Impossible de lancer Avast/spybot/ [résolu]

[Falkra]

Les cracks oui, la musique ne contient pas de cracks (3 derniers fichiers en rouge).

 

 

Pour Antivir voici un lien de téléchargement direct (version en français) :

http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe

Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

 

Spybot est de conception obsolète, et sa base de données n'est pas assez fourni, comparée à celle de MBAM, tu pourrais désinstaller spybot, qui ne t'a guère aidé, et le remplacer avantageusement par MBAM. Idem pour ad-aware (si jamais), désinstallable.

 

Je ne t'ai pas fait virer MSN via combofix, manips précédentes ?

[Arnoras]

oui... (Je sais j'aurais pas du ! C'était avant de venir sur ce forum quand j'ai compris que mon cas était vraiment désespéré :s)

 

J'y connais rien dans cette partie de l'informatique :s il doit il y a voir des clé du registres de Windows live à supprimer pour qu'il "comprenne" que MSN n'est plus sur mon PC non ? :s)

 

PS : oui j'ai gardé MBAM, j'ai vu sur le forum qu'il était mieux que Spybot, je fais une analyse comme ça avec Spybot et je le vire ( et je n'ai presque jamais utilisé Ad-aware, enfin disons qu'il n'est jamais rester installer sur ma machine très longtemps XD)

Modifié le 26 février 2009 par Arnoras

[Arnoras]

Grâce à Windows Installer CleanUp, j'ai pu viré toutes traces de MSN, j'ai pu donc le réinstaller.

 

Après avoir supprimer tout les cracks cités plus haut, ma machine sera (enfin) propre ?

[Falkra]

C'est Bagle qui a pris la place de MSN, et s'est donc fait shooter (le fichier original a été shooté par bagle), après vérification (merci à Qc001).

 

Après avoir supprimer tout les cracks cités plus haut, ma machine sera (enfin) propre ?

On dirait que oui, poste un rapoprt HijackThis stp, sans doute le dernier.

[Arnoras]

Rapport HiJackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:51:15, on 26/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Razer\Lachesis\razerhid.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Documents and Settings\Arnoras\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Razer\Lachesis\OSD.exe

C:\Program Files\Razer\Lachesis\razertra.exe

C:\Program Files\Razer\Lachesis\razerofa.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\java.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

C:\Documents and Settings\Arnoras\Bureau\JDownloader_v0.4.495\JDownloader\tools\windows\unrarw32\unrar.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Arnoras\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dufpy.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [Lachesis] C:\Program Files\Razer\Lachesis\razerhid.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Arnoras\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 7814 bytes

Modifié le 26 février 2009 par Arnoras

[Falkra]

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

(vieux restes)

 

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Supprime RSIT, et le dossier c:\RSIT

Supprime Toolbar S&D et le dossier c:\toolbar SD

 

Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc (ne pas cocher la case pour les dernières mises à jour). Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici :

http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now", puis choisir la version)

 

Si l'installation échoue, désinstalle adobe reader, puis réessaie l'installation, puis réinstalle adobe reader (ou foxit).

 

*------

Antivir + ZoneAlarm : ok.

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Tu peux protéger ta navigation avec Firefox et le sécuriser :

http://www.libellules.ch/securiser_firefox_1.php

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : lien

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[Arnoras]

Merci pour tout les liens, je vais les lires attentivement. C'est fou je me rendais pas compte, quand on fait une analyse antivirus, on ne se rend pas compte tout ce qui passe à travers, quand je vois les logiciels que vous utilisez, les analyses que vous faites ( je sais même pas ce qu'est le rapport d'HiJackThis xD ).

 

Merci pour ta précision et tes réponses complètes, si j'avais IE6 c'est parce que j'arrivais pas a installé IE7 (alors que avant un crash que j'avais eu il y a longtemps, j'avais IE7 ... ) et tu m'as donné direct la réponse au problème que j'avais depuis je sais pas combien de temps !

 

Chapeau bas ! Merci beaucoup de prendre le temps de nous aider. =)

[Falkra]

je sais même pas ce qu'est le rapport d'HiJackThis xD

HijackThis est un programme qui répertorie beaucoup de points sensibles du système d'exploitation et liste tous les programmes et modules au sens large qui s'y sont greffés. Un logiciel malveillant (ou "malware") en utilise généralement (mais il y en a d'autres) pour être lancé automatiquement au démarrage du système.

 

Une fois la liste établie, il faut l'examiner attentivement afin de diagnostiquer une infection, puis utiliser un outil approprié pour en venir à bout, ou éliminer les points d'entrée des malwares directement depuis HijackThis.

[Arnoras]

Merci pour cette explication

 

Sinon, certainement m'a dernière question, mais c'est pour être vraiment sur, apparement ma protection n'était vraiment pas suffisante (avast c'était une erreur, et je n'avais que ça pour me protéger, ça fais léger :s)

 

Si je met antivir (antivirus) + comodo internet security (firewall + un autre truc qui était mis par défaut dans l'installation contre les malware... un + avec le firewall quoi) + MBAM (pour les malware) + System Safety Monitor (HIPS)

 

Ma protection sera "complète" ? (je note pas le coup de CCleaner de temps en temps qui est indispensable ^^)

[Falkra]

Un HIPS va être lourd, tu pourrais, mais c'est souvent assez pénible à utiliser, donc joker sur System Safety Monitor.

 

Defense+ est un miniHips, pour Comodo, ça te donnera un aperçu. S'il te dérange, tu peux le désactiver en faisant clic droit sur l'icône de comodo près de l'horloge, puis dans le menu Defense+ le régler sur "Disabled" (désactivé).

 

Ccleaner n'est pas un logiciel de désinfection ou de protection. Pour vider des dossiers de leurs fichiers temporaires, très bien (une fois de temps en temps). Le nettoyeur de registre, avec des pincettes (comme tous les logiciels nettoyeurs de registre).