Problème avec un virus récurrent (je crois) [Résolu]

[trotters213]

Bonjour à tout le monde,

alors je vais tenter d'expliquer mon problème.
D'abord ma config en bref :
- Windows XP SP1
- Kaspersky Antivirus 5.xxxx
- Zone Alarm Pro
(le tout est MàJ tous les jours)

Depuis le début de l'été, j'ai eu 6 fois le même problème et je commence à en avoir ras le c.. parce que je ne peux absolument rien y faire sinon formater. J'attrape surement un virus qui me fait les choses suivantes :
- Empêche ZoneAlarm de démarrer au boot et impossible de le lancer manuellement
- Bloquage de la Protection Temps Réel de Kaspersky
- Impossibilité de se connecter au net
- et bien évidemment le pc qui rame à fond.

J'ai donc passer au peigne fin, cad analyse antivirus(avec Kaspersky), anti spy (avec Ad-Aware et SpyBot) un petit coup de nettoyage de base de registre avec Regcleaner mais rien n'y fait que je le fasse en mode normal ou sans échec.
J'ai donc fait un scan avec Hijackthis et il me sort ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
Logfile of HijackThis v1.99.1
Scan saved at 14:10:01, on 31/08/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\F-Group\Absolute StartUp\ASMon.exe
D:\My Docs\Downloads\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Absolute StartUp monitor] C:\Program Files\F-Group\Absolute StartUp\ASMon.exe
O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O10 - Broken Internet access because of LSP chain gap (#10 in chain of 14 missing)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: KLBLMain - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Or rien ne me parait bien suspect sinon qu'on voit (je pense) pourquoi je ne peux pas me connecter au net (cf O10).

J'aimerais savoir qi quelqu'un à déjà le même problème et si oui comment il s'en est sorti parce que là je sais vraiment plus quoi faire.

Merci d'avance.

[winow]

Je n'ai jamais eu ce probleme mais HiJackThis dit :

Ne pas effacer cette inscription manuellement, essayez plutôt de vous en débarrasser avec le programm LSPFix von Cexx.org

Essai ce lien LSPFix

+A

[ArHacKnIdE]

Salut,

Je vais te donner une adresse bien utile pour voir et corriger les problèmes tout seul !

http://www.hijackthis.de/fr passes y ton log et il te dira desuite les problèmes et comment les corriger

Et pour LSPFix tu as le liens direct là : http://pchelpbordeaux.free.fr/frames/logiciels/logs/

[AgnesD]

Bonjour a tous.
Effectivement tu as des soucis au niveau des winsoks.
je t'engage a regarder ceci.
http://support.microsoft.com/default...%3Bfr%3B811259

Sinon pour LSPFIX,
ArHacKnIdE tu aurais du poster un lien vers le tuto plutôt qu'un lien direct
(a moins d'en avoir eu l'autorisation de Florian, connaissant ce dernier il peut s'avérer trés chatouilleux sur ce genre de détails... )
http://pchelpbordeaux.free.fr/frames...te/lspfix.html

Il y a aussi WinSock XP Fix plus simple a utiliser que LSPFIX qui lui, demande plus de compétences.
http://www.libellules.ch/dotclear/in...winsock-xp-fix

Pour le HJThis c'est quand même mieux de faire attention.
l'interpréteur en ligne ne connais pas tout et parfois se trompe.
donc il est a utiliser comme aide pour quelqu'un qui sais ce qu'il fait et ne remplace pas une analyse manuelle.
Sur ton rappprot a part la ligne
O10 - Broken Internet access because of LSP chain gap (#10 in chain of 14 missing)
Rien a signaler par contre ne la fixe pas par HJThis c'est déconseillé essaye de réparer comme indiqué.

Pour le reste
Peux tu mettre ton AV a jour ?
peux tu scanner ?
si oui fais le en mode sans echec.
Si non
des que tu peux un scan en ligne chez kaspersky pour voir si il n'y aurait rien de caché.
et donne nous les résultats du scan.
Si tu as des résultats d'autres scans ( même passés relatifs a ton probléme cela pourraist nous aiguiller ... rapport spybot par exemple.
As tu essayé de passer Ewido ?
http://www.ewido.net/en/

Ton probléme peut venir d'ailleurs aussi, mais autant éliminer le probléme des parasites pour être surs.

[trotters213]

Tout d'abord : merci à tous.
Alors pour ce qui est de vos astuces, il y a déjà un énorme problème c'est que je ne peux pas me connecter au net donc pas de MàJ possible ni de scan en ligne
Pour le reste, je vais tester un peu toutes vos solutions et je vous dis ce qui se passe.
Le problème c'est que je n'ai pas accès régulièrement au net donc ne vous inquitez si je ne répond pas, c'est simplement que je ne peux pas.
Merci encore.

[trotters213]

Alors je viens de réparer mes winsocks gràce à http://support.microsoft.com/default...%3Bfr%3B811259
(donc merci AgnèsD et au autres aussi) et tout est rentré dans l'ordre. J'arrive toujours pas à comprendre par contre comment ça se fait que mes winsock soit endommagées régulièrement et que ça me bloque mon antivirus et mon firewall.
A noter également qu'à chaque démarrage de mon pc il m'éxécute un scan disk sur mon disque dur qui ne contient pas windows (celui qui me sert seulement à stocker).
Donc si quelqu'un à une idée de la cause j'aimerais la connaitre.
En tout cas encore merci à tous.
@+

[AgnesD]

Un petit scan Ewido ?
ou un rapport Kaspersky.
Il arrive que certaines "bestioles" gardent des parties cachées des detecteurs classiques mais laissent des traces dans certains rapports ( Kaspersky, Ewido parfois.)
Si tu execute ces scans on trouvera peut être la cause.
Pour le reste de ta question c'est pas trop mon rayon de plus compétents répondrons surement.

[trotters213]

j'ai fait également les scans que tu m'a dit (en mettant tout à jour) mais ils ne voient absolument rien, que se soit kaspersky, ewido, spybot ou ad-aware.

[Spoutnik]

je ne sais pas ce que ca vaut, mais fais une recherche sous google avec liveCD antivirus par ex :http://www.chronomium.com/rubrique_fr-19.html
ou http://www.bitdefender.com/site/Linu...r-Mirrors.html
good luck

[trotters213]

c'est fait et toujours rien de rien. c'est bizarre tout de même.

[winow]

Moi sur mon compte limiter j'avait oublier de retirer les droit administrateur de l'utilisateur car j'avait bidouiller quelque chose sur l'utilisateur et j'avait tourner comme ca quelque mois (2 mois environ je crois ?) et en scanant mon pc normalement Avast avait rien trouver, et je me suis connecter en administrateur (cession) et j'avait programer un scan au demarage du pc et il m'avait trouver un trojan dans (volume systeme information) (je crois ? ).

Il y a des virus qui s'install aussi dans les "systeme information volume" des disques esclave aussi d'ou peut etre ce probleme sur le lecteur ( ? ) et windows repare a chaque demarage les fichiers endomager ?
Laisse le bien reparer si s'est le cas.

Une chose importante pour la protection de sont pc et de controler les services car certain sont demarer en automatique alors qu'il ne devrait pas.
Ces modifications ce font suivant l'utilisation du pc, reseau ou pas, etc..
Je me lance pas dans les details car ce serait long a lire, sinon il y a des site tres bien fait pour cela comme par exemple (SpeedWeb) mais attention de ne pas en faire trop.
+A

[trotters213]

merci winow.
Je suis en mode Administrateur sur mon PC vu que je suis le seul à l'utiliser et Kaspersky scanne bien les "System Information Volume".
Pour ce qui est des programme et des services lancés au démarrage j'utilise Absolute Startup (qui, soit dit en passant, est très bien) et au démarrage, il n'est censé s'ouvrir que AS, Kaspersky et ZoneAlarm.

[winow]

C'est dangeureux de tourner en cession administrateur car les virus et autre saloperie peuvent s'installer tranquillement mais sur un compte limiter tu ne peut pas installer de fichier .exe et tu ne peut pas acceder a "Programe Files" par exemple donc beaucoup plus dur pour un virus de s'installer et pour cela il suffit simplement de gerer ses compte, c'est a dire que ton compte administrateur ne sert que si tu veut donner les droit d'administrateur a ton compte limiter (utilisateur) et une fois que tu a installer ou bidouiller ce que tu veut sur ton pc tu supprime les droit administrateur de l'utilisateur (compte limiter) et ainsi ton pc et bien plus securiser sur internet.

+A

[trotters213]

ça fait plusieurs fois que je vois ceci sur des forums et je pense que je vais le mettre en place ce système.
J'te remercie

[winow]

C'est tres facile a faire, plus simple ont peut pas.

Click droit sur le "poste de travail" puis "gerer" la gestion de l'ordinateur s'ouvre et tu click sur "utilisateur et groupe locaux" puis a droit de l'ecran tu double click sur "utilisateurs".

La tu a "administrateur" et "utilisateur" entre autre.
tu double click sur utilisateur et tu regarde dans l'onglet "membre de"
Donc si dans cet onglet tu a administrateur et utilisateur tu supprime administrateur (n'oublie pas de creer un mot de passe asser ardu pour le compte administrateur et un asser normal pour utilisateur).

Voila tu est securiser

Maintenant si tu veut redonner les droit administrateur a l'utilisateur tu ouvre ta cession administrateur et tu va dans "Poste du travail" puis "Gerer"
puis onglet "utilisateur et groupe locaux" puis "utilisateur" tu double click sur "administreur" puis sur "membre de" puis tu click sur "ajouter" puis sur "avancer" puis sur "rechercher" puis tu met en surbrillance "administreur ...." puis OK et encore OK.
Maintenant tu peut faire ce que tu veut sur ton pc (install etc..)

Et n'oubli pas de retirer les droit administrateur de l'utilisateur si tu te reconnect a internet quand tu a fini ce que tu vouler modifier.

Pour les mots de passe il faut etre sûr de retaper le bon sinon ses le reformatage, cet etape ce fait tres lentement, serrainement calme.

+A