(RESOLU) ANTIVIRUS XP 2008 A SUPPRIMER

[Apollo]

Salut Grego,

 

Si tu regardes mon post précedent tu verras que j'ai déjà mis les instructions de finition du boulot

 

@ demain.

[GREGO]

Bonjour,

 

 

Est-ce que tu as pu récupérer le fichier?

[Apollo]

Bonsoir Grego,

 

Ben non, tu as dû oublier de me donner le lien.

Quand tu héberges un fichier sur un hébergeur comme ci-joint, il donne un lien (url) à copier/coller c'est ce lien que tu dois me donner; sans ça je ne peux pas récupérer ce fichier qui serait bien utile aux experts.

 

Si tu l'as encore refais-le stp.

@+

[GREGO]

-->- Recherche:

 

C:\SDFIX: trouvé !

C:\Lop SD: trouvé !

C:\Qoobox: trouvé !

C:\_OtMoveIt: trouvé !

C:\Documents and Settings\MAISON\Bureau\Lop S&D.lnk: trouvé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\SdFix.exe: trouvé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\LopSD.exe: trouvé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\OtMoveIt2.exe: trouvé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\ComboFix.exe: trouvé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\HijackThis.exe: trouvé !

C:\Documents and Settings\MAISON\Menu Démarrer\Programmes\Lop S&D: trouvé !

C:\Lop SD\Lop S&D.lnk: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\MAISON\Bureau\Lop S&D.lnk: supprimé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\SdFix.exe: supprimé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\LopSD.exe: supprimé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\OtMoveIt2.exe: supprimé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\ComboFix.exe: supprimé !

C:\Documents and Settings\MAISON\Bureau\Antivirus\HijackThis.exe: supprimé !

C:\Lop SD\Lop S&D.lnk: supprimé !

C:\SDFIX: supprimé !

C:\Lop SD: supprimé !

C:\Qoobox: supprimé !

C:\_OtMoveIt: supprimé !

C:\Documents and Settings\MAISON\Menu Démarrer\Programmes\Lop S&D: supprimé !

 

Point de restauration crée !

Corbeille vidée!

Fichiers temporaires nettoyés !

 

 

Je viens de voir que dans le menu Démarrer / Tous les programmes

ANTIVIRUS XP 2008 existe toujours??

[GREGO]

je n'ai pas compris comment t'envoyer le lien si ca ne fonctionne pas.

Merci de m'expliquer les choses car j'ai toujours le fichier compressé.

Je viens de voir que dans le menu Démarrer / Tous les programmes

ANTIVIRUS XP 2008 existe toujours??

[GREGO]

J'ai compris!

Je viens de t'envoyer le lien.

 

Par contre que pense tu de ma dernière remarque?

[Apollo]

Ne sois pas trop impatient Grego, laisse-moi le temps d'organiser mes réponses.

 

J'y travaille, ne pars pas encore.

Merci pour le fichier; tu peux liquider le dossier compressé.

[Apollo]

Voilà,

 

Reprends Hijackthis et fais un log stp:

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
  
• Poste le rapport généré sur le forum.
  

 

On voit la suite à donner.

[GREGO]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:53:30, on 13/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\carpserv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Documents and Settings\MAISON\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

C:\Documents and Settings\MAISON\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Documents and Settings\MAISON\Bureau\Antivirus\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\MAISON\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

O4 - Global Startup: Logiciel de Synchronisation Orange.lnk = ?

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1207945939380

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1207947569712

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe

 

--

End of file - 6519 bytes

[Apollo]

Tu as toujours des fenêtres antivirus2008?

 

MBAM n'a rien trouvé au début; ok on fait une vérification.

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

N.B.:

- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

 

Si SDfix ne se lançait pas:

 

- Démarrer/Exécuter

- Copie/colle ceci:

[quote)

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe(/quote]

 

-Clique sur ok, et valide.

-Redémarre et essaie de nouveau de lancer SDfix.

@+

Modifié le 13 août 2008 par Apollo.01