Virus AV security suite

Question

Bonjour,     
j'ai été infecté par le virus av security suite, j'ai pu l'enlever grace a malware bytes en démarrant en mode sans échec.     
Pouvez-vous me dire si il reste des traces de ce virus grâce au rapport hyjack, :     

www.cijoint.fr/cjlink.php?file=cj201008/cijDutDZRl.txt  

De plus, pouvez-vous me dire comment me protéger efficacement contre ce genre de virus.     

merci     




    



Configuration: Configuration: Windows 7 / Firefox 3.6.8

buginformatik · Answer

Salut !

Tu es toujours infecté par d'autre saloperies... 

Télécharge ZHPdiag : http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ZHPDiag_1.26.53.exe 
Avec XP : 

* Lancer ZHPDiag..exe par un double-clique 


....Ne modifiez pas les paramètres 
....Après l'installation, ZHPDiag devrait s'ouvrir ...ou faites le en tant qu'administrateur (clique droit sur l'icone...) 

* Avant de lancer un scan, va dans Options (Tournevis) et fais "tout cocher" les éléments à inspecter 


* Cliquer sur la Loupe ..pour créer le rapport. 

....Attendez que le rapport ZHPDiag.txt soit complété, 

* Cliquer sur la Disquette et sauvegarder le rapport, 


Ce fichier étant de trop grande taille, pour être posté tel quel, 

* Utiliser l'hébergeur CJoint pour poster ce rapport "en page Web".  
~~ Faites nous confiance ~~ 
Mettez Toujours vos navigateurs internet à jour ! (IE8, Mozilla 3.6.8)

fredman · Answer

merci, et dois-je acccepter la license sigcheck pendant le scan?

fredman · Answer

ok voici le rapport : https://www.cjoint.com/?iCxLqJNClb

buginformatik · Answer

Avec Hijackthis, tu avais fais un scan complet, rapide ou juste des fichiers "av security suite" en question ?

fredman · Answer

scan complet pourquoi?

buginformatik · Answer

Disons que je suis surpris que Hijackthis n'ai pas trouvé d'autres infections. Tu as bien le logiciel à jour ?

fredman · Answer

oui, la 2.0.4

fredman · Answer

oui mais j'ai fais l'analyse en mode sans échec avec réseau, comme c'est dit sur le net

buginformatik · Answer

Essaie un scan rapide en mode normal là, en vérifiant bien si c'est tu as bien les dernières mises à jour

fredman · Answer

il n'a rien trouvé, et voici ce qu'il a trouvé tout a l'heure en mode sans échec : 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4462

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

28/08/2010 21:37:30
mbam-log-2010-08-28 (21-37-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 134103
Temps écoulé: 3 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ufrccvcv (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Fred\AppData\Local\Temp\0.6628653049487235.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Fred\AppData\Local\mxaeakiot\vfiaiiashdw.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

buginformatik · Answer

Okay !

Suis les instructions données ici : https://www.androidworld.fr/

Et colle l'analyse

fredman · Answer

rapport : 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 00:11:45 le 29/08/2010, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
Fred@FRED-PC (MSI MS-7369) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Program Files (x86)\Conduit
0,Dossier trouvé: C:\ProgramData\Viewpoint
0,Dossier trouvé: C:\Program Files (x86)\Viewpoint

1,Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT2552113
0,Clé trouvée: HKLM\Software\Conduit
0,Clé trouvée: HKLM\Software\MetaStream
0,Clé trouvée: HKLM\Software\Viewpoint
0,Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\Fred\AppData\Roaming\Mozilla\FireFox\Profiles\z7z70cqs.default\Prefs.js --
browser.download.lastDir, C:\Users\Fred\Downloads
browser.search.defaultenginename, AOL Search
browser.search.defaulturl, hxxp://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chro...
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.dartybox.com
browser.startup.homepage_override.mstone, rv:1.9.2.8
keyword.URL, hxxp://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-aolTB50CL-ab-en-us&...

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://www.aol.com
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 29/08/2010 (3619 Octet(s)) 

Fin à: 00:13:07, 29/08/2010 
 
============== E.O.F ==============

fredman · Answer

ok et sinon, ce sont des infection dangereuse ou pas?

rapport : 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:19:07 le 29/08/2010, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
Fred@FRED-PC (MSI MS-7369) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Program Files (x86)\Conduit
0,Dossier supprimé: C:\ProgramData\Viewpoint
0,Dossier supprimé: C:\Program Files (x86)\Viewpoint

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2552113
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\MetaStream
0,Clé supprimée: HKLM\Software\Viewpoint
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\Fred\AppData\Roaming\Mozilla\FireFox\Profiles\z7z70cqs.default\Prefs.js --
browser.download.lastDir, C:\Users\Fred\Downloads
browser.search.defaultenginename, AOL Search
browser.search.defaulturl, hxxp://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chro...
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.dartybox.com
browser.startup.homepage_override.mstone, rv:1.9.2.8
keyword.URL, hxxp://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-aolTB50CL-ab-en-us&...

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 42 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/08/2010 (3920 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 29/08/2010 (3748 Octet(s)) 

Fin à: 00:20:12, 29/08/2010 
 
============== E.O.F ==============

buginformatik · Answer

Oui..

Essaye ceci, télécharge : http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Puis (vérifie bien que l'UAC est désactivée), dézippe le, et excécute SmitfraudFix.exe en tant qu'administrateur

Puis lance l'option 1, et colle moi le rapport (C:\rapport.txt)

fredman · Answer

ok et je crois savoir pourquoi j'ai toutes ces infections, l'UAC était déjà désactivé... j'ai seven depuis un mois 

avira considère reboot.exe dans l'archive comme un virus

fredman · Answer

je n'ai pas le fichier SmitfraudFix.exe, c'est .cmd

fredman · Answer

ok le voici :

https://www.cjoint.com/?iDaTWPktur

fredman · Answer

voila : https://www.cjoint.com/?iDa0TovmEI 

sinon, quand j'analyse le rapport hyjack ici : http://www.hijackthis.de/fr, ça met que cette ligne est infecté : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522, pourtant je n'utilise pas de proxy, je l'ai enlevé avec le virus

buginformatik · Answer

Oui je sais, mais tu as d'autres infections 

Téléchargez SUPERAntiSpyware (SAS) puis installe le et mette le à jour.

    * Pour scanner son ordinateur avec SUPERAntiSpyware : http://cdn.superantispyware.com/SUPERAntiSpyware.exe  cliquez sur le bouton : Scan your Computer.
    * Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    * Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.

fredman · Answer

voici le rapport :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 08/29/2010 at 01:18 AM

Application Version : 4.42.1000

Core Rules Database Version : 5424
Trace Rules Database Version: 3236

Scan type       : Quick Scan
Total Scan Time : 00:14:34

Memory items scanned      : 540
Memory threats detected   : 0
Registry items scanned    : 2582
Registry threats detected : 3
File items scanned        : 16441
File threats detected     : 7

Adware.Tracking Cookie
	C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@msnportal.112.2o7[1].txt
	C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@apmebf[1].txt
	C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@atdmt[1].txt
	C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@mediaplex[2].txt
	mediagen-tv.blog-video.tv [ C:\Users\Fred\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8NJ2QHB4 ]

Disabled.SecurityCenterOption
	(x64) HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
	(x64) HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
	(x64) HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY

Trojan.Agent/Gen-SVC[Fake]
	C:\PROGRAM FILES (X86)\ACTIVISION\CALL OF DUTY 6 - MODERN WARFARE 2\CO-OP_STARTER.EXE

Trojan.Agent/Gen-Goo
	C:\PROGRAM FILES (X86)\ACTIVISION\CALL OF DUTY 6 - MODERN WARFARE 2\MW2ADMINTOOL 32BIT\MW2ADMINTOOL.EXE

gen-hackman · Answer

salut :

pour avancer :

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option Tools puis Kill Proxy

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse 

ensuite :

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

fredman · Answer

je n'arrive pas à aller dans tools, quand je clique, une fenêtre apparait puis disparait : "2nd.exe n'est pas reconnu en tant que commande interne ou externe"  

edit : c'est bon, ça marche quand je passe par le dossier et que je clique sur list_kill'em.exe, je verrais ça demain

gen-hackman · Answer

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

fredman · Answer

sais-tu où s'est mis le rapport pour le proxy? (ça m'a mis que le proxy était enlevé)

voici le rapport pour l'option clean :  



¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.1 ¤¤¤¤¤¤¤¤¤¤  
  
User : Fred (Administrateurs)  
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00 
Start at: 09:21:20 | 29/08/2010 

AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ 
Microsoft Windows 7 Professionnel  (6.1.7600 64-bit) #  
Internet Explorer 8.0.7600.16385 
Windows Firewall Status : Enabled 

C:\ -> Disque fixe local | 166,02 Go (65,43 Go free) | NTFS 
D:\ -> Disque CD-ROM 
E:\ -> Disque CD-ROM 
F:\ -> Disque fixe local | 299,74 Go (292,41 Go free) [Documents] | NTFS 
G:\ -> Disque amovible 
H:\ -> Disque amovible 
I:\ -> Disque amovible 
J:\ -> Disque amovible 
K:\ -> Disque CD-ROM 
L:\ -> Disque fixe local | 931,28 Go (632,62 Go free) | FAT32 
M:\ -> Disque CD-ROM 
  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko) 

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe ----1668 Ko 
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe ----28456 Ko 
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ----2972 Ko 
C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe ----5584 Ko 
C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc.exe ----1384 Ko 
C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE ----8976 Ko 
C:\Program Files (x86)\Internet Download Manager\IDMan.exe ----13220 Ko 
C:\Users\Fred\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe ----1240 Ko 
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe ----3196 Ko 
C:\Program Files (x86)\Internet Download Manager\IEMonitor.exe ----6036 Ko 
C:\Windows\SysWOW64\cmd.exe ----3988 Ko 
C:\Program Files (x86)\Mozilla Firefox\firefox.exe ----43640 Ko 
C:\Program Files (x86)\List_Kill'em\ERUNT.EXE ----6828 Ko 
C:\Program Files (x86)\List_Kill'em\pv.exe ----5736 Ko 
  
¤¤¤¤¤¤¤¤¤¤ Files/folders :  

  
Quarantined & Deleted !! : C:\Windows\System32	mp.reg  
Quarantined & Deleted !! : C:\Windows\Sysnative\404Fix.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\dumphive.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\IEDFix.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\Process.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\SrchSTS.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\VACFix.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\VCCLSID.exe  
Quarantined & Deleted !! : C:\Windows\Sysnative\WS2Fix.exe  
Quarantined & Deleted !! : C:\Users\Fred\AppData\Local\GDIPFONTCACHEV1.DAT  
Quarantined & Deleted !! : C:\Users\Fred\LOCAL Settings\Temp\SSUPDATE64.EXE  
Quarantined & Deleted !! : C:\Users\Fred\LOCAL Settings\Temp\catchme.dll  
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$IHVZOAV.Txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$II770Y4.txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$IOH51OY.xtm    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$IRCFFUI.txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$IRTXB34.exe    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$ISZZVQP.txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$IZTUB7P.txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$RHVZOAV.Txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$RI770Y4.txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$RRCFFUI.txt    
Deleted !! : C:\$Recycle.bin\S-1-5-21-3266684986-1484919309-4129407276-1000\$RSZZVQP.txt    
  
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤ 

127.0.0.1       localhost    

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤ 

Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop   
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges   
Deleted : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0055c089-8582-441b-a0bf-17b458c2a3a8}"   
Deleted : HKCR\CLSID\{0055c089-8582-441b-a0bf-17b458c2a3a8}   

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤ 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] 
Start Page =          https://www.msn.com/fr-fr/?ocid=iehp 
Local Page =          C:\WINDOWS\system32\blank.htm 
Default_Search_URL =          https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
Default_Page_URL =          https://www.msn.com/fr-fr/?ocid=iehp 
Search Page =          https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 
Start Page =          https://www.google.com/?gws_rd=ssl 
Local Page =          C:\WINDOWS\system32\blank.htm 
Search Page =          http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤ 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]  
FirstRunDisabled =       1 ()  
AntiVirusDisableNotify =       0 (0x0)  
FirewallDisableNotify =       0 (0x0)  
UpdatesDisableNotify =       0 (0x0)  
AntiVirusOverride =       0 (0x0)  
FirewallOverride =       0 (0x0)  
  
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤ 

 Ndisuio : Start = 3    
 EapHost : Start = 2    
 Wlansvc : Start = 2    
 SharedAccess : Start = 2    
 windefend : Start = 2    
 wuauserv : Start = 2    
 wscsvc : Start = 2    

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
Disk Cleaned 
anti-ver blaster : OK  
Prefetch cleaned  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤  

FEATURE_BROWSER_EMULATION | svchost :  
==================================== 
  

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net 

device: opened successfully 
user: MBR read successfully 
kernel: error reading MBR  
  
  
  
  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

buginformatik · Answer

C'est bien on avance.

Va sur https://www.virustotal.com/gui/
On va vérifier pour Call of duty quand même. 

Copies et colle sur virus total :

C:\PROGRAM FILES (X86)\ACTIVISION\CALL OF DUTY 6 - MODERN WARFARE 2\CO-OP_STARTER.EXE

et lance la recherche, colle le rapport ici

Meme chose :

C:\PROGRAM FILES (X86)\ACTIVISION\CALL OF DUTY 6 - MODERN WARFARE 2\MW2ADMINTOOL 32BIT\MW2ADMINTOOL.EXE

fredman · Answer

1er fichier :

MD5:	509433606bccc2a8b975f920d12da2ed
Date first seen:	2009-11-18 02:08:40 (UTC)
Date last seen:	2010-07-29 20:25:49 (UTC)
Detection ratio:	10/42

buginformatik · Answer

.... Ca pose pb quand même... Tu as téléchargé le jeux, ou c'est acheté ?

fredman · Answer

non mais c'est sur ce sont ne pas des virus, au pire je peux les enlever, c'est fait par une communauté de joueur pour jouer en ligne mais ils me servent pas

fredman · Answer

rapport : https://www.cjoint.com/?iDlKJbNhfU

fredman · Answer

ok c'est fait merci

buginformatik · Answer

Trouve ZHPfix, puis 'Exécute en tant qu'administrateur', puis lance le nettoyeur de tools (le A rouge), puis sélectionne tous les logiciels utilisés, enfin nettoie les (redémarrage peut être nécessaire.)

fredman · Answer

ok c'est fait

buginformatik · Answer

Ensuite, je vais te proposer de télécharger un outil efficace et simple d'usage: Ccleaner 

http://download.piriform.com/ccsetup235.exe 

Voilà un tuto de Ccm sur le sujet : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/#tutoriel-ccleaner 

Tu peux le paramétrer à ta guise, et faire des nettoyages de temps en temps.  
N'oublies pas de nettoyer le registre en faisant une sauvegarde. 

Tu pourra depuis Ccleaner (onglet outils) désintaller ZHPdiag 
~~ Faites nous confiance ~~ 
Mettez Toujours vos navigateurs internet à jour ! (IE8, Mozilla 3.6.8)

fredman · Answer

ok merci de ton aide :)

buginformatik · Answer

Pas de Pb,  tu peux finir en mettant ton antivirus à jour et faire un scan...

Ciaoo

fredman · Answer

Une dernière question, est-il nécessaire d'activer l'UAC?

merci

buginformatik · Answer

Pas nécessairement, mais c'est toujours un plus ;) 

Tu peux le régler au minimum : https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/ 

Aussi met à jour Java : https://www.java.com/en/download/uninstalltool.jsp

fredman · Answer

le virus est revenu! :( j'ai eu le temps de faire une analyse malwarebytes et redémarré, pour l'instant, il n'est plus là. Il ma proposé d'installé antimalware doctor ! De plus, je ne trouve pas ça normal que qand je clique sur l'icone du réseau dans la barre des tache, il y a un acces à distance ou VPN du nom de "the internet"

buginformatik · Answer

Bon..... 

Télécharge : https://download.bleepingcomputer.com/grinler/rkill.exe  
Pour 7, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil. 
Il ne nécessite pas d'installation  

Ne redémarrez pas votre ordinateur après l'exécution de rkill car les processus malveillants se réactivent. 

Poste le rapport rkill.log  

Puis fait un scan complet des tes disques durs avec MBAM (Mise à jour avant) 



~~ Faites nous confiance ~~ 
Mettez Toujours vos navigateurs internet à jour ! (IE8, Mozilla 3.6.8)

fredman · Answer

ok, j'étais déjà en train de faire une analayse complète de malwarebytes, je la termine avant

fredman · Answer

l'analyse rkill a duré a peine 2 sec...

voici le rapport :

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Fred on 30/08/2010 at 11:24:43. 


Processes terminated by Rkill or while it was running: 


C:\Users\Fred\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Users\Fred\Desktop\rkill.exe


Rkill completed on 30/08/2010  at 11:24:47.

fredman · Answer

internet explorer était connecté à un proxy, je l'ai enlevé et j'ai pu installé java ! de plus, dans proxy dans IE, il y a aussi le VPN "the internet", je peux le supprimer? j'utilise un pc fixe et j'ai jamais vu de connexion VPN avant le virus la semaine dernière  
maintenant, je suis sur que ça vient de java car l'icone de java s'est mise dans la barre des tache quand le virus est venu 
Vu que j'ai seven depuis un mois, des logiciel doivent peut-être est mis à jour

pour Rkill, il faut peut-être que je désactive l'UAC?

fredman · Answer

j'ai réussi à supprimer "the internet" et je n'ai plus de problème, seulement l'explorateur windows qui cesse de fonctionné au démarrage, je ne pense pas utilisé rkill pour l'instant car je n'ai jamais vu si peu de processus en cours, d'habitude j'ai une dizaine de svchost.exe et là plus aucun, je pense faire une réparation de windows

fredman · Answer

> processus en cours  

https://www.casimages.com/i/100830021152295107.jpg.html

processus avant : 

»»»»»»»»»»»»»»»»»»»»»»»» Process  

C:\Windows\system32\csrss.exe  
C:\Windows\system32\wininit.exe  
C:\Windows\system32\csrss.exe  
C:\Windows\system32\services.exe  
C:\Windows\system32\lsass.exe  
C:\Windows\system32\lsm.exe  
C:\Windows\system32\winlogon.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\system32
vvsvc.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\System32\svchost.exe  
C:\Windows\System32\svchost.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\system32
vvsvc.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\System32\spoolsv.exe  
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe  
C:\Windows\system32\svchost.exe  
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\system32\lxdncoms.exe  
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe  
C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\system32	askhost.exe  
C:\Windows\system32\Dwm.exe  
C:\Windows\Explorer.EXE  
C:\Program Files\Windows Sidebar\sidebar.exe  
C:\Program Files (x86)\Internet Download Manager\IDMan.exe  
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe  
C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc.exe  
C:\Users\Fred\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe  
C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE  
C:\Windows\System32\StikyNot.exe  
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe  
C:\Windows\system32\svchost.exe  
C:\Windows\system32\WUDFHost.exe  
C:\Program Files (x86)\Internet Download Manager\IEMonitor.exe  
C:\Program Files (x86)\Mozilla Firefox\firefox.exe  
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe  
C:\Windows\System32\svchost.exe  
C:\Program Files\7-Zip\7zFM.exe  
C:\Windows\system32\cmd.exe  
C:\Windows\system32\conhost.exe  
C:\Windows\system32\wbem\wmiprvse.exe

buginformatik · Answer

Effectivement... 

Réparer windows ce n'est pas bête, ici tu trouves la marche à suivre : http://www.chantal11.com/2010/06/windows-7-reparation-demarrage-par-console-winre/

Et tes fichiers personnels sont gardés, donc je dirai, fais le

fredman · Answer

windows ne me propose pas de réparer, seulement d'installer  
j'ai essayer avec f8 au démarrage et j'ai une erreur : " windows failed to start, a recent hardware or software might be the cause, statut : 0cx0000225 ,
 info : the boot selection failed because a required device is inaccessible

Si je fais une restauration, java sera toujours à jour et je n'aurais plus le virus?

fredman · Answer

au moment d'utilise hyjack, erreur au moment du scan du a l'uac je pense :   

"For some reason your system denied write access to the Host files. If any hijacked files are in this file, HijackThis   
may NOT be able to fix this. If that happens you need to edit the file yourself. To do this, click start, RUN, and type:   

notepad C:Windows\System32\Drivers\etc\hosts   

and press enter. Find the line{s} Hijack This reports and delete them. Save the file as "hosts" with quotes and reboot.   

For Vista, simply, exit HijackThis, right click the HijackThis Icon, choose "run as adminstrator".  

mais le scan s'est quand fait : https://www.cjoint.com/?iEulBzoRny

buginformatik · Answer

Ouvre ton menu, tape "regedit" Cherche ces clefs : HKEY_CURRENT_USER\Software\avsoft HKEY_CURRENT_USER\Software\avsuite HKEY_LOCAL_MACHINE\SOFTWARE\avsoft HKEY_LOCAL_MACHINE\SOFTWARE\avsuite HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter "Enabled" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = "" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:1041" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" = "1" Et Supprime les (clique droit dessus, supprimer)

fredman · Answer

HKEY_CURRENT_USER\Software\avsoft    
HKEY_CURRENT_USER\Software\avsuite    
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft    
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite    
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:1041"  
je ne vois pas ces clés et elles ne sont pas dans le rapport hyjack

et cette clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" = "1" , la valeur et de 0 dans le registre, je suprrime quand meme?

buginformatik · Answer

non laisse, elle est bonne elle (du fait du 0)

Tu n'es pas infecté...

Tu penses restaurer à un point plus ancien ? Tu te rapelle de la date ou tu as chopé AV security ?

fredman · Answer

le problème c'est que aucun point de restauration n'a été crée avant le virus... mais de toute façon, je n'ai plus de problème mise à part l'erreur lors de la réparation.
cependant, il doit rester encore des traces du virus vu les clé que je viens d'effacer?

buginformatik · Answer

Ah bon ?!

Donc pas besoin de cette restauration ;)

fredman · Answer

ok mais quelqu'un peut-il me dire si il reste des trace de ce virus?

merci

Virus AV security suite

53 réponses

Discussions similaires

Newsletters