Sujet Précédent Sujet Suivant

Problème de virus Antivirus Gold

Fermé
Yvan - 21 juil. 2005 à 09:40
 Yvan - 23 juil. 2005 à 12:23
Bonjour,

Je crois avoir aussi attrapé le virus Antivirus Gold et Norton n'a pas réussi à réparer. Il détècte encore un virus.

J'avais déjà enlevé la référence à hookdump.exe après avoir lancé Hihjackthis et j'ai fait tourner une fois CCCleaner mais j'ai toujours le problème de screen.html en fond d'écran.

De la même manière, je n'arrive plus à accéder à Yahoo Mail sans être sans cesse renvoyé sur la page (www.)onclicksearches.com

Voici un nouveau logfile de Hijackthis:

http://cjoint.com/?huopp0rnpv

Par contre, j'ai essayé de lancer Panda pour poster ici également son logfile mais je n'y arrive pas. Chaque fois que je clique sur Lancer l'analyse, j'aboutis à nouveau sur onclicksearches.com. J'imagine que le fichier Popuper qui se trouve sur mon répertoire Windows n'y est pas étranger mais je n'arrive pas à l'effacer.

Je commence d'autre part à me demander si tout cela pose des problèmes de confidentialité par rapport à ma carte de crédit bien que j'aie procédé à CCCleaner?

Merci bien d'avance pour votre aide!

Yvan
A voir également:

11 réponses

Réponse 1 / 11
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 juil. 2005 à 09:46
salut
commence par ceci
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

redemarre en mode sans echec
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

completer a la fin par hijack
0
Réponse 2 / 11
Yvan
21 juil. 2005 à 10:02
Merci bien pour ta réponse très rapide!

Presque trop rapide d'ailleurs, parce que là, je suis au boulot mais je vais faire ça dès que possible.

Merci encore,


Yvan
0
Réponse 3 / 11
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 juil. 2005 à 10:54
oki
a++
0
Réponse 4 / 11
Yvan
22 juil. 2005 à 10:58
Salut,

J'ai donc lancé les applications qui ont généré des log comme ceci (je n'étais pas complétement sûr de l'ordre en te lisant:

En mode normal (option 1 pour SmitFraud)

SmitFraudReg mode normaL : http://cjoint.com/?hwlqUjUIMB

En mode sans échec (option 2 pour Smitfraud)

SmitFraudReg mode sans échec : http://cjoint.com/?hwlscJXKzI

Hijackthis mode sans échec : http://cjoint.com/?hwlsQBGg8u

A nouveau en mode normal:

Hijackthis mode normal : http://cjoint.com/?hwltm22V5a

D'autres infos qui t'aideront peut-être:

- Maintenant, le fichier screen.htm n'apparait plus en fond d'écran. Je peux mettre le fond que je veux.

- D'autre part je ne suis plus sur la page onclicksearches.com quand je lance Explorer.

- Enfin, Norton détècte le virus Bloodhoun.w32.EP dans Wininet.dll et ne peut pas réparer le fichier (bien entendu)

Merci beaucoup de ton aide!

Yvan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
22 juil. 2005 à 11:14
Salut,

Recommence ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip (Nouvelle version 1.1)

redemarre en mode sans echec
lance le et choisi l'option 2 et repond oui à tout.
redemarre en mode normal et donne le rapport

Ensuite, Avec HijackThis,
Coche et fixe les lignes suivantes:

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

Reposte un rapport HijackThis
a++
0
Réponse 6 / 11
Yvan
23 juil. 2005 à 10:53
Voilà qui est fait:

Smitfraud en mode sans échec avec option 2:

http://cjoint.com/?hxlsXGCwpP

Smitfraud en mode normal avec option 1:

http://cjoint.com/?hxltrKe0xj

HiJackthis après avoir coché et fixé les lignes que tu m'avais citées:

http://cjoint.com/confirm.php?cjoint=hxltGqjhnd

Ca a l'air d'aller plutôt bien maintenant (plus de notification du virus Bloodhound) mais est-ce qu'il y a une ou deux étapes additionnelles?

Merci bien!

Yvan
0
Réponse 7 / 11
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 juil. 2005 à 11:05
salut met le rapport hijack ici
pas sur
http://cjoint.com/confirm.php?cjoint=hxltGqjhnd
0
Réponse 8 / 11
Utilisateur anonyme
23 juil. 2005 à 11:07
salut ivan

D'apres ton hijack, il reste ces lignes concernant oneclicksearches à supprimer, c'est normal, car elles n'apparaissent pas en mode sans echec:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

a+
0
Réponse 9 / 11
Yvan
23 juil. 2005 à 11:47
OK, merci à vous!

moe31, j'ai maintenant fixé les 5 lignes que tu citais. Ca m'étonnait aussi qu'elles soient encore là.

Dernier rapport Hijack ci-dessous.

Logfile of HijackThis v1.99.1
Scan saved at 11:45:11, on 23.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\ELAN.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Pinnacle\Shared Files\remoterm.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-ch\msnappau.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eraser\eraser.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hikackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr6/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.rd.yahoo.com/customize/ie/defaults/stp/ymsgr6/fr/*http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleRemote] C:\Program Files\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-ch\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A26A194-EED6-4694-A350-E34DEF33805F}: NameServer = 194.230.1.71 194.230.1.200
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
0
Réponse 10 / 11
Utilisateur anonyme
23 juil. 2005 à 11:52
salut

Pour moi c'est ok et de ton coté ?

a+
0
Réponse 11 / 11
Yvan
23 juil. 2005 à 12:23
Merci bien pour votre aide, oui, ça m'a l'air ok.

De toute façon je suis loin 10 jours dès demain donc ne pourrai pas bien vérifier.

Par contre une dernière question: niveau pare-feu, c'est Zone Alarm, le plus simple d'utilisation? Je crois que je vais le réinstaller..

Merci encore pour votre aide, c'est vraiment appréciable de voir que des gens dépensent autant de temps pour résoudre les problèmes des autres!
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses