J'amais vu un problème pareil !!

[Sébastien Valmont]

Bonsoir, je vous explique mon problème vite fais. J'utilise Avast Pro comme anti-virus et il y a deux jours il s'es mis à me dire toute les deux seconde qu'il y avait trop d'email envoyés en trop peu de temps et que c'était un risque de virus. J'ai redémarer et la c'était impossible. Même en formatant deux fois de suite les logiciels étaient toujours installer comme si j'avais pas formater. Maintenant je ne peux pas désinstaller de programmes, je ne peux pas non plus faire glisser un dossier avec la souris et tout ce genre de choses. Voici mon scan Hijackthis.

 

Merci d'avance pour votre soutiens et solutions.

 

 

Le scan:

 

Logfile of HijackThis v1.99.1

Scan saved at 21:21:15, on 22/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\PRISMSTA.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\progra~1\mcafee\mcafee antispyware\massrv.exe

c:\progra~1\mcafee\MCAFEE~1\masalert.exe

C:\Program Files\McAfee.com\Personal Firewall\MpfTray.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

c:\program files\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wisptis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe

O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\progra~1\mcafee\mcafee antispyware\massrv.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

[Thanos]

salut et bienvenue sur le forum

 

Même en formatant deux fois de suite les logiciels étaient toujours installer comme si j'avais pas formater.

Tu parles bien d'un formatage? et pas d'un écrasement de windows?Le pc est effectivement infecté par le trojan

Polbot-D => http://www.sophos.com/virusinfo/analyses/trojpolbotd.html

et le responsable? il est en bas à droite dans ta barre des tâches! => eMule !!

Tiens un peu de lecture sur le P2P et ses bienfaits sur la sécurité du pc => http://forum.zebulon.fr/index.php?showtopic=85544

 

Une remarque: tu utilises McAfee SecurityCenter qui est une solution tout en un : McAfee VirusScan en fait il partie?si c'est le cas, il y a un antivirus de trop et il faudra désinstaller Avast4.

 

Je lance une analyse.

[Thanos]

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.(important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 3:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!=>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime le fichier en gras dans C:\WINDOWS\system:

 

C:\WINDOWS\system\smss.exe

NOTE => ATTENTION DE NE PAS SUPPRIMER LE FICHIER smss.exe DANS LE REPERTOIRE C:\WINDOWS\system32 CAR CELUI CI EST LEGITIME ET IMPORTANT!!

 

*Supprime le fichier en gras dans C:\WINDOWS\system32:

 

C:\WINDOWS\system32\nvsvcd.exe

 

*Vide la corbeille.

 

Étape 4:

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Si tu utilises Firefox:

 

ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies".

 

Étape 5:

 

-vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc stop Windows Log => clique sur [entrée]

puis

sc delete Windows Log => clique sur [entrée]Un message t'avertis du succès de l'opération

 

Quitte l'invite de commandes.

 

Étape 6:

 

Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

 

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

 

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

Étape 7:

 

Redémarre normalement et poste :

 

Un nouveau rapport Hijackthis.

Le rapport généré par Ewido.

 

@+

[Sébastien Valmont]

Merci Charles.

J'airéelement formater et non pas réinstaller windows par dessus un autre.

J'ai télécharger Ewido le problème est que je le vois sur mon bureau mais je ne peut même pas l'ouvrir. Déjà pour le télécharger je suis obliger de faire "enregistrer la cible sous" sinon je vois la fenetre de telechargement une fraction de seconde et elle disparait. Donc je ne peut meme pas installer ewido.

Que faire ? Je déséspère. Merci d'avance.

[Thanos]

re!

Ton Internet Explorer a l'air en mauvais état!! est ce que tu as un autre navigateur? Firefox par ex?Il serait bon que tu le télécharges et que tu l'installe.

 

Sinon, essaie de passer par panneau de configuration =>connexions réseau et internet=> options internet =>

onglet "avancé" => tu cliques en bas de page sur le bouton "Paramètres par défaut" => "appliquer"=>ok.

Réessaie de télécharger Ewido après avoir éliminé le fichier que tu as sur le bureau(le téléchargement a du foirer).

 

Il faudra peut être réparer IE à l'aide de Power IE6 => http://www.technicland.com/powerie6.php3

Sinon, fais l'impasse sur Ewido pour le moment,et fais le reste : on verra après

Modifié le 22 août 2006 par charles ingals

[Sébastien Valmont]

re, j'ai effectuer le paramétrage par défaut de la conexions IE mais le probleme reste le meme donc j'ai voulu telecharger Firefox mais quand je clic sur telecharger sa refait pareil, la page de telechargement s'affiche une fraction de seconde et la je ne peux meme pas faire clic de droit et enregistrer la cible sous. Je ne sais pas quoi faire.

(pour fomater j'ai inserer le cd de windows et au moment de choisir si je veux installer reparer ou quitter j'ai fait reparer, 1 c:, et format c:. il ma demander confirmation et ensuite afficher le formatage de 0 à 100 %) je pense que c'est comme ça qu'il faut faire.

Je vais essayer de faire sans Ewido, je vous tiens informer. Merci.

[Sébastien Valmont]

Hi hi hi.... Je suis mon ordi portable car quand j'ai essayé de redémarer l'autre ên apuyant sur F8 ou même sans d'ailleur il me dit : NTLDR manque, entrée Ctrl+Alt+Sup pour redémarer.

Snifff Que puis-je faire ?? Merci

[Thanos]

salut

 

Pour le NTLDR manquant, il va falloir passer par la console de récupération de windows!

Je pars du fait que tu as le cd d'XP :

 

Afin de lancer la console de récupération =>

Insérez le CD Windows XP dans le lecteur de CD, puis redémarrez l'ordinateur (assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS).

 

Sélectionnez les options requises pour démarrer l'ordinateur à partir du lecteur de CD-ROM dès que vous y êtes invité.

- Lorsque l'écran de bienvenue du programme d'installation s'affiche, appuyez sur la touche R pour démarrer la console de récupération.

 

Une fois ceci fait, il faut lancer la commande fixboot comme ceci =>

 

-A l'invite de commande, tape fixboot c:

-Tape sur la touche [Entrée]

-A la question qui va t'être posée, répond Oui (O).

-Tape sur la touche [Entrée] à nouveau.

-Une fois ceci fait, redémarre le pc et dis moi si tu reçois encore le message

 

Des captures d'écran et un article de tesgaz qui concerne la console de récupération ici =>

http://www.zebulon.fr/articles/console-de-recuperation-1.php

 

@+ et courage!

[Sébastien Valmont]

Salut,

J'ai fais l'opération demandé (fixboot) ca à marcher parfait par contre quand j'ai redémarer j'ai appuyé sur F8 pour démarer en mode sans échec mais il me dit toujours NTDLR manque donc je peux démarer normalement mais pas en mode sans échec. Y a t'il une autre solution ?

merci.

[Thanos]

salut

 

C'est déjà une bonne chose! ceci dit, je te conseille plutôt de créer une nouvelle copie des fichiers NTLDR et NTDETECT.COM comme montré dans le tuto de tesgaz ici =>

http://www.zebulon.fr/articles/console-de-recuperation-2.php

C'est très simple tu verras: suis bien les indications! ensuite réessaie de démarrer en mode sans échec et dis moi si tu reçois encore le message d'erreur.

 

allez courage