security tool

[Roje]

Me voici piégé par security tool avec tous les inconvénients qui s'imposent. Mon ordi devient fou !!

 

je n'ai pas réussi à fermer mon anti virus (AVG , ipour installer combofix.

Pouvez-vous m'aider à procéder à l'éradication de ce rogue ?

[Apollo]

Bonsoir,

 

http://www.avg.com/fr-fr/faq.keyw-d%25c3%2...%2Bavg.num-1209

 

Voir article 1209.

 

Avant de lancer ComboFix sans l'avis d'un conseiller/sécu, tu dois au moins poster un log Hijackthis pour qu'on connaisse ton système. (si tu avais un 64 Bits, ce serait bien plus compliqué car tous les outils ne travaillent pas sous ce dit système!)

 

Télécharge HijackThisV2 dans un nouveau dossier créé sur C:\ nomme-le HJT.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

 

@++

[Roje]

Bonsoir,

 

http://www.avg.com/fr-fr/faq.keyw-d%25c3%2...%2Bavg.num-1209

 

Voir article 1209.

 

Avant de lancer ComboFix sans l'avis d'un conseiller/sécu, tu dois au moins poster un log Hijackthis pour qu'on connaisse ton système. (si tu avais un 64 Bits, ce serait bien plus compliqué car tous les outils ne travaillent pas sous ce dit système!)

 

Télécharge HijackThisV2 dans un nouveau dossier créé sur C:\ nomme-le HJT.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

 

@++

 

bonjour Apollo.

 

voici le rapport à la suite du scan de HJT.

concernant mon anti virus impossible de le désactiver, les touches actions pour le désactiver sont inexistantes.

Je suis en train de me demander si ma mise à jour de AVG 8-5 n'était pas elle même un rogue

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:59:52, on 24/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\Program Files\SweetIM\Messenger\SweetIM.exe

C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\DOCUME~1\ALLUSE~1\APPLIC~1\80366932\80366932.exe

C:\WINDOWS\Temp\_ex-08.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\restorer64_a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\NetWaiting\netWaiting.exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Documents and Settings\le Grincheux\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\le Grincheux\restorer64_a.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\le Grincheux\Application Data\svcst.exe

C:\documents and settings\le grincheux\local settings\application data\fvfwfw.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

c:\program files\real\realplayer\RealPlay.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HJT\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - *{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

R3 - URLSearchHook: (no name) - *{EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe cpcp.cpo bef0regiiav

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: Deenero - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - C:\Program Files\Deenero\deenero_1,0,2,0.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [showLOMControl]

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WidgetGF38] C:\Program Files\GrenobleFoot38\Widget\widget_gf38.exe

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe

O4 - HKLM\..\Run: [80366932] C:\DOCUME~1\ALLUSE~1\APPLIC~1\80366932\80366932.exe

O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe

O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ModemOnHold] C:\Program Files\NetWaiting\netWaiting.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\le Grincheux\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [save] C:\Documents and Settings\le Grincheux\Application Data\Save\Save.exe

O4 - HKCU\..\Run: [restorer64_a] C:\Documents and Settings\le Grincheux\restorer64_a.exe

O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\le Grincheux\Application Data\seres.exe

O4 - HKCU\..\Run: [svchost] C:\Documents and Settings\le Grincheux\Application Data\svcst.exe

O4 - HKCU\..\Run: [fvfwfw] "c:\documents and settings\le grincheux\local settings\application data\fvfwfw.exe" fvfwfw

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: zavupd32.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mr-grincheux.spaces.live.com//Photo...ad/MsnPUpld.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Service Google Update (gupdate1ca26b1b752115a) (gupdate1ca26b1b752115a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 14584 bytes

[Apollo]

Bonjour Roge,

 

Ton pc est multi-infecté.

A titre d'info, je te signale qu'AVG est maintenant en version 9: http://free.avg.com/fr-fr/telecharger-avg-...spyware-gratuit.

Si tu as une version payante, fais-moi savoir exactement laquelle.

 

Il faudra, avant de l'installer, désinstaller ton ancien AVG avec l'outil spécifique: http://www.grisoft.com/fr.36 en mode sans échec si nécessaire.

 

Avant de redémarrer et installer AVG 9, déconnecte ton pc physiquement du net, c'est à dire en retirant le câble de la tour.

 

Installe AVG et ne reconnecte le pc au net que pour effectuer les mises à jour; tu verras alors si les fonctions pour désactiver les protections résidentes sont redevenues fonctionnelles.

 

Pour l'instant on va faire un peu de ménage:

 

OTM

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA: clic droit: exécuter en temps qu'administrateur.
   
  Vérifie que la case Unregister Dll's and OCX's.exe soit bien cochée!
   
  
• Copie l'entièreté du code ci-dessous (depuis :Processes)
  

  :Processes
  
  explorer.exe
  
  :Files
  
  c:\program files\mywebs~1\bar\1.bin\mwsoemon.exe
  c:\windows\system32\restorer64_a.exe
  c:\documents and settings\le grincheux\restorer64_a.exe
  c:\documents and settings\le grincheux\application data\svcst.exe
  c:\program files\mywebsearch\srchastt\1.bin\mwssrcas.dll
  c:\program files\mywebsearch\srchastt\1.bin\mwssrcas.dll
  c:\program files\mywebsearch\bar\1.bin\mwsbar.dll
  c:\program files\mywebs~1\bar\1.bin\mwsoemon.exe
  c:\windows\system32\restorer64_a.exe
  c:\docume~1\alluse~1\applic~1\80366932\80366932.exe
  c:\windows\temp\_ex-08.exe
  c:\windows\system32\qtplugin.exe
  c:\program files\antiviruspro_2010\antiviruspro_2010.exe
  c:\program files\mywebs~1\bar\1.bin\mwsoemon.exe
  c:\program files\save\save.exe
  c:\documents and settings\le grincheux\application data\save\save.exe
  c:\documents and settings\le grincheux\restorer64_a.exe
  c:\documents and settings\le grincheux\application data\seres.exe
  c:\documents and settings\le grincheux\application data\svcst.exe
  c:\documents and settings\le grincheux\local settings\application data\fvfwfw.exe
  c:\program files\antiviruspro_2010
  
  
  :Reg
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]
  "{00A6FAF6-072E-44cf-8957-5838F569A31D}"=-
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "My Web Search Bar"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "MyWebSearch Email Plugin"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "restorer64_a"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "80366932"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "PromoReg"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "RegistryMonitor1"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Antivirus Pro 2010"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "MyWebSearch Email Plugin"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "WhenUSave"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "Save"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "restorer64_a"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "mserv"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "svchost"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "fvfwfw"=-
  
  
  :Commands
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le rédémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

@++

[Roje]

Merci pour cette manip' et je te remercie pour ta préscience. J'ai retrouvé mon bureau c'est déjà ça et les alarmes intempestives ont cessé.

Voici le résultat du travail de OTM. Il y a eu besoin en effet d'un reboot pour terminer le rapport.

 

Puis-je dès maintenant faire la manip pour virer AVG 8-5 et installer AVG 9 ?

 

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== FILES ==========

c:\program files\mywebs~1\bar\1.bin\MWSOEMON.EXE moved successfully.

c:\windows\system32\restorer64_a.exe moved successfully.

c:\documents and settings\le grincheux\restorer64_a.exe moved successfully.

c:\documents and settings\le grincheux\application data\svcst.exe moved successfully.

c:\program files\mywebsearch\srchastt\1.bin\MWSSRCAS.DLL unregistered successfully.

c:\program files\mywebsearch\srchastt\1.bin\MWSSRCAS.DLL moved successfully.

File/Folder c:\program files\mywebsearch\srchastt\1.bin\mwssrcas.dll not found.

File/Folder c:\program files\mywebsearch\bar\1.bin\mwsbar.dll not found.

File/Folder c:\program files\mywebs~1\bar\1.bin\mwsoemon.exe not found.

File/Folder c:\windows\system32\restorer64_a.exe not found.

c:\docume~1\alluse~1\applic~1\80366932\80366932.exe moved successfully.

c:\windows\temp\_ex-08.exe moved successfully.

File/Folder c:\windows\system32\qtplugin.exe not found.

File/Folder c:\program files\antiviruspro_2010\antiviruspro_2010.exe not found.

File/Folder c:\program files\mywebs~1\bar\1.bin\mwsoemon.exe not found.

File/Folder c:\program files\save\save.exe not found.

File/Folder c:\documents and settings\le grincheux\application data\save\save.exe not found.

File/Folder c:\documents and settings\le grincheux\restorer64_a.exe not found.

c:\documents and settings\le grincheux\application data\seres.exe moved successfully.

File/Folder c:\documents and settings\le grincheux\application data\svcst.exe not found.

c:\documents and settings\le grincheux\local settings\application data\fvfwfw.exe moved successfully.

File/Folder c:\program files\antiviruspro_2010 not found.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA1-A523-4961-B6BB-170DE4475CCA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA1-A523-4961-B6BB-170DE4475CCA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA1-A523-4961-B6BB-170DE4475CCA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\My Web Search Bar deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MyWebSearch Email Plugin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\restorer64_a deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\80366932 deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PromoReg deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\RegistryMonitor1 deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Antivirus Pro 2010 deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MyWebSearch Email Plugin deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WhenUSave deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Save deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\restorer64_a deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mserv deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\svchost deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\fvfwfw deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32768 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: le Grincheux

->Temp folder emptied: 1533768831 bytes

File delete failed. C:\Documents and Settings\le Grincheux\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 155466846 bytes

->Java cache emptied: 84551693 bytes

->FireFox cache emptied: 67593166 bytes

->Google Chrome cache emptied: 8607524 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 3362094 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 3124736 bytes

Windows Temp folder emptied: 54833217 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1822,86 mb

 

 

OTM by OldTimer - Version 3.0.0.6 log created on 10242009_165330

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[Apollo]

Re,

 

Si tu n'as toujours pas trouvé le moyen de désactiver la protection résidente d'AVG, il y a peut être moyen de le faire en cliquant droit sur son icône de barre des tâches et cliquer sur "Quitter" ou quelque-chose du genre. Ce qui désactive totalement l'antivirus qui ne se relancera qu'au boot suivant.

 

Si tu dois désinstaller AVG avec l'outil spécial avant d'installer le 9, fais-le comme indiqué plus haut: ne laisse pas le pc connecté au net; rebranche-le seulement au moment de le mettre à jour.

Evidement tu auras pris soin d'enregistrer l'exécutable d'AVG 9 avant de débrancher le pc du net

 

Si, pour une raison quelconque, tu ne parvenais pas à installer AVG 9, on lancerait ComboFix; je vais l'héberger en le renommant afin qu'il puisse être exécuté car il arrive qu'un malware lui mette des bâtons dans les roues...

 

Je te donne le lien dans quelques minutes; procède avec AVG stp.

 

@++

[lou37]

bonjour , j'ai aussi etait infecté par security tool hier soir je n'ai plus de bureau , mon antivirus c'est panda je n'arrive plus a ouvrir les icones en passant par me menu démarer , le security tool me bloque tous et mon ordi s'eteint tout seule aider moi svp merci

[Falkra]

Bonjour lou37, crée ton propre sujet stp, et attends qu'on te poste une procédure, ne suis pas les indications d'autres sujets, ils ne sont pas pour ta machine : on fait sur mesure.

Edit : tu l'as fait, suis les procédures de Chrifleur, qui s'occupe de ta machine.

[Roje]

Re,

 

Si tu n'as toujours pas trouvé le moyen de désactiver la protection résidente d'AVG, il y a peut être moyen de le faire en cliquant droit sur son icône de barre des tâches et cliquer sur "Quitter" ou quelque-chose du genre. Ce qui désactive totalement l'antivirus qui ne se relancera qu'au boot suivant.

 

Si tu dois désinstaller AVG avec l'outil spécial avant d'installer le 9, fais-le comme indiqué plus haut: ne laisse pas le pc connecté au net; rebranche-le seulement au moment de le mettre à jour.

Evidement tu auras pris soin d'enregistrer l'exécutable d'AVG 9 avant de débrancher le pc du net

 

Si, pour une raison quelconque, tu ne parvenais pas à installer AVG 9, on lancerait ComboFix; je vais l'héberger en le renommant afin qu'il puisse être exécuté car il arrive qu'un malware lui mette des bâtons dans les roues...

 

Je te donne le lien dans quelques minutes; procède avec AVG stp.

 

@++

 

Salut Apollo,

Me voilà bien !! Impossible de trouver la méthode pour arrêter le fonctionnement de mon anti-virus ! Il y a des situations parfois qui sont dures à assumer. J'ai vraiment l'air ridicule là. Même avec les idées que tu me donnes, cela ne marche pas. Inutile de préciser que le désinstal' ne marche pas.

 

Donc statu quo. Je ne sais pas comment procéder pour la suite.

[Apollo]

Bonsoir,

 

Comment? Le désinstallateur avg ne fonctionne pas?

Ok, tu vas télécharger ComboFix sur ton bureau mais seulement lorsque je l'aurais renommé pour qu'il puisse fonctionner car cette merdouille de security tool l'empêcherait de faire son boulot.

 

Quand tu auras téléchargé le ComboFix renommé, tu devras essayer de désinstaller avg par la voie "normale", c'est à dire pas ajoueter/supprimer des programmes.

 

Si le problème de désinstallation avg persistait, on utiliserait ComboFix en mode sans échec. On n'en est pas encore là.

 

On remettra un autre antivirus après le passage de CF.

 

Je reviens, je vais juste héberger le fichier renommé.

 

@ toute