08/2008
mbam-log-08-31-2008 (00-26-20).txt

Type de recherche: Examen rapide
Eléments examinés: 41416
Temps écoulé: 4 minute(s), 10 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
D:\WINDOWS\system32\drivers\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Heuristics.Reserved.Word.Exploit) -> Data: system32\drivers\services.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe %WINDIR%\system32\drivers\services.exe) Good: (Explorer.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Documents and Settings\DanieleAmar\Local Settings\Temporary Internet Files\Content.IE5\Y36F4BXE\c12345[1].jpg (Trojan.Unclassified) -> No action taken.
D:\WINDOWS\system32\drivers\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.



Je croise les doigts pour ne pas avoir a perdre le contenu de mon DD (meme si je commence a l'envisager)

tremeur53 · Answer

y a pas photo !
tu sauvegardes et tu formates le tout
si tu ne peux pas accéder aux disques tu fais un boot avec un cd linux

Themj · Answer

Depuis que j'ai passe malwarebytes le gestionnaire des taches remarche j'en suis emu aux larmes :) comme quoi Avast et spybot sont pas super efficaces ....
Je vous tiens au  courant de la suite merci a tous !!!!

amd64 · Answer

BEN MOI JE SERAI d'avis de repasser sur C:

parceque la ont vas desinfecter D:  et si tu passe sur C:  tu pourrat formater D:

donc le mieux ,tu repasse sur C: 
reinstal malwarrebytes sur C:
et refait un scan et remet un raport

qu'est ce t'en pense ?

amd64 · Answer

de toute facon D: est infecter

Fichier(s) infecté(s):
D:\Documents and Settings\DanieleAmar\Local Settings\Temporary Internet Files\Content.IE5\Y36F4BXE\c12345[1].jpg (Trojan.Unclassified) -> No action taken.
D:\WINDOWS\system32\drivers\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

amd64 · Answer

et pour tes donnes tu as dit qu'elle sont sur un disque externe donc elles sont pas perdues.

mais fait attentiion de scaner le disque externe avec avast et spybot et aussi malwarebytes en scan complet avant de l'ouvrir

amd64 · Answer

bon ?
tu decide koi allors ?  C: ou D:

tremeur53 · Answer

Bon courage !
mais je répète que je soigne des bécanes à longueur d'année avec AVAST ! ! ! ! !
il suffit de savoir s'en servir au démaarage
quoiqu'il en soit, c'est toi qui décides.
fais gaffe à tes sauvegardes ! tu peux sauver des fichiers infectés

amd64 · Answer

comment tu fait pour suprimer un malware avec avast ??

amd64 · Answer

avast est un anti virus et trojans

je sait qu'il peut reperer les malwares mais pas les suprimer

tremeur53 · Answer

SPYBOT + adaware +trojan remover
j'élimine l'antivirus xp 2008 sans problème

tremeur53 · Answer

je me répète: scan au  démarrage sous dos  !
impossible d'éminer malware et trojan sous windows, les fichiers sont actifs.

amd64 · Answer

trojan remover  : exelentpour sup antivirus xp 2008
pour le scan avast au demarage sous dos: jamais fait et pourtant j'ai avast pro

balltrap34 · Answer

salut

je peut pas m en empêcher lol
tremeur chapeau les éditeurs anti virus et tous les helpeurs confirmés des forums de désinfection n ont plus qu a se mettre a la retraite avec ta technique
entre autre demande a avast de virer certain rooktit ou du vundo et j en passe
alors technicien de maintenance oui peut être spécialiste en désinfection certainement pas et loin de la pour tenir de tel propos
et juste encore pour dire quand tu as sois disant désinfecter avec avast et spybot fait un scan en ligne sur bit defender ou kapersky par exemple et la tu vas voir comment tu as bien désinfecter et même après ces scan de ces anti virus il en traine certainement encore
et pour quelqu'un  qui dit est bon en désinfection dire au bout de deux post tu formate la je rigole

sur ce je vous laisse réfléchir a la chose 
a++

tremeur53 · Answer

ça fait belle lurette que je ne cherche plus à prouver quoi que ce soit !
encore moins de donner des leçons.
quand j'ai nettoyé une bécane, je le fais avec une garantie de 3 mois !
pas un client ne s'est représenté avec le même problème.

par contre on m'amène régulièrement des bécanes qui sont passées entre les mains de donneurs de leçons !

fin de l'épisode

Pour info j'ai 55 ans, 30 ans d'informatique, plus de 50 clients fidèles sur Paris...

Prob virus WIN XP - - - antivir inefficaces !

23 réponses

Discussions similaires

Newsletters