Forum Clubic

Win32:Adware-gen et Windows Installer - Infection de Windows Installer ?

Bonjour. J’ai voulue installer Microsoft Net Framework mais le message : Impossible d’accéder au service Windows Installer. Ceci peut se produire si Windows est en mode Sans échec, ou si le programme d’installation de Windows n’est pas bien installé s’affiche. Je me suis rendue compte aussi qu’aucun logiciel ne pouvait être installé ou désinstallé si il se servait de Windows Installer. Si il a son propre programme d’installation/désinstallation, ça marche nickel. J’ai fait une analyse anti virus avec Avast ! et voici ce que j’ai mis en quarantaine (comme recommandé par Avast !) : 00000018.fil dans C:\Documents and Settings\Masession\Application Data\TuneUp Software\TuneUp Utilities\Backups\00000061.rcb dont le virus est Win32:Adware-gen.
1174029135.exe dans C:\WINDOWS\system32 dont le virus est le même
et enfin rsvuaac.dll dans C:\WINDOWS\system32 dont le virus est toujours le même. Je me suis renseignée et apparement, il serait à l’origine de mon problème avec Windows Installer. J’ai essayée toutes les démarches que des gens ont conseillés à des personnes qui avaient le même problème mais c’est inéfficace. Je joint en même temps le rapport Hijackthis. Merci de m’aider !!

Scan saved at 20:00:57, on 09/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\SoftPerfect Personal Firewall\fw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MinoProd\AntiBoss 2006\AntiBoss.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
C:\Program Files\TuneUp Utilities 2007\RegistryCleaner.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SkypeIEPlugin.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand2526.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”
O4 - HKLM\…\Run: [avast!] “C:\Program Files\Alwil Software\Avast4\ashDisp.exe”
O4 - HKLM\…\Run: [binjumpfreerule] C:\Documents and Settings\All Users\Application Data\BALL WARN BIN JUMP\MessLocks.exe
O4 - HKLM\…\Run: [SoftPerfect Personal Firewall] “C:\Program Files\SoftPerfect Personal Firewall\fw.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\…\Run: [Copernic Desktop Search 2] “C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe” /tray
O4 - HKCU\…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU\…\Run: [AntiBoss] “C:\Program Files\MinoProd\AntiBoss 2006\AntiBoss.exe” /iconify
O4 - HKCU\…\Run: [SupportLink] C:\DOCUME~1\LaMiss\APPLIC~1\Htm atom beep\HOLDROADWAY.exe
O4 - HKCU\…\Run: [eMule] C:\Program Files\eMule\emule.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra ‘Tools’ menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

ben oui le téléchargement via la mule réserve des surprises

O4 - HKCU\…\Run: [eMule] C:\Program Files\eMule\emule.exe RBOT-ALZ WORM!

et ça c’est quoi ?

O4 - HKCU\…\Run: [SupportLink] C:\DOCUME~1\LaMiss\APPLIC~1\Htm atom beep\HOLDROADWAY.exe

Heu…Je ne sais pas :??: Bonne question. Mais pourtant, Avast ! n’a détecté aucun virus avec EMule que ça soit dans les dossiers programmes que dans Incoming.

Dans ton log, il y a plusieurs lignes qui indiquent la présence du spyware lop.com nommé par Avast : Win32:Adware-gen(érique) et plus précisément par les autres antivirus comme Win32.Swizzor

tu n’as pas de logiciel antispywares ?

Si j’ai utilisé SpyBot mais avant, j’utilisais Ad-Adware et c’est justement le spyware que tu as dit qui me pose problème (cf.mon titre) et qui m’empêche d’installer/désinstaller des programmes.

$ Afficher les dossiers cachés
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

mode sans échec

-Relancer Hijack > Do a system scan only >> Fix Checked

O4 - HKLM\…\Run: [binjumpfreerule] C:\Documents and Settings\All Users\Application Data\BALL WARN BIN JUMP\MessLocks.exe
O4 - HKCU\…\Run: [SupportLink] C:\DOCUME~1\LaMiss\APPLIC~1 \Htm atom beep\HOLDROADWAY.exe

  • Lancer Spybot à jour et scan complet

  • Reboot en mode normal

Vérifie dans l’Explorateur Wind

C:\Documents and Settings\All Users\Application Data\ --> supprimer : BALL WARN BIN JUMP\MessLocks.exe

idem :

C:\DOCUME~1\LaMiss\APPLIC~1(=Application Data)\–> supprimer : Htm atom beep\HOLDROADWAY.exe

  • $ recache les fichiers sytème /!\

Si tu peux re-télécharger, prend la version d’essai d’AVG antispywares ou de SpySweeper et relance un scan, lop.com est une sacrée vermine

Bonjour,
Pour se débarasser de lop.com
“EDITÉ”
Attention, il se peut que tes paramètres de sécurité d’IE interdise ce téléchargement, dans ce cas il faut inscrire provisoirement cette adresse dans les sites de confiance (Onglet sécurité des options d’IE) et supprimer cette inscription après téléchargement.

Aujourd’hui, on dispose de logiciels performants capables d’erradiquer Lop.com, pas la peine d’aller se faire retrucider 1 coup chez l’assassin :paf:

Je ne veux surtout pas entammer de polémique mais j’ai déja utilisé le désinstalleur de lop sans que mon PC soit survérolé.
Je viens de faire l’analyse de new_uninstall.exe avec Panda +Firewall 2007 à jour et Panda me dit qu’il n’y a pas de virus ni autre menace détecté.
Qui croire ?
Il y a, en effet, d’autres moyens de se débarasser de lop mais le mieux serait de ne pas l’attraper en se faisant tripoter les clusters par les sites de P2P

Je n’ai ni les lignes à cocher dans Hijackthis ni les trucs à supprimer dans C grâce à l’explorateur. Comment faire ?

Je vais aller l’analyser ec plusieurs av le désinstalleur de lop.com

On verra bien ce que ça doit donner. :neutre:

:jap:

Je vous le fait en temps réel:

Kaspersky 6 m’a trouvé ça: Trojan.Win32.Obfuscated.bx

On va voir avec d’autres :smiley:

:heink: ??

suis les instructions au minimum - relancer Hijack c’est pas difficile non ? et rechercher dans l’explorateur en affichant les fichiers cachés non plus - tout est détaillé pourtant dans mon post

Résultat du scan avec plusieurs antivirus: (sur Virus Total)

Complete scanning result of "new_uninstall.exe", received in VirusTotal at 04.12.2007, 16:06:18 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.12.2007 Win-Trojan/Obfuscated.288256
AntiVir 7.3.1.50 04.12.2007 TR/FatObfus.113
Authentium 4.93.8 04.12.2007 W32/Trojan.WMT
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.12.2007 Generic3.FMV
BitDefender 7.2 04.12.2007 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 04.11.2007 Trojan.Obfuscated.bx
ClamAV devel-20070312 04.12.2007 no virus found
DrWeb 4.33 04.12.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3562 04.12.2007 no virus found
Ewido 4.0 04.12.2007 Trojan.Obfuscated.bx
FileAdvisor 1 04.12.2007 no virus found
Fortinet 2.85.0.0 04.12.2007 W32/Obfuscated.BX!tr
F-Prot 4.3.1.45 04.12.2007 W32/Trojan.WMT
F-Secure 6.70.13030.0 04.12.2007 Trojan.Win32.Obfuscated.bx
Ikarus T3.1.1.5 04.12.2007 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 04.12.2007 Trojan.Win32.Obfuscated.bx
McAfee 5006 04.11.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2184 04.12.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.12.2007 no virus found
Prevx1 V2 04.12.2007 no virus found
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.12.2007 Downloader
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.12.2007 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.7:9 04.11.2007 Adware.Lop.Gen
Webwasher-Gateway 6.0.1 04.12.2007 Trojan.FatObfus.113

Aditional Information
File size: 288256 bytes
MD5: 8a220633f048ed6c354bcf390ca89114
SHA1: 43b369b63222864cd218ad79d99bf96afdd0b53c

Donc, ne pas télécharger ce "désinstalleur", et lsb => Merci de supprimer le lien :jap:

C’est fait :ane:
Permettez-moi tout de même de me poser des questions sur ces résultats aussi…disparâtres :ouch:

:ane: pas grave, un de plus ou un de moins

http://www.commentcamarche.net/forum/affic…in32-adware-gen

le scan BitDefender est assez éloquent aussi

J’explique pourquoi aussi peu d’antivirus trouvent ce virus:

Après un rapide examen de l’exe (je ne suis pas spécialiste hein :ane: ) le programme semble avoir un exe compressé par une méthode non standard, méthode que beaucoup d’antivirus ne savent apparemment pas reconnaitre.
Il est probable quand même que les antivirus en question détectent le virus lors de son décompactage (décompression automatique de l’exe si on le lance) ceci dit, je déconseille d’essayer :whistle:

:jap:

Jusqu’à preuve du contraire, je sais bien lire :confused: et je précise que je viens de revérifier et il n’y a toujours pas ce que tu me dis. Les fichiers ne sont pas cachés et j’ai décochés tout ce que tu m’as dit de décocher