J'ai chopé un virus: 'winantiviruspro2006' - enfin je crois .......... help !

Salut à tous,

c’est ma soeur en fait qui a choppé une merde:
Elle retourne sur le net apres y être allé ce matin sans pb, et là:
http://img333.imageshack.us/img333/792/virus7ve.jpg
http://img345.imageshack.us/img345/9271/virus20dd.jpg
http://img333.imageshack.us/img333/8229/virus35uj.jpg

Pas moyen de virer cette pub (qui doit faire parti du virus je pense).
Impossible d’aller sur le net, l’ordis plante tres souvent quand on le solicite à peine etc …

Avast ne l’a pas détecté, pas plus que ‹ microsoft antispyware ›, ‹ spybot › ou ‹ ad-aware ›. :??: :neutre:

Une idée please ?

Merci.

J’ai du nouveau:

j’ai lancé spybot (qui en fait n’avait pas été lancé), et ‹ winantiviruspro2006 › est détecté avec 69 éléments dedans !!
Sans compter le reste bien sur.

Mais l’ordi bloque pendant la suppression …

Donc j’ai pas beaucoup avancé.

A vot’ bon coeur !!

:hello:

Essayez en mode sans échec de désinstaller le logiciel par ajout/supp de programmes
et surtout dans démarrer>exécuter : tape : msconfig et désactive toutes les cases faisant références à WinAntiVirusPro2006 ou par ton gestionnaire de tâches

• à vérifier dans
  Démarrer->exécuter->tape: services.msc
  recherche –> Service: [Firewall service (FWSvc)]
  "Chemin d’accès des fichiers ex…">>C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe
  *Type de démarrage –> sur Désactiver
  *Statut du Service–> Arrêter
  Valide/OK

mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

normalement l’ordi doit devenir plus stable

• ensuite télécharger Hijackthis 1.99.1
  http://www.spywareinfo.com/~merijn/downloads.html

Enregistrer/ créer 1 dossier dédié - ex : C: \HijackThis\Hijackthis.exe

• Le lancer -> " Do a system scan only" –> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)>>Save log
• Récupérer ce Log/texte avec le bloc notes.
• Le copier/coller ici

@+

Salut,

je vais faire ce que tu as dit, mais je peux te dire (sans être sur à 100%) que c’est le fichier ‹ FWSvc › visible ds mon 3eme screen qui fout la merde.
Car quand j’essaie de virer le repertoire "winantiviruspro2006" qui est ds c:, il me dit que c’est impossible car ‹ FWSvc › est actif.

arrête d’abord le service, ensuite essaye de supprimer le dossier complet dans program files

édit : arrête aussi FTRTSVC.exe et WinAV.exe (services.msc)

Logfile of HijackThis v1.99.1
Scan saved at 21:49:03, on 04/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\viv\LOCALS~1\Temp\Rar$EX10.172\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\…\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra ‹ Tools › menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

J’ai arreté FTRTSVC, mais impossible de virer FWSvc et donc le repertoire de merde ds c:

slt moi auusi je le déja attrapé , avast! n’a rien vu !!! mon frère à réinstallé Windows

Ah oui, spybot à viré pas mal de truc, dont des éléments de ‹ winantiviruspro2006 ›, et ma soeur peut de nouveau aller sur le net et l’ordi est plus stable.

Mais toujours pas possible d’arreter ‹ FWSvc ›.

1. tu arrêtes ce processus dans les services
   démarrer>>exécuter : services.msc
   *Type de démarrage –> sur Désactiver
   *Statut du Service–> Arrêter
   Valide/OK
   O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe

2. tu passes en mode sans échec <– impératif!

3. Re-lance Hijackthis et coche la case
   O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe

Ferme Hijack

4. Ouvre l’Explorateur Windows
   suis le chemin : C>>Program Files <> supprime le dossier complet (le truc jaune :paf: ): WinAntiVirus Pro 2006

Tu arrives à connecter l’ordinateur apparement ?

si oui : télécharge Ewido et scanne l’ordi toujours en mode sans échec avant de relancer Hijack
http://www.ewido.net/en/download/

A la fin du scan click/Save report et copier/coller ce rapport ici

si non - télécharge-le après les fix et scanner absolument ensuite

Alors,

j’ai démarré en mode sans echec, j’ai lancé (apres avoir mis à jour) Ewido, il a trouvé pas mal de merde, mais rien en rapport avec winantiviruspro2006.

Donc j’ai dégagé manuellement le repertoire en mode sans echec, ainsi, en mode normal, ‹ FWSvc › a disparu !

Logfile of HijackThis v1.99.1
Scan saved at 22:40:36, on 04/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\viv\LOCALS~1\Temp\Rar$EX00.203\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\…\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra ‹ Tools › menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Par contre, je ne comprend pas pourquoi l’avant derniere ligne est toujours là ?
C’est d’ailleurs marqué (file missing) …

Une idée ?

Tu arrêtes bien le processus avant de passer en mode sans échec ?? pas "terminer le processus" dans le gestionnaire :non:
!! par les services !! > clic/Propriétés etc… (voir mon post plus haut)

je t’avais dis d’enregistrer Hijack comme suit :

• Enregistrer/ créer 1 dossier dédié - ex : C: \HijackThis\Hijackthis.exe

et toi tu le fiches dans un répertoire temporaire
C:\DOCUME~1\viv\LOCALS~1\Temp\Rar$EX00.203\HijackThis.exe

• d’1 il risque d’être inopérent
• de 2, si tu vides ton cache soit il vire avec soit il sera corrompu

Fait le migrer dans son propre répertoire et si tu n’y arrives pas, supprime-le et réinstalle-le correctement

refait les étapes : arrêt du processus - mode sans échec - Hijack et fix

J’aurais bien aimé voir le rapport Ewido :neutre:

La suite demain, je dois quitter @+ :hello:

J’ai bien mis hijackthis dans un repertoire dédié sur c:
Le chemin que tu me dis est celui du save log uniquement.

Par contre c’est vrai que je n’ai pas arrêté le processus avant de passer en mode sans echec.

Mais maintenant il n’y est plus le processus, que puis-je faire ?

:paf:

• redémarre ton ordi
• regarde à nouveau dans les services <– arrête le processus si …
• mode sans échec
• relancer Hijack et fixer

Ce coup-ci j’y go :hello: