Virus AV security suite

fredman Messages postés 331 Statut Membre -  
fredman Messages postés 331 Statut Membre -
Bonjour,
j'ai été infecté par le virus av security suite, j'ai pu l'enlever grace a malware bytes en démarrant en mode sans échec.
Pouvez-vous me dire si il reste des traces de ce virus grâce au rapport hyjack, :

www.cijoint.fr/cjlink.php?file=cj201008/cijDutDZRl.txt

De plus, pouvez-vous me dire comment me protéger efficacement contre ce genre de virus.

merci

53 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème est l'infection par AV Security Suite et l'éventuelle présence de traces résiduelles visibles dans le rapport HijackThis, ainsi que les mesures de protection à adopter. Des éléments signalés par le rapport HijackThis et les échanges indiquent des entrées de registre et des paramètres proxy associés, mais les avis restent divergents sur l'existence de traces actives. En pratique, Malwarebytes a détecté et mis en quarantaine deux éléments (Trojan.FakeAlert.Gen et Trojan.Dropper), ce qui suggère que le système est potentiellement nettoyé mais nécessite des vérifications supplémentaires. Pour se protéger durablement, des mesures recommandent le maintien des mises à jour système et navigateurs, des vérifications régulières par antivirus et anti-malware, et une attention renforcée aux paramètres réseau et aux points de restauration.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Salut !

    Tu es toujours infecté par d'autre saloperies...

    Télécharge ZHPdiag : http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ZHPDiag_1.26.53.exe
    Avec XP :

    * Lancer ZHPDiag..exe par un double-clique

    ....Ne modifiez pas les paramètres
    ....Après l'installation, ZHPDiag devrait s'ouvrir ...ou faites le en tant qu'administrateur (clique droit sur l'icone...)

    * Avant de lancer un scan, va dans Options (Tournevis) et fais "tout cocher" les éléments à inspecter

    * Cliquer sur la Loupe ..pour créer le rapport.

    ....Attendez que le rapport ZHPDiag.txt soit complété,

    * Cliquer sur la Disquette et sauvegarder le rapport,

    Ce fichier étant de trop grande taille, pour être posté tel quel,

    * Utiliser l'hébergeur CJoint pour poster ce rapport "en page Web".
    ~~ Faites nous confiance ~~
    Mettez Toujours vos navigateurs internet à jour ! (IE8, Mozilla 3.6.8)
    0
  2. fredman Messages postés 331 Statut Membre 7
     
    merci, et dois-je acccepter la license sigcheck pendant le scan?
    0
    1. buginformatik Messages postés 2210 Statut Contributeur 54
       
      décline ;)
      0
  3. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Avec Hijackthis, tu avais fais un scan complet, rapide ou juste des fichiers "av security suite" en question ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. fredman Messages postés 331 Statut Membre 7
     
    scan complet pourquoi?
    0
  6. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Disons que je suis surpris que Hijackthis n'ai pas trouvé d'autres infections. Tu as bien le logiciel à jour ?
    0
  7. fredman Messages postés 331 Statut Membre 7
     
    oui, la 2.0.4
    0
    1. buginformatik Messages postés 2210 Statut Contributeur 54
       
      Pardon, boulette de ma part, je parlais de MBAM -__-"
      0
  8. fredman Messages postés 331 Statut Membre 7
     
    oui mais j'ai fais l'analyse en mode sans échec avec réseau, comme c'est dit sur le net
    0
  9. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Essaie un scan rapide en mode normal là, en vérifiant bien si c'est tu as bien les dernières mises à jour
    0
  10. fredman Messages postés 331 Statut Membre 7
     
    il n'a rien trouvé, et voici ce qu'il a trouvé tout a l'heure en mode sans échec :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4462

    Windows 6.1.7600 (Safe Mode)
    Internet Explorer 8.0.7600.16385

    28/08/2010 21:37:30
    mbam-log-2010-08-28 (21-37-30).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 134103
    Temps écoulé: 3 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ufrccvcv (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Fred\AppData\Local\Temp\0.6628653049487235.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\Fred\AppData\Local\mxaeakiot\vfiaiiashdw.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
    0
  11. fredman Messages postés 331 Statut Membre 7
     
    rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 00:11:45 le 29/08/2010, Mode normal

    Microsoft Windows 7 Professionnel (X64)
    Fred@FRED-PC (MSI MS-7369)

    ============== RECHERCHE ==============

    0,Dossier trouvé: C:\Program Files (x86)\Conduit
    0,Dossier trouvé: C:\ProgramData\Viewpoint
    0,Dossier trouvé: C:\Program Files (x86)\Viewpoint

    1,Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT2552113
    0,Clé trouvée: HKLM\Software\Conduit
    0,Clé trouvée: HKLM\Software\MetaStream
    0,Clé trouvée: HKLM\Software\Viewpoint
    0,Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
    3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Users\Fred\AppData\Roaming\Mozilla\FireFox\Profiles\z7z70cqs.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\Fred\\Downloads
    browser.search.defaultenginename, AOL Search
    browser.search.defaulturl, hxxp://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chro...
    browser.search.selectedEngine, Google
    browser.startup.homepage, hxxp://www.dartybox.com
    browser.startup.homepage_override.mstone, rv:1.9.2.8
    keyword.URL, hxxp://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-aolTB50CL-ab-en-us&...

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://www.aol.com
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 29/08/2010 (3619 Octet(s))

    Fin à: 00:13:07, 29/08/2010

    ============== E.O.F ==============
    0
    1. buginformatik Messages postés 2210 Statut Contributeur 54
       
      Réouvre Ad-remover et nettoie, colle le rapport
      0
  12. fredman Messages postés 331 Statut Membre 7
     
    ok et sinon, ce sont des infection dangereuse ou pas?

    rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:19:07 le 29/08/2010, Mode normal

    Microsoft Windows 7 Professionnel (X64)
    Fred@FRED-PC (MSI MS-7369)

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Program Files (x86)\Conduit
    0,Dossier supprimé: C:\ProgramData\Viewpoint
    0,Dossier supprimé: C:\Program Files (x86)\Viewpoint

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2552113
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKLM\Software\MetaStream
    0,Clé supprimée: HKLM\Software\Viewpoint
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Users\Fred\AppData\Roaming\Mozilla\FireFox\Profiles\z7z70cqs.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\Fred\\Downloads
    browser.search.defaultenginename, AOL Search
    browser.search.defaulturl, hxxp://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chro...
    browser.search.selectedEngine, Google
    browser.startup.homepage, hxxp://www.dartybox.com
    browser.startup.homepage_override.mstone, rv:1.9.2.8
    keyword.URL, hxxp://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-aolTB50CL-ab-en-us&...

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 42 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 29/08/2010 (3920 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 29/08/2010 (3748 Octet(s))

    Fin à: 00:20:12, 29/08/2010

    ============== E.O.F ==============
    0
  13. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Oui..

    Essaye ceci, télécharge : http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Puis (vérifie bien que l'UAC est désactivée), dézippe le, et excécute SmitfraudFix.exe en tant qu'administrateur

    Puis lance l'option 1, et colle moi le rapport (C:\rapport.txt)
    0
  14. fredman Messages postés 331 Statut Membre 7
     
    ok et je crois savoir pourquoi j'ai toutes ces infections, l'UAC était déjà désactivé... j'ai seven depuis un mois

    avira considère reboot.exe dans l'archive comme un virus
    0
    1. buginformatik Messages postés 2210 Statut Contributeur 54
       
      oublie... c'est pas le cas

      Pour l'UAC, ça n'explique pas tout mais c'est peut être une raison oui
      0
  15. fredman Messages postés 331 Statut Membre 7
     
    je n'ai pas le fichier SmitfraudFix.exe, c'est .cmd
    0
    1. buginformatik Messages postés 2210 Statut Contributeur 54
       
      c'est bien celui là, .cmd ;)
      0
  16. fredman Messages postés 331 Statut Membre 7
     
    0
    1. buginformatik Messages postés 2210 Statut Contributeur 54
       
      ok c'est clean... refais voir un scan ZHP et colle le moi
      0
  17. fredman Messages postés 331 Statut Membre 7
     
    voila : https://www.cjoint.com/?iDa0TovmEI

    sinon, quand j'analyse le rapport hyjack ici : http://www.hijackthis.de/fr, ça met que cette ligne est infecté : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522, pourtant je n'utilise pas de proxy, je l'ai enlevé avec le virus
    0
  18. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Oui je sais, mais tu as d'autres infections

    Téléchargez SUPERAntiSpyware (SAS) puis installe le et mette le à jour.

    * Pour scanner son ordinateur avec SUPERAntiSpyware : http://cdn.superantispyware.com/SUPERAntiSpyware.exe cliquez sur le bouton : Scan your Computer.
    * Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    * Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.
    0
  19. fredman Messages postés 331 Statut Membre 7
     
    voici le rapport :

    SUPERAntiSpyware Scan Log
    https://www.superantispyware.com/

    Generated 08/29/2010 at 01:18 AM

    Application Version : 4.42.1000

    Core Rules Database Version : 5424
    Trace Rules Database Version: 3236

    Scan type : Quick Scan
    Total Scan Time : 00:14:34

    Memory items scanned : 540
    Memory threats detected : 0
    Registry items scanned : 2582
    Registry threats detected : 3
    File items scanned : 16441
    File threats detected : 7

    Adware.Tracking Cookie
    C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@msnportal.112.2o7[1].txt
    C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@apmebf[1].txt
    C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@atdmt[1].txt
    C:\Users\Fred\AppData\Roaming\Microsoft\Windows\Cookies\fred@mediaplex[2].txt
    mediagen-tv.blog-video.tv [ C:\Users\Fred\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8NJ2QHB4 ]

    Disabled.SecurityCenterOption
    (x64) HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
    (x64) HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
    (x64) HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY

    Trojan.Agent/Gen-SVC[Fake]
    C:\PROGRAM FILES (X86)\ACTIVISION\CALL OF DUTY 6 - MODERN WARFARE 2\CO-OP_STARTER.EXE

    Trojan.Agent/Gen-Goo
    C:\PROGRAM FILES (X86)\ACTIVISION\CALL OF DUTY 6 - MODERN WARFARE 2\MW2ADMINTOOL 32BIT\MW2ADMINTOOL.EXE
    0
    1. fredman Messages postés 331 Statut Membre 7
       
      les 2 trojans ne sont pas des virus
      0
  • 1
  • 2
  • 3