[resolu? Mon c.] "Antivirus 2008" !!!

@rpad · le 24 août 2008

Bonjour,

De l'aide SVP.

Hier je me suis trouvé infecte par un super "Antivirus" que je m'en suis débarrassé, en partie manuellement et avec Spybot - Search & Destroy, seulement je ne sais pas si tout est redevenu correct,

Pour ce qui est du rapport Hijack This, me semble normal :

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\UPHClean\uphclean.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\_Util\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/_html/002/Favoris/Favoris.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: acdsee.bat

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1208941721500

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\InCD\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Pour ce qui est du rapport Spybot - Search & Destroy, je n'y comprend pas grand chose, de plus il est très long (64 pages dans Word) et je ne sais pas si je peux le joindre.

Dont voici un rapport partiel :

Microsoft.Windows.Security.InternetExplorer: [sBI $A3433CBF] Réglages (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1659004503-1364589140-839522115-1003\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe

Microsoft.Windows.System: [sBI $D619D565] Réglages (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1659004503-1364589140-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage

Microsoft.Windows.System: [sBI $7F8E43F4] Réglages utilisateur (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1659004503-1364589140-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage

Microsoft.WindowsSecurityCenter_disabled: [sBI $2E20C9A9] Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Apres ça il y'a deux pages de choses comme ceci :

2008-08-24 unins000.exe (51.49.0.0)

2008-07-07 blindman.exe (1.0.0.

2008-07-07 SDMain.exe (1.0.0.6)

....

Apres tout ceci des listes (que je n'ai pas mis) :

--- System information ---

--- Startup entries list ---

--- ActiveX list ---

--- Process list ---

--- Browser start & search pages list ---

--- Uninstall list ---

--- System Services --- au moins 50 pages

J'aimerais savoir si il est nécessaire de poster une de ces listes.

Le PC, aporie, fonctionne comme avant, sans PB apparent.

Merci de apporter un peu de lumière, pour qu je sois moins bête.

Amicalement

Modifié le 28 août 2008 par @rpad

Apollo · le 24 août 2008

Bonjour,

Poste un log Hijackthis complet stp.

Spybot S&D est largué depuis belle lurette, on va utiliser des outils bien plus évolués.

Tu peux même le désinstaller car il risque de gêner la désinfection.

@+

@rpad · le 24 août 2008

Bonjour, et merci pour ta réponse,

Poste un log Hijackthis complet stp.

Je sais que ça parait court, mais il est compet. Il a toujours était comme ceci.

J'ai 4 processus dans le Démarrage, dans la Zone de notif juste l'antivirus, ZA et le controle de volume.

Il faut dir qu'apprès chaque navigation je fais un nettoyage avec CClainer.

Amicalement,

Apollo · le 24 août 2008

Re,

Si je dis que le rapport est incomplet, c'est qu'il l'est effectivement; un log Hijackthis complet doit montrer ceci en tête:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:06, on 24/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

@+

@rpad · le 24 août 2008

Bonjour,

C'est vraie, je n'ai pas jugé util de poster ce qui me semlait que le titre.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:21:35, on 24/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\UPHClean\uphclean.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe