Alerte Avast fugitive

[Laboum]

Bonjour b marlow,
Ton lien était mort, je l'ai récupéré par ailleurs, je pense que c'est bon.
Voici le rapport demandé.
Merci
-----

[invite4c6c2965]

Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Files
C:\WINDOWS\system32\drivers\avgclean.sys
C:\WINDOWS\system32\drivers\avg7rsxp.sys
C:\WINDOWS\system32\drivers\avg7rsw.sys
C:\WINDOWS\system32\drivers\avg7core.sys
C:\WINDOWS\system32\drivers\Avg(2)
C:\Documents and Settings\All Users\Application Data\avg8(2)
C:\Documents and Settings\All Users\Application Data\Grisoft(2)
C:\Documents and Settings\All Users\Application Data\Grisoft
C:\Documents and Settings\Foot\Bureau\Utiles PC\AVG 7.5.pdf
 
:Reg
[-HKU\S-1-5-21-3505865678-1157683573-1022514268-1005\Software\Grisoft\Avg7]
[-HKU\S-1-5-18\Software\Grisoft\Avg7]
[-HKU\S-1-5-21-3505865678-1157683573-1022514268-1005\Software\Grisoft]
[-HKLM\System\CurrentControlSet\Services\Eventlog\Application\AVG7]
[-HKLM\System\CurrentControlSet\Services\Eventlog\Application\Avg7Alrt]
[-HKLM\System\CurrentControlSet\Services\Eventlog\Application\Avg7UpdSvc]
[-HKU\.DEFAULT\Software\Grisoft\Avg7]
[-HKU\S-1-5-19\Software\Grisoft\Avg7]
[-HKU\S-1-5-20\Software\Grisoft\Avg7]
[-HKLM\Software\Classes\*\shellex\ContextMenuHandlers\AVG7 Shell Extension]
[-HKLM\Software\Classes\AppID\avgamsvr.exe]
[-HKLM\Software\Classes\AppID\avgemc.exe]
[-HKLM\Software\Classes\AppID\avgupsvc.exe]
[-HKLM\Software\Classes\AppID\avgvault.dll]
[-HKLM\Software\Classes\AppID\{3C9EFEA1-8D1A-11D5-989F-0000E87B4FB1}]
[-HKLM\Software\Classes\AVGeneralNotification.AVGeneralNotification]
[-HKLM\Software\Classes\AVGeneralNotification.AVGeneralNotification.1]
[-HKLM\Software\Classes\piffile\shellex\ContextMenuHandlers\AVG7 Shell Extension]
[-HKLM\Software\Grisoft]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVG7ALRT]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVG7CORE]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVG7RSW]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVG7RSXP]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVG7UPDSVC]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVGCLEAN]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVGIO]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVGNTFLT]
[-HKLM\System\ControlSet001\Enum\Root\LEGACY_AVGTDI]
[-HKLM\System\ControlSet001\Services\Avg7Alrt]
[-HKLM\System\ControlSet001\Services\Avg7Core]
[-HKLM\System\ControlSet001\Services\Avg7RsW]
[-HKLM\System\ControlSet001\Services\Avg7RsXP]
[-HKLM\System\ControlSet001\Services\Avg7UpdSvc]
[-HKLM\System\ControlSet001\Services\AvgClean]
[-HKLM\System\ControlSet001\Services\AVGEMS]
[-HKLM\System\ControlSet001\Services\AvgTdi]
[-HKLM\System\ControlSet001\Services\Eventlog\Application]
[-HKLM\System\ControlSet001\Services\Eventlog\Application\AVG7]
[-HKLM\System\ControlSet001\Services\Eventlog\Application\Avg7Alrt]
[-HKLM\System\ControlSet001\Services\Eventlog\Application\Avg7UpdSvc]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVG7ALRT]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVG7CORE]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVG7RSW]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVG7RSXP]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVG7UPDSVC]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVGCLEAN]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVGIO]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVGNTFLT]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_AVGTDI]
[-HKLM\System\ControlSet002\Services\Avg7Alrt]
[-HKLM\System\ControlSet002\Services\Avg7Core]
[-HKLM\System\ControlSet002\Services\Avg7RsW]
[-HKLM\System\ControlSet002\Services\Avg7RsXP]
[-HKLM\System\ControlSet002\Services\Avg7UpdSvc]
[-HKLM\System\ControlSet002\Services\AvgClean]
[-HKLM\System\ControlSet002\Services\AVGEMS]
[-HKLM\System\ControlSet002\Services\AvgTdi]
[-HKLM\System\ControlSet002\Services\Eventlog\Application\AVG7]
[-HKLM\System\ControlSet002\Services\Eventlog\Application\Avg7Alrt]
[-HKLM\System\ControlSet002\Services\Eventlog\Application\Avg7UpdSvc]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVG7ALRT]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVG7CORE]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVG7RSW]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVG7RSXP]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVG7UPDSVC]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVGCLEAN]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVGIO]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVGNTFLT]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVGTDI]
[-HKLM\System\CurrentControlSet\Services\Avg7Alrt]
[-HKLM\System\CurrentControlSet\Services\Avg7Core]
[-HKLM\System\CurrentControlSet\Services\Avg7RsW]
[-HKLM\System\CurrentControlSet\Services\Avg7RsXP]
[-HKLM\System\CurrentControlSet\Services\Avg7UpdSvc]
[-HKLM\System\CurrentControlSet\Services\AvgClean]
[-HKLM\System\CurrentControlSet\Services\AVGEMS]
[-HKLM\System\CurrentControlSet\Services\AvgTdi]
 
:Commands
[emptytemp]
[emptyflash]
[Reboot]

Ferme ton navigateur ainsi que les applications ouvertes sauf OTM.
Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)



Ensuite réinitialiser le centre de sécurité.
Pour Windows XP :

1. Cliquez sur Démarrer -> Programmes -> Accessoires -> Invite de commandes
2. Tapez les commandes suivantes en répondant oui si il vous est demandé de confirmer :

Code:

      winmgmt /clearadap
      winmgmt /kill
      winmgmt /unregserver
      winmgmt /regserver
      winmgmt /resyncperf

Redémarrez l'ordinateur.

[Laboum]

Voilà le log généré par OTM

[invite4c6c2965]

tu as tenté de lancer ComboFix ?

[Laboum]

Toujours pareil, c'est étrange car à la dernière tentative, j'avais un espoir car l'heure de l'horloge n'était pas bloquée, tandis que là, l'heure est figée depuis le lancement de ComboFix.

[invite4c6c2965]

il détecte encore avg ?
tu as réinitialisé le centre de sécurité ?
tu as lancé combo en sans échec ?

[Laboum]

C'est bien cela, j'ai exécuté comme indiqué au #22
Pour réinitialisé j'ai suivi ta procédure, j'ai introduit les lignes de commandes comme sur l'illustration jointe, ensuite sans refermer la fenêtre DOS, j'ai redémarré le PC.
Aurais-je fait une mauvaise manipulation ?

[invite4c6c2965]

as-tu confirmé les commandes par la touche entrée ou par O ?

[Laboum]

Oui bien sûr !

[Laboum]

Le pare-feu est bien activé, dans le centre de sécurité

[invite4c6c2965]

non seulement c'est un antivirus pourri mais en plus il s'incruste partout
et en plus ils ne sont pas foutu de livrer un uninstaller correct pour supprimer
leur daube. ou peut-il se planquer encore ?

relance OTL puis poste le nouveau rapport .

[Laboum]

Comme je comprend ton désarroi ! et une nouvelle fois, je te remercie pour ton opiniâtreté.
Il n'y pas péril en la demeure, si ça cause trop de soucis, on arrête là .
Bon courage et ne te fait pas de soucis.
Voici l'ultime rapport:

[invite4c6c2965]

Fais un double clic sur OTL.exe pour lancer l'outil.

Si ton PC est sous Windows Vista,faire un clic droit sur OTL.exe
et choisir "Exécuter en tant qu'Administrateur" pour exécuter le tool.


Copie la liste qui se trouve en citation ci-dessous et colle-la dans la zone sous Personnalisation:

Code:

FS
:Files
C:\Documents and Settings\All Users\Application Data\AVG7       
C:\Documents and Settings\Foot\Application Data\AVG7(2)  
C:\Documents and Settings\Foot\Application Data\AVG7 
 
:Commands
[EmptyTemp]
[EmptyFlash]
[Purity]
[Reboot]

Clique sur Correction pour lancer la suppression.

Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes

Lorsque l'outil aura terminé il y affichera dans le message "Fix Complete! Click OK to open the fix log". Clique sur OK puis ferme OTL.

Ensuite vois si tu peux faire une mise à jour de MBAM puis le lancer pour un scan complet.

[Laboum]

Bonjour b marlow,
C'est fait j'ai enfin réussit a désinstaller AVG, en fait j'ai installé la dernière édition, ce qui a dû reconstituer l'ossature du système.
A la place j'ai installé Antivir, j'ai procédé à la désinfection suivit par l'exécution de MBAM, rien n'a été trouvé !
Par contre au démarrage maintenant c'est comme si j'avais appuyé sur F8, j'ai l'affichage de la fenêtre permettant le choix du démarrage ensuite Windows enchaine, en mode normal, sans que je fasse quoi que ce soit.
Encore du ménage à faire peut être, si je doit procéder par Combofix, quel paramètre adopter ?
Merci

[invite4c6c2965]

A la place j'ai installé Antivir, j'ai procédé à la désinfection suivit par l'exécution de MBAM, rien n'a été trouvé !

Poste le rapport antivir.

[Laboum]

Voila le rapport
Merci

[invite4c6c2965]

Recherche de Rootkits...................... ...: arrêt

la recherche des rootkits n'est pas coché dans AntiVir, à cocher.

démarrer/executer colle combofix /uninstall puis valide par Entrée.
ensuite retélécharge Combofix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
lance-le comme indiqué plus haut ensuite poste le rapport.

[Laboum]

Bonsoir b marlow,
Voilà les dernières nouvelles, j'ai renoncé à Combofix il ne veut rien savoir. Bien sur l'idéal serait de le formater, mais je n'est pas le CD d'origine. Qui plus est, ce PC a une panne intermittente, (variation luminosité de l'écran), que je n'ai pas réussit a résoudre !
Néanmoins cette expérience aura été loin d'être négative pour moi, bien au contraire.
Ta précieuse collaboration, m'a permit d'acquérir de nouvelles connaissances, dans ce domaine si complexe et pour cela, je t'en remercie sincèrement.
Bon courage

[Laboum]

Bonjour b marlow,
Eh oui je reviens à la charge, car il y a du nouveau, à force de nettoyer le registre, de passer et repasser Antivir, ( pourtant mis à jour à chaque fois), il vient de me trouver ceci «TR/Dropper.Gen»
J'ai exécuté Malwarebytes en mode sans échec et là aucun suspect ! Le PC refuse toujours Combofix (même en mode sans échec), je n'ai même pas la fenêtre bleu, peut être un outil mieux adapté par rapport à ce virus ?
Je poste les rapports Antivir et Malwarebytes
Merci de me conseiller

[invite4c6c2965]

je ne crois pas que le fichier trouvé par AntiVir soit un virus.

[Laboum]

Bonsoir b marlow,
Eh bien maintenant, je suis rassuré grâce à ton efficacité.
Merci beaucoup