[LOGICIEL] [Centralisation] .:::: Hijackthis ::::.

[Kristof2582]

il y a 2 "avp.exe" mais quand je clique sur "terminer le processus" ca me dit "accés refusé"

[snooky]

C'est que l'antivirus est encore actif en barre de taches !

Oui ou Non ?

Tu as décoché " Activer l'autodéfense " ?

Oui ou NON ?

[Kristof2582]

oui l anti virus est desactiver et fermer mais ca m' affiche " l' operation n' a pas pu etre terminé acces refusé "

[snooky]

@ Kristof2582

Relance AVS. ( ou redémarre le pc et vérifie que AVS est bien démarré )

Tu as décoché " Activer l'autodéfense " dans AVS ?

Oui ou NON ?

[snooky]

@ brian :

Place ce soft ( WWCD.exe ) à la racine de ton disque , et applique comme indiqué sur le screen .

http://www.pcinpact.com/forum/index.php?sh...c=64517&hl=

[empirehell]

Salut !

Désolé Snooky, j'ai posté ce matin mais mon log est déjà sur la page d'avant !!!! (au moins, ce post n'est pas mort ...)

Bon j'ai désactivé Kerio et Nod32 comme tu me l'avais demandé mais sans résultat. Par contre, en mode sans échec, aucun problème ...

[snooky]

http://www.pcinpact.com/forum/index.php?sh...c=51692&hl=

Puis ensuite , un tour sur Windows Update .

[Kristof2582]

oui j avais bien decoché "activer les protections"

je viens de redemarrer le pc mais ca marche toujours pas

dans les evenements d' avs ya ca, si tu comprend quelque chose (en sachant que c' est bien ecrit "actif" dans avs)

26/02/2007 13:41:12 La protection de l'ordinateur est désactivée. Il est conseillé de l'activer.

26/02/2007 13:41:46 Une tentative du processus avec le PID 1816 obtention de l'accès au processus Active Virus Shield avec le PID 1880 a été bloquée. Cela est le résultat de l'auto-défense.

26/02/2007 13:42:36 Une tentative du processus avec le PID 1816 obtention de l'accès au processus Active Virus Shield avec le PID 1580 a été bloquée. Cela est le résultat de l'auto-défense.

26/02/2007 13:43:38 Une tentative du processus avec le PID 1324 obtention de l'accès au processus Active Virus Shield avec le PID 1880 a été bloquée. Cela est le résultat de l'auto-défense.

26/02/2007 13:43:46 Une tentative du processus avec le PID 1324 obtention de l'accès au processus Active Virus Shield avec le PID 1580 a été bloquée. Cela est le résultat de l'auto-défense.

[snooky]

Pour les messages , pas de souci à te faire , c'est normal .

Par contre , je vois que tu ne trouves pas " Activer l'autodéfense " !!!

[Kristof2582]

c normal qu' il me dise que la protection est desactivée? (quand j' ai fait ce rapport les protections etait active, en tout cas c' est ce qu' il ya d ecrit "actif")

et non je trouve pas "activer l' auto defence" je n' ai que "activer les protections" pas pareil?

[snooky]

[Kristof2582]

c' est quoi ton image? je l a voit pas ya une crois rouge a la place

[snooky]

je trouve pas "activer l' auto defence" je n' ai que "activer les protections" pas pareil?

pas du tout la même chose !!!

http://snooky730.free.fr/autod%E9fense.png

msconfig à taper dans Démarrer /Exécuter

Décoche AVP dans les onglets Démarrage et Services .

[Kristof2582]

ok je comprend mieux le probleme

on a pa la meme page ki s affiche moi j' ai bocoup de truc en moins par rapport a toi et jen' ai pas la ligne "activer l' autodefense"!

[snooky]

msconfig à taper dans Démarrer /Exécuter

Décoche AVP dans les onglets Démarrage et Services .

Démarrer / Tous les programmes / Aol AVS / "Modifier , réparer ou supprimer " ...

Tu as essayé de passer par là ?

[fougam]

bonjour voila mon rapport

SmitFraudFix v2.144

Rapport fait à 14:31:02,89, 26/02/2007

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci je te poste l'autre aprés

[snooky]

Exécute les options 2 et 3 avec Smitfraudfix et poste le rapport

[fougam]

rebonjour ok je faisse que tu m'as dit de faire

Search Navipromo version 1.0.2 commencé le 26/02/2007 à 14:14:41,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Propri‚taire\Bureau\navilog1[1]

Mise a jour le 14.01.2007 a 11h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of April, 2007.

Version information: 2.2.1055.

[+] Started on 02/26/07 at 14:14:43.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ..................................................................................................................................................................................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 02/26/07 at 14:43:24 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

Le résultat peut révéler des fichiers légitimes !

*

**

***

****

*****

******

*** Analyse Terminé le 26/02/2007 à 14:47:33,00 ***

[Kristof2582]

dans l' onglet "demarage" l y a 2 avp un que j' ai reussi a decoché mais l' autre se recoche automatiquemnt apré le redemarage

et dans l' onglet "service" pas de "avp" mais "active virus shield" je decoche celui la a la place?

et dans Démarrer / Tous les programmes / Aol AVS il ya juste "uninstall" et si je clique dessus toujours la meme fenetre qui s' ouvre et qui me dit que je doit fermer "avs" pour pouvoir proceder a la desinstallation

[manolele]

salut,

j'ai demarrer en mode sans echec, j'ai lancer vundofix, remover les fichiers trouvés ci joint;

C:\Windows\system32\ddabx.dll

C:\Windows\system32\nnnmlig.dll

C:\Windows\system32\xbadd.back1

C:\Windows\system32\xbadd.back2

C:\Windows\system32\xbadd.ini

puis le rapport suivant,

C:\windows\system32\nnnmlig.dll

lui, il est réapparu.

[Kristof2582]

ca y est je l' ai desinstaller

il suffisait de faire un clic droit sur l' icone avs dans la barre d outils et de cliquer sur "exit" pour fermer

ensuite "unistall" etc..... et voila!!

merci kan meme pour ton aide

[manolele]

c'est pas vrai maitenant j'ai une fenêtre internet qui ne cesse de s'ouvrir pour un logiciel qui ne m'interresse pas, et c'est vrai depuis que tout a commencer j'avais des fenêtres pour ce logiciel qui apparaissaient de temps à autres.(me disant qu'il vouler scannais mes disques dur....)

l'adresse compreneant un virus, je refuser d'aller plus loin, mais ça m'énerve, alors que faire.

[snooky]

@ manolele :

Passe Smitfraudfix ( et poste le rapport )

Passe Clean 1.4 .

Poste un nouveau rapport Hijackthis .

[Compte_supprime_53531]

Clean or not??

Thx d'avance

Logfile of HijackThis v1.99.1

Scan saved at 17:44:22, on 26/02/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Cisco Systems\SSL VPN Client\agent.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Razer\razerhid.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Notebook Hardware Control\nhc.exe

C:\Program Files\Razer\razertra.exe

C:\Program Files\Razer\razerofa.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.OCX

O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1156536884579

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Cisco Systems, Inc. STC Agent (STCAgent) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\SSL VPN Client\agent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[snooky]

@ ownedkiller :

Clean !