Infection Antivirus Gold

Résolu/Fermé
titine8421 - 2 juil. 2005 à 17:40
 pouliche - 6 juil. 2005 à 15:23
Bonjour,

Voilà j'ai un problème. j'ai été infecté par Antivirus Gold. J'ai fait une HijackThis et voilà ce que cela donne :

Logfile of HijackThis v1.99.1
Scan saved at 17:27:17, on 02/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Maison\Mes documents\Téléchargement\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Que dois-je faire maintenant pour pouvoir le supprimer ?

Je vous remercie de vos réponses.

Titine
A voir également:

6 réponses

Utilisateur anonyme
2 juil. 2005 à 17:45
Bonjour,

Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html


2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch francais, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite video ici d'utilisation:(merci a Moe31 pour cette realisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/antivirgold:
http://siri.urz.free.fr/Fix/AVGoldFix.zip
----------------------------------------------------------------------------
¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Désactive ta restauration systeme:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab

----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers

C:\Program Files\Media Access <--- le dossier


----------------------------------------------------------------------------
passe le prog 3/
---------------------------------------------------------------------------
Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack


Precise tes soucis si il en restes....

Tiens moi au courant

a+
0
Merci pour la solution, apparemment antivirus gold n'est plus présent. Tu trouveras Le dernier rapport Hijackthis ci-dessous. Par contre je n'ai plus de fond d'écran. est-ce normal ?
Que dois je faire ? de plus les icones de mon bureau me donne l'impression d'être dédoublé.

MErci de ta réponse.

titine8421
0
Y@nnik Messages postés 19 Date d'inscription jeudi 28 avril 2005 Statut Membre Dernière intervention 5 juillet 2005
2 juil. 2005 à 17:48
Est-ce que tu as antivirusgold dans program files ?

Coche et fixe ces lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab


Puis, dans ajout/suppression des programmes du panneau de configuration, supprime "mediaaccess", c'est un malware.

Enfin, exécute ceci :
http://www.bleepingcomputer.com/files/reg/avgoldfix.reg

Redémarre, puis télécharge et lance celui-là :
http://pageperso.aol.fr/Yannik744200580/Malware/Avgoldfix2.exe

Reposte ensuite un log.
0
Utilisateur anonyme
4 juil. 2005 à 17:14
salut,
remet un fond d ecran !! < dis moi si tu y arrive ...

a+
0
Le problème c'est que j'en ai remis un mais qu'il ne s'affiche pas en fond d'écran.

Merci de ta réponse.

a +
0
Utilisateur anonyme
4 juil. 2005 à 23:20
salut

vérifie ceci:

Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif

a+
0
merci pour la réponse.

a+

titine8421
0
Bonjour,
Je prends votre discussion en cours car j'ai été infecté également par AVG et smith fraud ... Après éradication complète, j'ai donc pu reprendre la main sur les propriété d'affichage mais qui sont désormais incomplète : j'ai uniquement l'affichage du bureau (je peux changer la photo) mais je n'ai plus aucun onglet (écran de veille, etc.).
Est- ce que j'aurais détruit une partie par erreur? Récupérable sans réinstallation complète de Windows ? Merci pour vos réponses éclairés !
0
Utilisateur anonyme > IANWRITE
5 juil. 2005 à 10:46
salut ianwhrite

telecharge smitfraud.reg ici:
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
lance le et accepte de fusionner.

vérifie aussi ceci:
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif

une fois fait, redemarre ton pc et remet un fond d'écran
tu devrais retrouver les onglets manquants.

a+
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10 > IANWRITE
5 juil. 2005 à 10:49
Salut IANWRITE

Utilise AVGoldFix ici:
http://siri.urz.free.fr/Fix/AVGoldFix.zip

Puis redemarre
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10 > IANWRITE
5 juil. 2005 à 10:52
oups, moe a été plus rapide ;-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
5 juil. 2005 à 00:35
salut titine

Ca a marché ?

a+
0
il i a bocou plu facil moi je u le virus avant-hier ( le 4/07/05): ce matin jé fé une restauration du sisteme à une date antérieure a linfection cétadir par exemple le 3/07/05 é dedepui tou marche nikel. (la rubrike restauration du sisteme se trouve dan le menu "démarrer" pui accesoire" pui "outil sisteme" pui restoration du sisteme. apré tu clike restaurer le sisteme à une heur antérieure, tu choisie une date é voila en fete ton pc fé un retour en arriere bien sur si entre de tu a instalé d programe il seron perdu
0