Problème de virus Antivirus GoldFermé

Question

Bonjour,

Je crois avoir aussi attrapé le virus Antivirus Gold et Norton n'a pas réussi à réparer. Il détècte encore un virus.

J'avais déjà enlevé la référence à hookdump.exe après avoir lancé Hihjackthis et j'ai fait tourner une fois CCCleaner mais j'ai toujours le problème de screen.html en fond d'écran.

De la même manière, je n'arrive plus à accéder à Yahoo Mail sans être sans cesse renvoyé sur la page (www.)onclicksearches.com

Voici un nouveau logfile de Hijackthis:

http://cjoint.com/?huopp0rnpv

Par contre, j'ai essayé de lancer Panda pour poster ici également son logfile mais je n'y arrive pas. Chaque fois que je clique sur Lancer l'analyse, j'aboutis à nouveau sur onclicksearches.com. J'imagine que le fichier Popuper qui se trouve sur mon répertoire Windows n'y est pas étranger mais je n'arrive pas à l'effacer.

Je commence d'autre part à me demander si tout cela pose des problèmes de confidentialité par rapport à ma carte de crédit bien que j'aie procédé à CCCleaner?

Merci bien d'avance pour votre aide!

Yvan

balltrap34 · Answer

salut
commence par ceci
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

redemarre en mode sans echec
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

completer a la fin par hijack

Yvan · Answer

Merci bien pour ta réponse très rapide!Presque trop rapide d'ailleurs, parce que là, je suis au boulot mais je vais faire ça dès que possible.Merci encore,Yvan

balltrap34 · Answer

okia++

Yvan · Answer

Salut,

J'ai donc lancé les applications qui ont généré des log comme ceci (je n'étais pas complétement sûr de l'ordre en te lisant:

En mode normal (option 1 pour SmitFraud)

SmitFraudReg mode normaL : http://cjoint.com/?hwlqUjUIMB

En mode sans échec (option 2 pour Smitfraud)

SmitFraudReg mode sans échec : http://cjoint.com/?hwlscJXKzI

Hijackthis mode sans échec : http://cjoint.com/?hwlsQBGg8u

A nouveau en mode normal:

Hijackthis mode normal : http://cjoint.com/?hwltm22V5a

D'autres infos qui t'aideront peut-être:

- Maintenant, le fichier screen.htm n'apparait plus en fond d'écran. Je peux mettre le fond que je veux.

- D'autre part je ne suis plus sur la page onclicksearches.com quand je lance Explorer.

- Enfin, Norton détècte le virus Bloodhoun.w32.EP dans Wininet.dll et ne peut pas réparer le fichier (bien entendu)

Merci beaucoup de ton aide!

Yvan

S!Ri · Answer

Salut,

Recommence ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip (Nouvelle version 1.1)

redemarre en mode sans echec
lance le et choisi l'option 2 et repond oui à tout.
redemarre en mode normal et donne le rapport

Ensuite, Avec HijackThis,
Coche et fixe les lignes suivantes:

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

Reposte un rapport HijackThis
a++

Yvan · Answer

Voilà qui est fait:

Smitfraud en mode sans échec avec option 2:

http://cjoint.com/?hxlsXGCwpP

Smitfraud en mode normal avec option 1:

http://cjoint.com/?hxltrKe0xj

HiJackthis après avoir coché et fixé les lignes que tu m'avais citées:

http://cjoint.com/confirm.php?cjoint=hxltGqjhnd

Ca a l'air d'aller plutôt bien maintenant (plus de notification du virus Bloodhound) mais est-ce qu'il y a une ou deux étapes additionnelles?

Merci bien!

Yvan

balltrap34 · Answer

salut met le rapport hijack icipas sur http://cjoint.com/confirm.php?cjoint=hxltGqjhnd

Utilisateur anonyme · Answer

salut ivan

D'apres ton hijack, il reste ces lignes concernant oneclicksearches à supprimer, c'est normal, car elles n'apparaissent pas en mode sans echec:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

a+

Yvan · Answer

OK, merci à vous!moe31, j'ai maintenant fixé les 5 lignes que tu citais. Ca m'étonnait aussi qu'elles soient encore là.Dernier rapport Hijack ci-dessous. Logfile of HijackThis v1.99.1Scan saved at 11:45:11, on 23.07.2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\WINDOWS\system32\CTsvcCDA.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RunDll32.exeC:\WINDOWS\System32\ELAN.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\system32undll32.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Pinnacle\Shared Filesemoterm.exeC:\Program Files\HP\HP Software Update\HPWuSchd.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-ch\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Eraser\eraser.exeC:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exeC:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Skype\Phone\Skype.exeC:\Program Files\Creative\MediaSource\Detector\CTDetect.exeC:\Program Files\HP\Digital Imaging\bin\hpqtra08.exeC:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Hikackthis\HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.rd.yahoo.com/customize/ie/defaults/stp/ymsgr6/fr/*http://fr.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exeO4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLLO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [PinnacleRemote] C:\Program Files\Pinnacle\Shared Filesemoterm.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-ch\msnappau.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hideO4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exeO4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDiscO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /RO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.htmlO8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin
pjpi142.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin
pjpi142.dllO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{7A26A194-EED6-4694-A350-E34DEF33805F}: NameServer = 194.230.1.71 194.230.1.200O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Utilisateur anonyme · Answer

salutPour moi c'est ok et de ton coté ?a+

Yvan · Answer

Merci bien pour votre aide, oui, ça m'a l'air ok.

De toute façon je suis loin 10 jours dès demain donc ne pourrai pas bien vérifier.

Par contre une dernière question: niveau pare-feu, c'est Zone Alarm, le plus simple d'utilisation? Je crois que je vais le réinstaller..

Merci encore pour votre aide, c'est vraiment appréciable de voir que des gens dépensent autant de temps pour résoudre les problèmes des autres!

Problème de virus Antivirus Gold

11 réponses

Discussions similaires

Newsletters