[ardechoise]

Bonjour, j'espere poster ou il faut... sinon je m'en excuse d'avance...

J'ai chopé recemment plein de trucs bizarre sur le pc, je pensais avoir tout viré mais apparemment il persiste quelquechose, mes processus n'arrete pas de bouger dans le gestionnaire des taches, l'unite se remplit et se desemplit sans cesse, je rame, je galere... J'ai deja utilisé smithfraudfix, ccleaner, clean, killbox et j'en passe...

Voila mon dernier rapport hijack, merci de me depanner je pete les plombs!!!



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Program Files\NOBRAND\802.11 Wireless Adatper\Monitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Valou\Mes documents\FixGoner.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Valou\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{813E6138-8754-4B8E-83BB-F7E1536D0287}: NameServer = 213.36.80.1
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 

[ardechoise]

Je précise, j'utilise AVG comme antivirus, je te teste depuis cette semaine, je n'ai pas encore desinstallé kaspersky en attendant de voir lequel je garde mais kaspersky ne fonctionne pas, je l'ai desactivé. 

[!aur3n7]

Bonjour Ardechoise.

D'apres ce que je vois il y a des fix et autre qui tournent au moment du log.
Je sais pas si c'est de ta propre initiative ou sur les conseils de quelqu'un mais c'est bien la prendre des risques avec la stabilité du systeme que d'employer des fix alors qu'ils ne sont pas nécessaire.


Sinon pour ton cas je suppose que c'est une infection bien particulière mais pour le vérifier va falloir refaire le log Hijackthis en prenant soin de le renommer avant.
Clique droit sur Hijackthis >> Renommer
donne lui le nom que tu veux (ardechoise par exemple) puis refais le scan s'il te plait 

[ardechoise]

Oula oula !!!!! j'ai pas tout compris désolée, peut tu m'expliquer plus en détail s'il te plait ???

Les autres symptomes sont : je peux plus me connecter a internet au demarrage car le serveur DSN s'enleve dans les propriétés de ma connection...

Merci de m'aider Laurent

C'est hijack que je dois renommer ?? Pour quelles raisons ? 

[ardechoise]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41954D9B-D659-F4AD-2E94-872D1ADAF6E2} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - (no file)
O2 - BHO: (no name) - {F8107F32-6ADC-48DD-81F4-A04E5BE4F78E} - C:\WINDOWS\system32\geeff.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{813E6138-8754-4B8E-83BB-F7E1536D0287}: NameServer = 213.36.80.1
O20 - Winlogon Notify: geeff - C:\WINDOWS\system32\geeff.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 

[!aur3n7]

Re,

- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4
Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

Post ce rapport Vundofix ainsi qu'un nouveau log Hijackthis s'il te plait.

a+ 

[ardechoise]

Log supprimé


Log supprimé

Merci Laurent, je sens que tu as mis le doigt ou il fallait ! mais ceci dit j'ai l'impression qu'il reste encore quelquechose ... ?  

[!aur3n7]

Re,

Pour terminer le nettoyage



=> Lance Hijackthis(ardechoise.exe)
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

O2 - BHO: (no name) - {41954D9B-D659-F4AD-2E94-872D1ADAF6E2} - (no file)
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - (no file)
O2 - BHO: (no name) - {F8107F32-6ADC-48DD-81F4-A04E5BE4F78E} - C:\WINDOWS\system32\geeff.dll (file missing)

* Ferme les applications en cours (sauf Hijackthis)
---- Clique sur Fix cheked
-- Quitte Hijackthis

Pour ton souci de connexion et a priori de serveur DNS il faudrait détailler un peu plus ta configuration reseau
(modem, routeur, ..)

As tu essayé de simplement relancer l'installation à l'aide du CD d'Alice ? 

[ardechoise]

Merci beaucoup, ça a l'air de fonctionner...
Par contre, j'ai eu un message d'erreur disant que avgfwafu.dll n'est pas une image windows valide et du coup msn ne veut plus marcher  

[ardechoise]

Log supprimé - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 

[ardechoise]

Les lignes que je t'ai mise en rouge ne sont pas suspectes ? 

[!aur3n7]

Re,

Pour les lignes en Rouge elles n'ont rien d'anormale mis à part la 023 qui est une trace résiduelle de Kaspersky

Les 010 font partie de ton Antivirus/parfeu AVG

et la 017 est le serveur DNS de Tiscali (Alias Alice)

Par contre le message d'erreur laisse supposer une erreur dans AVG.

Le plus simple serait de désinstaller les deux antivirus en mode sans echec, puis en réinstaller un après avoir redémarré en mode normal.(en s'assurant au préalable de l'avoir à portée de main) 

[ardechoise]

Désolée de mon absence, j'etais en deplacement.
J'ai un soucis, AVG me detecte encore winlogon.exe en tant qu'objet suspect...  

[!aur3n7]

Bonjour,

Ce problème est a priori un problème récent d'AVG antispyware faisant suite à une mise à jour.
Il est, de mon avis, préférable d'attendre quelques jours pour voir si lors d'une prochaine mise à jour le problème se résorbe.

En attendant et pour éviter un souci tu devrais pouvoir désactiver la protection résidente.

A+ 

[ardechoise]

Msn ne veut plus se connecter... je fais le test et j'ai un panneau jaune attention, je pense que c'est mal configuré au niveau d'AVG... je ne connais pas assez cet antivirus, comment faire ?

PS ; je n'ai pas antispyware avg mais juste l'antivirus !