Alerte Avast fugitive

[Laboum]

Bonsoir,
Je suis bloqué sur un virus, que je n'ai pas le temps d'identifier, car la fenêtre d'alerte Avast, se ferme brusquement !
J'ai désinstallé Avast pour procéder avec Antivir, installation c'est semble t-il bien passé, mais à l'exécution après quelques secondes là aussi, la fenêtre se ferme.
J'ai tenté Malwarebytes Anti-malware, idem
J'ai donc suivi la procédure mais RSIT n'arrive pas à se servir de HijackThis pourtant sur le bureau !
Désolé je ne peux poster que le "log"!
Merci pour votre aide
-----

[b marlow]

Salut,
Télécharge ComboFix (de sUBs), renommé pour l'occase en laboum.exe :
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur laboum.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[Laboum]

Bonjour b marlow,
Impossible d'exécuter Combofix, même soucis l'application semble se lancer, un bargraph s'affiche puis tout disparait !
J'ajoute que ce n'est pas mon PC, je consacre du temps pour les personnes qui ont du mal a maîtriser cet outil, donc je poste depuis mon PC perso.
J'ai tenté une connexion internet avec cet ordinateur, pour l'instant sans succès !
Par contre si ça peut faire avancer les choses, à l'allumage j'ai ce message, en PJ (res://lsasrv/jquery.json-2.2.min.js 22/24)
Merci pour le temps que tu me consacre.

[b marlow]

Essaye en mode sans échec.

• Redémarrer l'ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapoter la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisir la première option, pour exécuter Windows en mode sans échec, puis appuyer sur "Entrée".
• Choisir ton compte.

[A voir en vidéo sur Futura]

[Laboum]

Me revoilà

Essaye en mode sans échec.

Hélas j'aurais dû le préciser, mais je suis passé par cette étape, sans plus de résultat.
Dans ce contexte, je viens d'observer le Scan Antivir et la fenêtre se ferme, au moment ou il tente d'analyser le secteur d'amorçage du disque.
Merci

[b marlow]

Nous allons devoir procéder autrement. N'étant pas chez moi, je te mets un tuto à suivre pour
voir comment graver et utiliser OTLPEnet. Télécharge puis grave l'iso, ensuite redémarre
l'ordi pour booter sur le cd nouvellement gravé. Enfin fais le scan comme décrit puis poste le rapport en P-J.

[Laboum]

Bonsoir b marlow,
J'ai essayé de faire de mon mieux, je suis tout petit face à toi, tu m'apprend beaucoup cela me réjouis .
Voilà donc le rapport généré.
Merci pour ta générosité

[b marlow]

Tu t'es bien débrouillé
redémarre sur Reatogo (booter sur le CD), relançe OTLPE
sous Custom Scan /Fixes copie-colle le contenu du cadre-ci dessous:

Code:

FS
:OTL
DRV - [2009/02/09 12:53:56 | 000,012,800 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\mvb35316.sys -- (mvb35316)  
IE - HKU\Foot_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st        
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)    
O2 - BHO: (EoBho Class) - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll ()       
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)     
O3 - HKU\Foot_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)     
O4 - HKLM..\Run: [EoEngine] C:\Program Files\EoRezo\EoEngine.exe ()       
O4 - HKU\Foot_ON_C..\Run: [ghhhi] C:\documents and settings\foot\local settings\application data\ghhhi.exe ()      
[2010/11/15 17:37:22 | 000,001,546 | ---- | M] () -- C:\Documents and Settings\Foot\Local Settings\Application Data\ghhhi_navps.dat     
[2010/11/15 17:36:56 | 000,002,621 | ---- | M] () -- C:\Documents and Settings\Foot\Local Settings\Application Data\ghhhi.dat 
[2010/11/14 22:37:36 | 003,909,871 | ---- | M] () -- C:\Documents and Settings\Foot\Bureau\Laboum.exe  
[2010/09/24 19:55:34 | 000,001,546 | ---- | C] () -- C:\Documents and Settings\Foot\Local Settings\Application Data\ghhhi_navps.dat         
[2010/09/24 19:55:33 | 000,298,550 | ---- | C] () -- C:\Documents and Settings\Foot\Local Settings\Application Data\ghhhi_nav.dat      
[2010/09/24 19:55:33 | 000,002,621 | ---- | C] () -- C:\Documents and Settings\Foot\Local Settings\Application Data\ghhhi.dat  
[2010/09/24 19:55:30 | 000,524,288 | ---- | C] () -- C:\Documents and Settings\Foot\Local Settings\Application Data\ghhhi.exe       
[2010/01/09 11:03:31 | 000,000,256 | ---- | C] () -- C:\WINDOWS\_delis32.ini     
[2010/01/09 11:03:30 | 000,001,217 | ---- | C] () -- C:\WINDOWS\_isenv31.ini  
[2010/01/09 11:03:30 | 000,000,478 | ---- | C] () -- C:\WINDOWS\_iserr31.ini  
[2004/08/05 05:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msaeovdo.dll  
[2004/08/05 05:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys  
[2008/10/20 07:37:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Foot\Application Data\EoRezo      
 
:Files
C:\WINDOWS\System32\drivers\mvb35316.sys
C:\WINDOWS\System32\msaeovdo.dll 
C:\WINDOWS\_delis32.ini 
C:\WINDOWS\_isenv31.ini  
C:\WINDOWS\_iserr31.ini
 
[EmptyTemp]
[EmptyFlash]
[Purity]
[ResetHosts]
[Reboot]

Puis clique sur le bouton Run Fix. Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt
poste ce rapport en P-J. Si tout va bien tu dois pouvoir redémarrer sur Windows normalement.



Ensuite mettre à jour MBAM faire un scan complet puis poster le rapport, après avoir supprimé ce qui est trouvé.

[Laboum]

Bonjour b marlow,
Voilà j'ai enfin pût faire travailler MBAM et Antivir les rapports semblent édifiants !
Par contre il y a encore une chose qui me chagrine, c'est quoi cet "Antivirus 2010" je n'arrive pas à le désinstaller.
Merci pour cette richesse de savoir, que tu m'inculques.

[b marlow]

Télécharge OTL de OldTimer sur le bureau :
Double-clique sur son icône pour le démarrer, si tu es sous Vista ou 7, démarre par clic-droit Exécuter en tant qu'administrateur.
Assure toi d'avoir fermé les fenêtres actives, avant ce qui suit.
Coche Recherche Lop et Purity
Clique sur le bouton "Analyse". Ne change aucun réglage. Le scan sera rapide.
A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt.
Ces deux fichiers sont en outre sauvegardés au même endroit ou tu auras enregistré OTL.exe.

Poste en PJ le contenu de ces fichiers dans ta prochaine réponse .

[Laboum]

Le retour,
J'ai donc procédé avec OTL et voici les rapports, pendant que la recherche opérait, j'avais un message d'alerte de Avira est-ce normal ?
Merci

[b marlow]

Télécharge >OTL.exe< (par OldTimer).
Enregistre-le sur le Bureau.

Fais un double clic sur OTL.exe pour lancer l'outil.

Si ton PC est sous Windows Vista,faire un clic droit sur OTL.exe
et choisir "Exécuter en tant qu'Administrateur" pour exécuter le tool.


Copie la liste qui se trouve en citation ci-dessous et colle-la dans la zone sous Personnalisation:

Code:

FS
:OTL
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)      
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)       
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()       
O4 - HKLM..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe ()       
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)      
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)      
O4 - HKCU..\Run: [BrowserChoice] C:\WINDOWS\System32\browserchoice.exe (Microsoft Corporation)    
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)       
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)  
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)  
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11)  
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)  
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)  
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)  
 
:Files
C:\32788R22FWJFW  
C:\32788R22FWJFW.0.tmp  
C:\Documents and Settings\All Users\Application Data\.wtav       
c:\WINDOWS\system32\mswmqnei.dll
c:\WINDOWS\system32\us?rinit.exe
c:\WINDOWS\system32\drivers\vbma22b4.sys
 
 
:Commands
[EmptyTemp]
[EmptyFlash]
[Purity]
[ResetHosts]
[Reboot]

Clique sur Correction pour lancer la suppression.

Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes

Lorsque l'outil aura terminé il y affichera dans le message "Fix Complete! Click OK to open the fix log". Clique sur OK puis ferme OTL.



Supprime avg free, il fait double emploi avec AntiVir.

[Laboum]

Bonsoir b marlow,
Sur le tard, je me bat encore avec ce PC, certes on a beaucoup progressé, j'ai réussi à désinstaller AVG avec du mal, mais j'y suis arrivé, Antivirus 2010 est également sorti de la boite.
Une dernière question ( j'espère), j'ai l'impression d'avoir une surcharge notoire dans " Le gestionnaire de tâches " certains nouveaux processus sont apparut .
La mise en route est longue, les icônes du bureau prennent leurs apparences normales, au bout de près de 3 minutes.
Une solution peut être ?
Merci

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[Laboum]

Bonjour b marlow,
Au démarrage de Combofix, il m'a signalé que "AVG Free Edition" était toujours actif, donc échec au scan !
Aucune visualisation de l'interface, pour le déactiver (Could not initialize AVG Anti-virus kernel interface. Application cannot run ).
Impossible de la désinstaller même en mode sans échec. J'ai parcouru le net à ce sujet, il me paraît bien ancré dans les entrailles du système, au hasard j'ai découvert plusieurs éradicateurs comme celui-ci (afg – remover -stf_x86_2011_1165)
Que puis je faire ? je crains de te lasser avec mes soucis !
Merci

[b marlow]

vois ici :
http://www.avg.com/fr-fr/outils-telecharges

[Laboum]

Bonjour b marlow,
Impossible de débusquer avec l'utilitaire prescrit ce AVG Free 7.5. 557, ( j'ai essayé les 2 versions). Malgré sa désactivation dans le module de Services de Windows. Lorsque je lance ComboFix j'ai un message d'alerte de l'activité de AVG. Il reste sans doute des traces dans la base de registre, que j'ai parcouru sans pouvoir identifier le soft !
J'avoue que je ne sais plus quoi faire, sur le net on s'aperçoit que beaucoup se sont cassé les dents, a tenter d'éliminer cet antivirus.
Puis-je quand même lancer ComboFix en ignorant les alertes, tout en sachant que j'ai désinstallé Antivir qui de son coté me bloquait l'auto run , signalé au message #11
Merci

[b marlow]

utilise ceci pour supprimer avg
http://www.appremover.com/appremover/avg/AppRemover.exe

[Laboum]

Malgré tes conseils judicieux toujours pareil, je n'y comprend plus rien, le soft conseillé ne reconnait aucun programme AVG Free 7.5.557
Il ignore totalement ou il se cache et pourtant ComboFix me le trouve bien actif.
Alors que faire ?
Merci

[b marlow]

tu as tenté de lancer ComboFix quand même ?

[Laboum]

Bien sur, mais le scan est stoppé après l'alerte de l'activité AVG !

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

REGISTRY::
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayRSAlert]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayScanFinished]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayScanFinishedThreatFound]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayScanStarted]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpdEnd]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpdEndFail]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpdStart]
[-HKEY_CURRENT_USER\AppEvents\Schemes\Apps\avgtray]
[-HKEY_CURRENT_USER\Software\Avg]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\.avgdx]
[-HKEY_CLASSES_ROOT\CLSID\{1152F8E0-69DB-4935-AFC3-59F8A5A86A3E}]
[-HKEY_CLASSES_ROOT\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
[-HKEY_CLASSES_ROOT\CLSID\{41B21542-2055-4212-A6F2-395CD109B14B}]
[-HKEY_CLASSES_ROOT\CLSID\{6F59E522-4689-156E-316C-D5B48819DE95} ]
[-HKEY_CLASSES_ROOT\CLSID\{86E8C5B0-75B6-4ff2-B04F-6789CC7AE386}]
[-HKEY_CLASSES_ROOT\CLSID\{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}]
[-HKEY_CLASSES_ROOT\CLSID\{EF0BB4CD-81FA-48AF-99B3-AB6C1F079BEC}]
[-HKEY_CLASSES_ROOT\CLSID\{F1FE4608-7924-4908-8E12-81CFA206F00A}]
[-HKEY_CLASSES_ROOT\CLSID\{F274614C-63F8-47D5-A4D1-FBDDE494F8D1}]
[-HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\Installer\Features\36E852A15FD8BDA48923830A21D156BE]
[-HKEY_CLASSES_ROOT\Installer\Features\69BC3230A1222404483A39DE4E0799CF]
[-HKEY_CLASSES_ROOT\Installer\Features\CFD2C1F142D260E3CB8B271543DA9F98]
[-HKEY_CLASSES_ROOT\Installer\Products\36E852A15FD8BDA48923830A21D156BE]
[-HKEY_CLASSES_ROOT\Installer\Products\69BC3230A1222404483A39DE4E0799CF]
[-HKEY_CLASSES_ROOT\Installer\Products\CFD2C1F142D260E3CB8B271543DA9F98]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\06DD9E4F7F3FF9C41BC2BD64A2CE18FE]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\38F747DBDC97B4E459142E21199F9D10]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\41A387AA3A7A33D3590FA953D1350011]
[-HKEY_CLASSES_ROOT\LinkScannerIE.NavFilter]
[-HKEY_CLASSES_ROOT\LinkScannerIE.NavFilter.1]
[-HKEY_CLASSES_ROOT\MicroScanner.MicroScanner]
[-HKEY_CLASSES_ROOT\piffile\shellex\ContextMenuHandlers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\linkscanner]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AVG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AVGSE.DLL]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0323CB96-221A-4042-84A3-93EDE47099FC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1A258E63-8DF5-4ADB-9832-38A0121D65EB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlwaysUnloadDll]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}\{976BA62F-ABED-40e0-8F7B-6DE4F6756F0B}]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}\{976BA62F-ABEE-40e0-8F7B-6DE4F6756F0B}]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}\{976BA62F-ABEF-40e0-8F7B-6DE4F6756F0B}]
[-HKEY_CLASSES_ROOT\CLSID\{9781B2D1-AF27-474F-A3A5-C0763FBDF3B7}]
[-HKEY_CLASSES_ROOT\CLSID\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
[-HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[-HKEY_CLASSES_ROOT\CLSID\{F2DDE6B2-9684-4A55-86D4-E255E237B77C}]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\avgsecuritytoolbar]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayWSAlert]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[-HKEY_CURRENT_USER\Software\AppDataLow\Avg]
[-HKEY_CURRENT_USER\Software\AVG Security Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AVG Security Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG9Uninstall]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\AvgEms]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayRSAlert]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayScanFinished]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayScanFinishedThreatFound]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayScanStarted]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayWSAlert]
[-HKEY_USERS\.DEFAULT\AppEvents\Schemes\Apps\avgtray]
[-HKEY_USERS\.DEFAULT\Software\AppDataLow\Avg]
[-HKEY_USERS\.DEFAULT\Software\Avg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG9_TRAY"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"=-
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{3f963a5b-e555-4543-90e2-c3908898db71}"=-
"avg@igeared"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList]
"AVG"=-
 
DRIVER::
Avg
AVGIDSAgent
AVGIDSDriver
AVGIDSEH
AVGIDSFilter
AVGIDSShim
Avgldx86
Avgmfx86
Avgrkx86
Avgtdix
avgwd
AVG Security Toolbar Service
avg9emc
avg9wd
 
FOLDER::
%SYSTEMDRIVE%\$AVG
%COMMONAPPDATA%\AVG10
%COMMONAPPDATA%\MFAData
%COMMONPROGRAMS%\AVG 2011
%APPDATA%\AVG10
%PROGRAMFILES%\AVG
%SYSTEM%\drivers\AVG
%COMMONAPPDATA%\AVG Security Toolbar
%COMMONAPPDATA%\avg9
%COMMONPrograms%\AVG Free 9.0
 
File::
%COMMONAPPDATA%\Common Files\6F59E522-4689-156E-316C-D5B48819DE95.dat
%COMMONDESKTOP%\AVG 2011.lnk
%SYSTEM%\drivers\AVGIDSDriver.sys
%SYSTEM%\drivers\AVGIDSEH.sys
%SYSTEM%\drivers\AVGIDSFilter.sys
%SYSTEM%\drivers\AVGIDSShim.sys
%SYSTEM%\drivers\avgldx86.sys
%SYSTEM%\drivers\avgmfx86.sys
%SYSTEM%\drivers\avgrkx86.sys
%SYSTEM%\drivers\avgtdix.sys
%COMMONDesktop%\AVG Free 9.0.lnk
%PROGRAMFILES%\Mozilla Firefox\searchplugins\avg_igeared.xml
%SYSTEM%\avgrsstx.dll
 
SECCENTER::
AVG Anti-Virus Free

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript_AVG2011.txt

Passe en mode sans échec:

• Redémarrer l'ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapoter la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisir la première option, pour exécuter Windows en mode sans échec, puis appuyer sur "Entrée".
• Choisir ta session habituelle, pas Administrateur ou autres.

Glisse maintenant le fichier CFScript_AVG2011.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[Laboum]

Bonjour b marlow,
Voilà le PC tourne depuis 4 H et malgré ton script avalé par Combofix, j'ai eut droit au 2 messages d'alerte de l'activité de AVG, j'ai toujours la fenêtre bleu AutoScan, la led du HDD clignote.
Sincèrement dois-je continuer cet acharnement ?
Merci pour ton aide, très précieuse.

[b marlow]

stoppe ComboFix. redémarre.
Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:reg
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayRSAlert]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayScanFinished]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayScanFinishedThreatFound]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayScanStarted]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpdEnd]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpdEndFail]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpdStart]
[-HKEY_CURRENT_USER\AppEvents\Schemes\Apps\avgtray]
[-HKEY_CURRENT_USER\Software\Avg]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\.avgdx]
[-HKEY_CLASSES_ROOT\CLSID\{1152F8E0-69DB-4935-AFC3-59F8A5A86A3E}]
[-HKEY_CLASSES_ROOT\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
[-HKEY_CLASSES_ROOT\CLSID\{41B21542-2055-4212-A6F2-395CD109B14B}]
[-HKEY_CLASSES_ROOT\CLSID\{6F59E522-4689-156E-316C-D5B48819DE95} ]
[-HKEY_CLASSES_ROOT\CLSID\{86E8C5B0-75B6-4ff2-B04F-6789CC7AE386}]
[-HKEY_CLASSES_ROOT\CLSID\{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}]
[-HKEY_CLASSES_ROOT\CLSID\{EF0BB4CD-81FA-48AF-99B3-AB6C1F079BEC}]
[-HKEY_CLASSES_ROOT\CLSID\{F1FE4608-7924-4908-8E12-81CFA206F00A}]
[-HKEY_CLASSES_ROOT\CLSID\{F274614C-63F8-47D5-A4D1-FBDDE494F8D1}]
[-HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\Installer\Features\36E852A15FD8BDA48923830A21D156BE]
[-HKEY_CLASSES_ROOT\Installer\Features\69BC3230A1222404483A39DE4E0799CF]
[-HKEY_CLASSES_ROOT\Installer\Features\CFD2C1F142D260E3CB8B271543DA9F98]
[-HKEY_CLASSES_ROOT\Installer\Products\36E852A15FD8BDA48923830A21D156BE]
[-HKEY_CLASSES_ROOT\Installer\Products\69BC3230A1222404483A39DE4E0799CF]
[-HKEY_CLASSES_ROOT\Installer\Products\CFD2C1F142D260E3CB8B271543DA9F98]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\06DD9E4F7F3FF9C41BC2BD64A2CE18FE]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\38F747DBDC97B4E459142E21199F9D10]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\41A387AA3A7A33D3590FA953D1350011]
[-HKEY_CLASSES_ROOT\LinkScannerIE.NavFilter]
[-HKEY_CLASSES_ROOT\LinkScannerIE.NavFilter.1]
[-HKEY_CLASSES_ROOT\MicroScanner.MicroScanner]
[-HKEY_CLASSES_ROOT\piffile\shellex\ContextMenuHandlers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\linkscanner]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AVG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AVGSE.DLL]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0323CB96-221A-4042-84A3-93EDE47099FC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1A258E63-8DF5-4ADB-9832-38A0121D65EB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlwaysUnloadDll]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}\{976BA62F-ABED-40e0-8F7B-6DE4F6756F0B}]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}\{976BA62F-ABEE-40e0-8F7B-6DE4F6756F0B}]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}\{976BA62F-ABEF-40e0-8F7B-6DE4F6756F0B}]
[-HKEY_CLASSES_ROOT\CLSID\{9781B2D1-AF27-474F-A3A5-C0763FBDF3B7}]
[-HKEY_CLASSES_ROOT\CLSID\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
[-HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[-HKEY_CLASSES_ROOT\CLSID\{F2DDE6B2-9684-4A55-86D4-E255E237B77C}]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\avgsecuritytoolbar]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayWSAlert]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[-HKEY_CURRENT_USER\Software\AppDataLow\Avg]
[-HKEY_CURRENT_USER\Software\AVG Security Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AVG Security Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG9Uninstall]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\AvgEms]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayRSAlert]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayScanFinished]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayScanFinishedThreatFound]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayScanStarted]
[-HKEY_USERS\.DEFAULT\AppEvents\EventLabels\avgtrayWSAlert]
[-HKEY_USERS\.DEFAULT\AppEvents\Schemes\Apps\avgtray]
[-HKEY_USERS\.DEFAULT\Software\AppDataLow\Avg]
[-HKEY_USERS\.DEFAULT\Software\Avg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG9_TRAY"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"=-
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{3f963a5b-e555-4543-90e2-c3908898db71}"=-
"avg@igeared"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList]
"AVG"=-
 
:services
Avg
AVGIDSAgent
AVGIDSDriver
AVGIDSEH
AVGIDSFilter
AVGIDSShim
Avgldx86
Avgmfx86
Avgrkx86
Avgtdix
avgwd
AVG Security Toolbar Service
avg9emc
avg9wd
 
:files
%SYSTEMDRIVE%\$AVG
%COMMONAPPDATA%\AVG10
%COMMONAPPDATA%\MFAData
%COMMONPROGRAMS%\AVG 2011
%APPDATA%\AVG10
%PROGRAMFILES%\AVG
%SYSTEM%\drivers\AVG
%COMMONAPPDATA%\AVG Security Toolbar
%COMMONAPPDATA%\avg9
%COMMONPrograms%\AVG Free 9.0
%COMMONAPPDATA%\Common Files\6F59E522-4689-156E-316C-D5B48819DE95.dat
%COMMONDESKTOP%\AVG 2011.lnk
%SYSTEM%\drivers\AVGIDSDriver.sys
%SYSTEM%\drivers\AVGIDSEH.sys
%SYSTEM%\drivers\AVGIDSFilter.sys
%SYSTEM%\drivers\AVGIDSShim.sys
%SYSTEM%\drivers\avgldx86.sys
%SYSTEM%\drivers\avgmfx86.sys
%SYSTEM%\drivers\avgrkx86.sys
%SYSTEM%\drivers\avgtdix.sys
%COMMONDesktop%\AVG Free 9.0.lnk
%PROGRAMFILES%\Mozilla Firefox\searchplugins\avg_igeared.xml
%SYSTEM%\avgrsstx.dll

Ferme ton navigateur ainsi que les applications ouvertes sauf OTM.
Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[Laboum]

J'ai supprimé "FS" car à la première exécution, il me signalait une erreur sans doute dû à la syntaxe.
Cependant l'analyse se bloque ici : "ne répond pas !"

[b marlow]

fais-le en mode sans échec. poste le rapport.

[Laboum]

Bravo bien vu, j'avoue ne pas y avoir pensé !

[b marlow]

les scripts sont à utiliser tels-que, le FS devant était voulu.
refait à présent la manip de ComboFix en sans échec. sans modifier
le script ni le nom du script.

[Laboum]

AVG 7 refuse toujours l'intrusion du Scan de ComboFix en mode sans échec.
Cette fois, j'ai bien respecté ton travail en ne faisant aucune modification au texte.
Merci

[b marlow]

• Télécharge SEAF (de C_XX)
• Enregistre-le sur le Bureau
• Double-clique sur le fichier SEAF.exe
• Dans la fenêtre saisis ce qui se trouve dans l'encadré ci-dessous:

Code:

AVG

• Coche Informations supplémentaires et Chercher dans le registre
• Valide en appuyant sur Lancer la recherche
• Poste en PJ le rapport qui sera généré à la fin du scan