[Résolu] Antivir ne se met plus à jour + son d'évènement

[Spn]

Bonjour à tous.

 

Il y a quelques jours, suite à un scan mensuel du pc avec antivir,celui ci s'est figé.

J'ai rebooté -> check disk des erreurs ont été réparées.

De nouveau je relance un scan ,antivir se fige de nouveau.

Je reboot -> blue screen.(problème de ruche de mémoire) Impossible de démarrer .

J'ai donc formaté,puis réinstallé XP et mis à jour vers SP3.

Depuis cet après midi un son d'évènement à été associé au click droit de la souris (son différent de celui d'un " clik" normal ) ,antivir bloque lors du scan sur C:/windows,

deux dossiers sont apparus sur " D: " ( je n'arrive pas à supprimer ces derniers: "amd64" et " i386" )

 

Je joins le log HijackThis comme demandé dans le post épinglé:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:24:25, on 09/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wpabaln.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\HijackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4943 bytes

 

Merci de l'aide que vous pouvez m'apporter

Modifié le 13 juillet 2009 par Spn

[Spn]

Je viens de trouver d'où vient le soucis pour l'évènement sonore associé au click droit.

Je suis allé dans le panneau de config -> le son associé au " menu déroulant" était activé.

Comment s'est-il activé?...cela reste un mystère..

 

EDIT:

Il n'y a plus ce son sur le bureau lors d'un click droit,cependant il est présent lorsque j'utilise firefox

Modifié le 10 juillet 2009 par Spn

[Spn]

Up?

J'ai tenté de mettre mon disque dur interne en externe sur un autre pc afin de tenter de récupérer des données.

Le pc sur lequel j'ai branché mon disque dur a freezé...puis reboot et ecran bleu .

En mode sans echec antivir ne trouve rien,un scan avec kasersky online ne donne rien de plus :/

De plus après un reboot cet après midi " userinit.exe est endommagé " est apparu. (Alors que j'ai formaté et réinstallé XP il y a 2 jours)

Mon disque dur serait-il en fin de vie?

Si oui,je ne comprends pas pourquoi ces dossiers "amd64" et "i386" son apparus sur mon 2è disque :/

Si quelqu'un a une piste...

Modifié le 11 juillet 2009 par Spn

[Mark]

Bonjour à toi Spn ; j'en profite pour te souhaiter la bienvenue sur le forum

 

Désolé pour le délai de réponse...

 

Bon, tout d'abord, je veux être bien sûr d'avoir tout saisi, surtout ce qui concerne les disques durs et/ou partitions :

 

1) Sur le PC infecté, il y a deux disques durs (C: et D:) ou bien un seul disque avec deux partitions ?

 

2) Lorsque tu dis qu'AntiVir et Kaspersky en ligne n'ont rien trouvé : si je comprends bien, le disque dur du PC infecté était branché en externe sur une autre machine (à toi), et les scans ont été faits via cette (autre) machine ?

 

3) Le message pour userinit.exe endommagé est survenu après un reboot de la seconde machine (je crois) : la machine est-elle utilisable en ce moment ? Si oui, as-tu refais un scan AntiVir dessus ?

 

Pour ce qui est des dossiers "i386" et "AMD64" ; je ne suis pas très calé côté système, mais je crois que ces deux-là sont créés suite à tes mises à jour pour Windows, soit par le SP3 ou bien par une MAJ de .Net Framework 3.5 SP1. S'il s'agit bien de cela, ce sont des dossiers protégés par Windows avec permissions spéciales, donc difficiles à virer. On laisse en place, tout simplement.

 

=======

 

Maintenant... je soupçonne une infection qui pourrait être à l'origine de tes soucis. En revanche, l'analyse négative d'AntiVir me laisse croire que non, mais... il faudrait confirmer avec une nouvelle analyse, si possible.

Si l'infection (possible) est présente, tous les fichiers exécutables pourraient être injectés, y compris ceux qui se trouvent sur le D: et maintenant sur le second PC (possiblement...). Ceci expliquerait l'échec du formatage initial, car avec les infecteurs de fichiers exécutables, il faut formater "tout", c'est-à-dire tous les disques/partitions/lecteurs amovibles qui ont été en contact avec le lecteur système touché, sinon ça se réinstalle et se propage rapidement. Ça expliquerait le message du fichier userinit.exe endommagé aussi (injecté).

 

Denière question : as-tu téléchargé ou installé un truc qui aurait pu infecter ta machine, juste avant l'apparition des symptômes ? Tu ne mentionnes rien de la sorte dans ton message initial, mais je préfère vérifier.

 

@ bientôt,

[Spn]

Bonjour Qc001,merci de ton accueil

Pas de soucis pour le temps de réponse,en parcourant le forum j'ai vu qu'il y avait pas mal de "gros cas d'infection"

 

 

1) Sur le PC infecté, il y a deux disques durs (C: et D:) ou bien un seul disque avec deux partitions ?

 

Il y a un disque dur avec 2 partitions ( C et E ) et un 2è disque dur physique ( D )

 

2) Lorsque tu dis qu'AntiVir et Kaspersky en ligne n'ont rien trouvé : si je comprends bien, le disque dur du PC infecté était branché en externe sur une autre machine (à toi), et les scans ont été faits via cette (autre) machine ?

 

Non,les scans ont été fait depuis le pc infecté directement.

3) Le message pour userinit.exe endommagé est survenu après un reboot de la seconde machine (je crois) : la machine est-elle utilisable en ce moment ? Si oui, as-tu refais un scan AntiVir dessus ?

 

Ce message est apparu sur la 1ere machine,alors que j'avais formaté la partition C: et réinstallé windows il y a peu.

Le 2è pc est inutilisable.J'avais branché le disque dur principal ,de la 1ere machine, que je pensais infecté dessus en externe.Ceci afin de sauver des données importantes ( boulot).Au moment ou j'ai retiré le disque dur (du 1ere pc branché en externe) de la 2è machine,celle ci a freezé,et au reboot -> écran bleu.

 

De mémoire,je ne me souviens pas avoir téléchargé quoi que ce soit :/

Ni avoir installé quoi que ce soit " d'exotique"

 

Le but pour moi serait de conserver mes données de boulot intactes qui se trouvent sur D: (le 2è disque dur interne) et les prévenir d'une infection. (j'ai commandé un disque dur externe neuf,qui devrait arriver dans le courant de la semaine)

 

Merci de me consacrer de ton temps Qc001

Modifié le 12 juillet 2009 par Spn

[Mark]

Bonjour Spn

 

Tu m'as sûrement vu au bas, connecté, mais j'avais simplement oublié de me déconnecter durant mon absence. De retour là.

 

Oké, merci pour tous ces détails. Ouff, j'avoue être perplexe à présent. Si les analyses d'AntiVir et Kaspersky ont été faites sur le 1er PC = négatives, on pourrait penser à un disque en fin de vie, possiblement, mais... pourquoi le second PC a-t-il réagit aussi violemment au retrait du DD (du 1er) ??

 

Là tu es sur la première machine ? Si oui, elle tourne comment ? Tu as des données importantes du boulot sur le disque D: et je crois comprendre qu'il y en a aussi sur le disque principal (C: + E:) puisque c'est de celui-là que tu voulais récupérer des trucs via le second PC ?

 

Et là je vais me mouiller côté hardware un brin : lorsque tu as branché le disque principal du 1er sur l'autre PC, était-il configuré en "Slave" ou en "Master" ?

 

Possible que je te redirige vers un forum Système ou Hardware, selon tes réponses et l'état de la première machine. On verra...

 

@+

[Spn]

Re

Je n'avais pas fait attention à ta présence,j'ai activé la notification par mail pour être tranquille

 

Oui,actuellement je suis sur la 1ere machine,elle tourne pas mal.Cependant le boot de windows est un peu long et impossible de faire un scan antivir sous XP. Le pc freeze systématiquement lorsqu'il arrive à C:/windows/systeme (ou drivers ou systeme 32)

 

Alors,oui j'ai branché le disque dur ( C: et E:) sur le 2è pc pour récupérer mes favoris internet avant de formater.

Et.......oui je l'ai laissé en master ( j'avais totalement zappé ce point -_-" )

 

Question en passant:

à quoi correspond la ligne de registre sur hijack this se terminant par " no name" ?

 

EDIT:orthographe

Modifié le 12 juillet 2009 par Spn

[Mark]

Salut

 

Pour ce qui est de HijackThis ; tu veux dire celle-ci ? >>

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

Si oui, il s'agit d'une clé orpheline dans le registre, donc le fichier n'existe plus. Celle-là appartient à Windows Live Messenger, donc pas de soucis. Normallement on les "fixe" car inutiles.

 

============

 

Oké pour le réglage "Master". Là ça dépasse mes connaissances, donc je ne sais pas si le second PC réagit à ça, ou non. As-tu regardé dans le BIOS du second PC pour ce qui est de la séquence de boot pour les lecteurs ? Y-a-t-il un message précis avec l'écran bleu et si oui, quel est-il ?

 

============

 

Pour la première machine : je vais te faire essayer un outil antivirus léger et performant, juste pour voir...

 

Télécharge Dr.Web CureIt sur ton Bureau:

http://www.freedrweb.com/cureit/

• Clique sur "Télécharger CureIt!", au haut à droite ;
  
• Le fichier .exe téléchargé aura un nom aléatoire : 8 caractères (chiffres et lettres)
  
• Double clique sur le fichier téléchargé et ensuite clique sur Commencer le scan;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
  
• L'analyse rapide se fait en quelques minutes seulement (progression affichée au bas)
  
• Lorsque l'analyse rapide sera terminée, coche/active le bouton "Analayse complète" (au haut à gauche) et clique sur le bouton avec flèche verte sur la droite et l'analyse complète débutera.
  
• S'il y a détections, l'outil te proposera des choix d'actions : clique "Oui pour tout" selon l'action proposée (réparation, quarantaine ou suppression).
  
• ** L'analyse complète est plutôt longue, donc il faut être patient. Il faut avoir la machine à l'oeil durant l'analyse, car l'outil stoppe sa progression lorsqu'il y a détection et attend votre choix d'action.
  
• *** Si tu soupçonnes qu'une détection semble être fausse (un faux-positif), alors clique "Non pour tout" et avise le bénévole qui t'aide en lui soumettant le nom et emplacement du fichier détecté.
  
• En fin d'analyse, il est possible que le bouton "Tout sélectionner" (au bas à gauche) soit disponible : ne pas cliquer dessus.
  
• Va maintenant dans le menu "Fichier" (au haut à gauche) et choisis "Enregistrer le rapport"; sauvegarde-le sur le Bureau. Il sera au format .csv (accessible par Excel ou programme similaire, sinon le Bloc-notes peut être utilisé).
  
• Copie/colle le contenu du rapport dans ta réponse. Ferme la fenêtre de l'outil en cliquant sur le "X". S'il y a invite "Souhaitez-vous vraiment fermer l'application ?"; clique "Oui".
  

 

Espérons qu'il tourne...

 

@+

[Spn]

Scan terminé, zéro détection...

Pas de possibilité d'enregistrer un rapport ( le choix apparaît en grisé)

 

Cela me rassure,mais je ne comprends pas le pourquoi du crash :/

[Mark]

Salut Spn

 

Bien joué pour l'analyse de CureIt. Je suis soulagé, car l'infection que je soupçonnais n'est vraiment pas gentille, mais elle n'y est pas.

 

Je relis ton premier post et pense que tu devrais faire un "check disk" à nouveau, sur la machine #1 :

Poste de travail > clic droit sur le lecteur C: et choisis "Propriétés" > onglet "Outils" > clique "Vérifier maintenant..." > coche les deux options offertes puis clique "Démarrer".

 

Dis-nous ensuite ce que cela a donné. Si un problème semble persister avec le disque (ou le système), je verrai à te rediriger vers une ressource adéquate.

 

======

 

Pour la machine #2 : je suis embêté. Peux-tu vérifier la séquence de boot via le BIOS ? Nous voyons souvent le lecteur de disquettes en premier, suivi du DD et ensuite du lecteur optique. Selon la marque du BIOS, les menus sont différents mais peut-être as-tu un brin d'expérience avec le tien ? Si tu ne te sens pas à l'aise, dis-le moi et on ajustera le tir. Je me demande simplement si ton BIOS regarde/cherche le bon DD, donc pas celui que tu avais branché en externe / Master.

 

Voilà, ce sera tout pour l'instant.

 

@+