Problème suite à élimination cheval de troie

[vfc56]

Salut à tous.
Tournant d'habitude avec Avast mais ayant chopé un cheval de troie par msn (regarde mes photos de vacances ), j'ai installé Anvir Virus Destroyer pour éradiquer le trojan, ce qui s'est passé avec succés et sans problème.
Le problème c'est que Anvir a apparemment bloqué Avast, le centre de sécurité windows aussi (plus d'accès par panneau de config), et que ma blonde a désactivé Anvir après démarrage du pc.
Moralité : une journée entière sans protection avec MSN connecté...

Trouvant que l'ordi rame quand même considérablement je regarde de nouveau avec Anvir et là je vois un wintems.exe.(Virus ?)

Donc : ralentissement galère du PC, impossibilité de redémarrer Avast ni même de le désinstaller, plus d'accès au centre de sécurité, et pas mal de petits problèmes qui me donnent l'impression de retrouver mon vieux Packard Bell.

Je vous mets un rapport HIjack This au cas où ça peut servir, si jamais mon problème interesse les experts que j'ai déjà rencontrés ici.

(mode faillot OFF).

Merci.

Logfile of HijackThis v1.99.1
Scan saved at 10:19:57, on 29/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIBVE.EXE
C:Program FilesBrowser Mousemouse32a.exe
C:Program FilesMultimedia KeyboardKbdAp32A.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesRocketDockRocketDock.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesGoogleGoogle UpdaterGoogleUpdater.exe
C:Program FilesPhilipsSPC 200NC PC CameraTrayMin.exe
C:WINDOWSsystem32
etdde.exe
C:Program FilesPando NetworksPandopando.exe
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:DOCUME~1ADMINI~1LOCALS~1Temp ryout.exe
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesAnVir Virus DestroyerAnVir.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32driversdown383546.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsAdministrateurLocal SettingsTemporary Internet FilesContent.IE5FPSOKEOMHijackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.miely.free.fr/google_chti
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:Program FilesPando NetworksPandoPandoIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.1.1119.1736swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [EPSON Stylus DX5000 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIBVE.EXE /FU "C:WINDOWSTEMPE_SA3.tmp" /EF "HKLM"
O4 - HKLM..Run: [FLMOFFICE4DMOUSE] C:Program FilesBrowser Mousemouse32a.exe
O4 - HKLM..Run: [FLMK08KB] C:Program FilesMultimedia KeyboardKbdAp32A.exe
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [CloneDVDElbyDelay] "C:Program FilesElaborate BytesCloneDVDElbyCheck.exe" /L ElbyDelay
O4 - HKLM..Run: [NBKeyScan] "C:Program FilesNeroNero8Nero BackItUpNBKeyScan.exe"
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [RocketDock] "C:Program FilesRocketDockRocketDock.exe"
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:Program FilesFichiers communsNeroLibNMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - Global Startup: Outil de mise à jour Google.lnk = C:Program FilesGoogleGoogle UpdaterGoogleUpdater.exe
O4 - Global Startup: TrayMin.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WINDOW~4MESSEN~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WINDOW~4MESSEN~1MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe

[r@in | b0w]

Bonjour.

Tournant d'habitude avec Avast mais ayant chopé un cheval de troie par msn (regarde mes photos de vacances ), j'ai installé Anvir Virus Destroyer pour éradiquer le trojan, ce qui s'est passé avec succés et sans problème.

Je ne sais pas personnellement ce que vaut ce logiciel. Il n'a pas l'air d'être très ancien pourtant.
Le mieux, si ça t'arrive encore, est de chercher le nom du trojan et de faire une recherche gOOgle avec.

Ensuite, si je peux te donner un conseil, la plupart des infections passent avec Avast.
Regarde ce comparatif de Malekal.

Le problème c'est que Anvir a apparemment bloqué Avast, le centre de sécurité windows aussi (plus d'accès par panneau de config), et que ma blonde a désactivé Anvir après démarrage du pc.

Tu désinstalles Anvir en espérant que tout redevienne normal.
En option, tu changes de copine

Moralité : une journée entière sans protection avec MSN connecté...

Dans le genre Warrior! La prochaine fois, abstiens-toi. MSN est un propagateur impressionnant de cochonneries.

wintems.exe.(Virus ?)

Trojan après une petite recherche gOOgle voir même Bagle selon certains! Accroche toi...

Dans un premier temps, effectues les manipulations de notre Dossier Nettoyage.
Je te conseille aussi de désactiver la Restauration du système histoire de ne pas éradiquer pour rien.

Ensuite une petite analyse AntiRootKit souglinée par AtOM ainsi qu'un scan de Spybot mis à jour bien entendu.

Tu fais ensuite un/des scan en ligne par l'antivirus BitDefender sous Internet Explorer; Kaspersky ou encore Symantec en configurant les options pour que chaque objet trouvé infecté soit supprimé ou déplacé en quarantaine.

Pour finir, tu télécharges à nouveau HiJackThis que tu renommes avant de lancer le scan (certains virus/trojans détectent Hjt et passent inaperçus).

(mode faillot OFF).

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file): ligne superflue à supprimer si possible, sinon rien de plus.

C:WINDOWSsystem32driversdown383546.exe : cette ligne peut éventuellement être à Bagle. Il faudra voir si Spybot ou un AV te dit quelque chose à son propos.

Bon courage à toi!

[vfc56]

Merci de ta réponse.
Je me lance dans tout ça et "j'vous dis quoi."

[r@in | b0w]

De rien.

J'attends la suite avec impatience

[vfc56]

Bon ben ça commence bien.
Désinstallation de Anvir effectuée. Après redémarrage, Avast ne se lance pas, et en voulant le lancer manuellement ce message :
Avast etc... n'est pas une commande win32 valide.
Même chose avec Spybot que j'ai voulu lancer "pour voir".

Donc plus aucune protection, et ça rame encore plus que tout à l'heure.

Je m'oriente vers le dossier nettoyage suivant tes conseils.

[r@in | b0w]

Arf, ça commence bien!

Mais c'est monnaie courante dans ce genre d'infection.

Tu peux toujours te rabattre sur le Mode sans échec (F8 au démarrage) qui solutionne pas mal de problèmes.

Un autre conseil: ne va pas sur Internet plus qu'il ne faudrait, cad évite Msn et le surf, le mieux étant de venir sur le forum depuis un autre ordinateur, si c'est possible bien entendu!

[vfc56]

Ben dites donc, suite à ma visite d'hier on peut dire qu'il y a eu du ménage dans le coin.



Dernières nouvelles du front :

Mode sans échec impossible.
Installation de CCleaner possible mais lancement impossible.
Ecleaner ininstallable.
Bref comme dirait Richard, c'est la fêêêêêête.

J'ai contacté le vendeur qui m'a fourni le pc (d'occase je rappelle), il me dit que vues les circonstances, et que le mode sans échec est inaccessible, la seule solution envisageable semble être la restauration.
Soit je lui ramène la bécane et il me "remet le système", comme il dit, mais il avoue ne pas avoir de cd correspondant à cette machine.
Soit je me débrouille pour m'en procurer un au format EOM (si tu l'dis ) via le P2P (sympatoche le vendeur).

Voilà à quoi se résume mon choix cornélien.

Quelqu'un dans la salle a-t-il un avis différent ?


Je crois que je vais boire un coup là...

[vfc56]

Ah... au fait... je signale que je surfe et dl les sus-cités programmes avec un portable qui lui est sain.

[r@in | b0w]

Bonjour.

Les nouvelles du front sont en effet alarmantes.

1_ Un ordinateur que meme le Mode sans échec n'arrive pas à raisonner;

2_ Un vendeur conseillant du p2p et installant donc de manière illégale.

J'espère qu'il ne t'a pas couté cher

La solution de la restauration correspond à un reformatage. Rien de bien compliqué.
C'est plus problématique pour les données qui étaient dessus.

Il y a moyen de les récupérer avec Toutou Linux mais, si tu le fais, veille à ne pas infecter l'ordinateur qui les recevra...

Pour le reste, je ne suis jamais arrivé à ce stade. J'espère que les autres pourront te renseigner plus que moi.

A la limite, et si tu n'as pas peur de la migration, procure toi un liveCd Linux histoire de ne pas trop perdre d'argent dans les manipulations!

Ps: si le sigle OEM te rend perplexe, regarde ça.

[vfc56]

Merci pour les infos.
Une question que je me pose : le HD sur lequel je ne fais que du stockage risque-t-il d'être lui aussi vérolé ?

[r@in | b0w]

C'est possible en effet...

La vermine...

[vfc56]

J'envisage donc un formatage du Hd esclave.
Pour commencer....

[r@in | b0w]

Attends d'autres avis, il vaut mieux.

[vfc56]

Ben apparemment y'en a pas des masses d'autres avis...
Je commence à me résigner.
Solution la plus fiable pour me reprocurer windows ?

[r@in | b0w]

Acheter un Cd

Certains boites informatiques te remettent ton Os avec une simple MaJ, mais ce n'est pas courant.
Bilan: tu ne payes pas un Cd Xp mais une simple Maj.

Ps: bonne lecture pour le mp

D'autres avis pour son problèmes svp