Antivirus 7

Yann -  
 Utilisateur anonyme -
Bonsoir, je crois que je suis infecté par un logiciel appelé antivirus 7 mais je ne peux ni le supprimer ni le désinstaller. Et en me promenant sur le forum j'ai cru comprendre qu'il fallait procéder au cas par cas à cause d'autres infections possibles. Que puis-je faire pour m'en débarasser ?
Je vous remercie.
Windows Vista/ Internet Explorer

7 réponses

  1. Utilisateur anonyme
     
    bonsoir
    O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe

    [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\McAfee\Common Framework\UdaterUI.exe
    O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    2 anti-virus=conflit

    et ceci

    HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dc72728-e4b6-11de-bd2b-00140b47ee24}]
    shell\AutoRun\command - mjafm.exe
    shell\open\command - mjafm.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6904882e-400b-11de-a416-b902da0f5b88}]
    shell\AutoRun\command - G:\RUNDLL32.EXE

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ceee578c-dff7-11de-8ca9-00140b47ee24}]
    shell\AutoRun\command - F:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6dbe5b0-42f0-11de-9003-00140b47ee24}]
    shell\AutoRun\command - p1y2.cmd
    shell\explore\command - p1y2.cmd
    shell\open\command - p1y2.cmd
    1
  2. Utilisateur anonyme
     
    désinstalle macafe est avast

    Télécharges AD-Remover sur ton bureau :

    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-removersituée sur ton bureau
    ? Au menu principal choisi l'option "Scanner"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    1
  3. Utilisateur anonyme
     
    Bonjour ces un rogue un faux logiciel de sécurité

    plus d'explication

    Fais sa Télécharge rkill
    https://download.bleepingcomputer.com/grinler/rkill.exe
    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:
    http://download.bleepingcomputer.com/grinler/rkill.pif
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    une fois qu'il aura terminé

    Téléchargez MalwareByte's Anti-Malware

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    PUIS

    Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
    * Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
    * Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
    * Poste le contenu de log.txt ainsi que info.txt
    ( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
    0
    1. Yann
       
      Voici la première partie de ma réponse après l'analyse par malware :
      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3928
      Windows 6.0.6002 Service Pack 2
      Internet Explorer 8.0.6001.18882

      29/03/2010 21:19:35
      mbam-log-2010-03-29 (21-19-35).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|)
      Eléments examinés: 228151
      Temps écoulé: 1 hour(s), 30 minute(s), 57 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 3
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 4

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\Windows\System32\UpdateExplorer.dll (Trojan.FakeAlert) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\CLSID\{ae445072-6642-44b1-bd0e-ff64e03e10b5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ae445072-6642-44b1-bd0e-ff64e03e10b5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae445072-6642-44b1-bd0e-ff64e03e10b5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\av7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Windows\System32\UpdateExplorer.dll (Trojan.FakeAlert) -> Delete on reboot.
      C:\Program Files\AV7\antivirus7.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\ProgramData\Microsoft\Windows\Start Menu\AV7\Antivirus7.lnk (Rogue.Antivirus7) -> Quarantined and deleted successfully.
      C:\Users\Yann\Desktop\Antivirus7.lnk (Rogue.Antivirus7) -> Quarantined and deleted successfully.
      0
    2. Utilisateur anonyme
       
      bien le rogue a été su supprimée fais la suite maintenant pour voire si il reste des infection
      0
    3. Yann
       
      Et voici la deuxième partie sur le lien que tu m'as donné.
      http://www.cijoint.fr/cjlink.php?file=cj201003/cijrRP1fIX.txt
      0
    4. Utilisateur anonyme
       
      il me manque le fichier info

      tu le trouveras a la racine de ton disque dur
      0
    5. Yann
       
      http://www.cijoint.fr/cjlink.php?file=cj201003/cij5GbAG8t.txt
      Merci pour ton aide précieuse.
      0
  4. Utilisateur anonyme
     
    tu a macaffe est avast comme antivirus ?
    0
    1. Yann
       
      J'ai juste avast. As-tu quelquechose de mieux à me conseiller mais qui reste gratuit ?
      0
    2. Utilisateur anonyme
       
      oui désinstalle maccaffe est avast
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Yann
     
    Voici le rapport de AD-Remover.
    ======= LOGFILE OF AD-REMOVER 2.0.0.0,B | ONLY XP/VISTA/7 =======
    .
    Updated by C_XX on 28/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Started: 21:35:26 le 30/03/2010 | Normal boot | Option: SCAN
    Executed from: C:\Ad-Remover\ADR.exe
    OS: Microsoft® Windows Vista(TM) HomePremium Service Pack 2 - X86
    Computer name: YANN-PC | Current user: Yann (Administrator)
    .
    ============== FOUND ELEMENTS ==============
    .
    .
    C:\Program Files\Ask.com
    C:\Program Files\Mozilla FireFox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com
    C:\Program Files\pdfforge Toolbar
    C:\Users\Yann\AppData\Local\Temp\AskInstallChecker.exe
    C:\Users\Yann\AppData\Local\Temp\AskSearch
    C:\Users\Yann\AppData\Local\Temp\ASKSUTBLOG
    C:\Users\Yann\AppData\Local\Temp\Del_AskHPRFF.VBS
    C:\Users\Yann\AppData\LocalLow\pdfforge
    C:\Users\Yann\AppData\LocalLow\Search Settings
    C:\Users\Yann\AppData\Roaming\Mozilla\FireFox\Profiles\913e8itk.default\extensions\toolbar@ask.com
    C:\Users\Yann\AppData\Roaming\Mozilla\FireFox\Profiles\913e8itk.default\searchplugins\askcom.xml
    C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
    .
    HKCU\Software\AppDataLow\AskToolbarInfo
    HKCU\Software\AppDataLow\Software\AskToolbar
    HKCU\Software\AppDataLow\Software\pdfforge
    HKCU\Software\Ask.com
    HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\Search Settings
    HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Classes\Installer\Products\A6EB8FE4C9986914497E92C7F5A702E3
    HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A6EB8FE4C9986914497E92C7F5A702E3
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    HKLM\Software\pdfforge
    HKLM\Software\Search Settings
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\GenericAskToolbar.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\TaskScheduler.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\UpdateTask.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
    .
    .
    ============== ADDITIONNAL SCAN ==============
    .
    * Mozilla FireFox Version 3.0.10 (en-US) *
    .
    C:\Users\Yann\..\913e8itk.default\prefs.js - browser.download.dir: C:\\Users\\Yann\\Downloads
    C:\Users\Yann\..\913e8itk.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
    .
    .
    * Internet Explorer Version 8.0.6001.18882 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://search.ke.voila.fr/S/voila?kw=
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: www.orange.fr
    Use Custom Search URL: 1
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Users\Yann\AppData\Local\Temp: 3192 Files, 783 Folders
    C:\Windows\temp: 38 Files, 14 Folders
    C:\Users\Yann\AppData\Roaming\Microsoft\Windows\Cookies: 308 Files, 2 Folders
    Temporary Internet Files: 1956 Files, 46 Folders
    .
    C:\Ad-Remover\Quarantine: 0 Files
    C:\Ad-Remover\Backup: 1 Files
    .
    C:\Ad-Report-SCAN[1].txt - 6837 Byte(s)
    .
    End at: 21:41:17, 30/03/2010
    .
    ============== E.O.F - SCAN[1] ==============
    0
  7. Utilisateur anonyme
     
    fait option nettoyer maintenant
    0
  8. Yann
     
    Voila le nettoyage est terminé mais je n'ai pas vu de rapport.
    0
    1. Utilisateur anonyme
       
      pas grave comment va ton PC ?
      0
    2. Yann
       
      Il a l'air d'aller bien mieux. Je peux ouvrir une page internet sans avoir antivirus7 qui me dit que j'ai une énième infections et qui ne m'oblige plus à acheter l'antivirus. Et antivirus à disparu de mon ordinateur je crois. Par contre je n'ai plus d'antivirus étant donné que j'ai désinstallé avast et mcaffee. Dois-je réinstallé ceux-là où en as-tu des meilleurs à me conseiller ?
      En tout cas je te remercie de ton aide. Sans toi je n'y serais pas arrivé.
      0
    3. Yann
       
      D'accord je ne savais. Je te remercie pour tous tes précieux conseils.
      0
    4. Utilisateur anonyme
       
      de rien

      tu verra le nouveau avast est super est a totalement changer
      0