Virus AV security suite

Fermé

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 - Modifié par fredman le 28/08/2010 à 22:52
fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 - 31 août 2010 à 23:34

Bonjour,
j'ai été infecté par le virus av security suite, j'ai pu l'enlever grace a malware bytes en démarrant en mode sans échec.
Pouvez-vous me dire si il reste des traces de ce virus grâce au rapport hyjack, :

www.cijoint.fr/cjlink.php?file=cj201008/cijDutDZRl.txt

De plus, pouvez-vous me dire comment me protéger efficacement contre ce genre de virus.

merci

A voir également:

Virus AV security suite
Microsoft security essentials - Télécharger - Antivirus & Antimalwares
Message virus iphone site adulte - Forum iPhone
Youtu.be virus - Accueil - Guide virus
Av out - Forum Cinéma / Télé
Svchost.exe virus - Guide

53 réponses

Réponse 41 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
30 août 2010 à 11:26

l'analyse rkill a duré a peine 2 sec...

voici le rapport :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Fred on 30/08/2010 at 11:24:43.

Processes terminated by Rkill or while it was running:

C:\Users\Fred\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Users\Fred\Desktop\rkill.exe

Rkill completed on 30/08/2010 at 11:24:47.

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
30 août 2010 à 11:34

java n'est pas à jour, c'est peut être d'ici que vient le virus, mais j'ai une erreur quand je fais la MAJ : le programme d'installation ne peut pas s'executer avec les parametres de connexion internet actuels

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 11:38

Ok, tu as bien lancé Rkill en tant qu'administrateur ?

Lance MBAM scan rapide

Réponse 42 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 11:50

internet explorer était connecté à un proxy, je l'ai enlevé et j'ai pu installé java ! de plus, dans proxy dans IE, il y a aussi le VPN "the internet", je peux le supprimer? j'utilise un pc fixe et j'ai jamais vu de connexion VPN avant le virus la semaine dernière
maintenant, je suis sur que ça vient de java car l'icone de java s'est mise dans la barre des tache quand le virus est venu
Vu que j'ai seven depuis un mois, des logiciel doivent peut-être est mis à jour

pour Rkill, il faut peut-être que je désactive l'UAC?

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 13:48

Oui je pensais que tu ne l'avais pas réactivé

Relance Rkill, puis un scan rapide malware byte.

Ensuite Met à jour Antivir, et fais un scan complet de tes disques durs

Réponse 43 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
30 août 2010 à 13:51

j'ai réussi à supprimer "the internet" et je n'ai plus de problème, seulement l'explorateur windows qui cesse de fonctionné au démarrage, je ne pense pas utilisé rkill pour l'instant car je n'ai jamais vu si peu de processus en cours, d'habitude j'ai une dizaine de svchost.exe et là plus aucun, je pense faire une réparation de windows

Réponse 44 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 14:11

> processus en cours

https://www.casimages.com/i/100830021152295107.jpg.html

processus avant :

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\lxdncoms.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\Internet Download Manager\IDMan.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc.exe
C:\Users\Fred\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Windows\System32\StikyNot.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files (x86)\Internet Download Manager\IEMonitor.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\System32\svchost.exe
C:\Program Files\7-Zip\7zFM.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 53

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 14:49

Effectivement...

Réparer windows ce n'est pas bête, ici tu trouves la marche à suivre : http://www.chantal11.com/2010/06/windows-7-reparation-demarrage-par-console-winre/

Et tes fichiers personnels sont gardés, donc je dirai, fais le

Réponse 46 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 15:31

windows ne me propose pas de réparer, seulement d'installer
j'ai essayer avec f8 au démarrage et j'ai une erreur : " windows failed to start, a recent hardware or software might be the cause, statut : 0cx0000225 ,
info : the boot selection failed because a required device is inaccessible

Si je fais une restauration, java sera toujours à jour et je n'aurais plus le virus?

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 17:16

c'est bon, j'ai tout les processus en faisant la restauration du point crée hier soir,
par contre, j'ai encore le VPN "the internet" quand je clique sur l'icone du réseau, je peux te poster un rapport hijack?

edit : je viens d'aller revoir et je n'ai plus les svchost.exe... et beaucoup moins de processus, c'est normal ou pas?
et j'ai toujours l'erreur quand je démarre en réparent avec F8...est-ce que j'essaie de restauré à un point plus ancien?

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 19:07

Poste le rapport Hijack oui

Attends avant de restaurer...

Réponse 47 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 20:28

au moment d'utilise hyjack, erreur au moment du scan du a l'uac je pense :

"For some reason your system denied write access to the Host files. If any hijacked files are in this file, HijackThis
may NOT be able to fix this. If that happens you need to edit the file yourself. To do this, click start, RUN, and type:

notepad C:Windows\System32\Drivers\etc\hosts

and press enter. Find the line{s} Hijack This reports and delete them. Save the file as "hosts" with quotes and reboot.

For Vista, simply, exit HijackThis, right click the HijackThis Icon, choose "run as adminstrator".

mais le scan s'est quand fait : https://www.cjoint.com/?iEulBzoRny

Réponse 48 / 53

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 21:07

Ouvre ton menu, tape "regedit"

Cherche ces clefs :

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter "Enabled" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:1041"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" = "1"

Et Supprime les (clique droit dessus, supprimer)

Réponse 49 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 21:31

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:1041"
je ne vois pas ces clés et elles ne sont pas dans le rapport hyjack

et cette clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" = "1" , la valeur et de 0 dans le registre, je suprrime quand meme?

Réponse 50 / 53

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 21:38

non laisse, elle est bonne elle (du fait du 0)

Tu n'es pas infecté...

Tu penses restaurer à un point plus ancien ? Tu te rapelle de la date ou tu as chopé AV security ?

Réponse 51 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
Modifié par fredman le 30/08/2010 à 22:31

le problème c'est que aucun point de restauration n'a été crée avant le virus... mais de toute façon, je n'ai plus de problème mise à part l'erreur lors de la réparation.
cependant, il doit rester encore des traces du virus vu les clé que je viens d'effacer?

Réponse 52 / 53

buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
30 août 2010 à 22:31

Ah bon ?!

Donc pas besoin de cette restauration ;)

Réponse 53 / 53

fredman Messages postés 313 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 21 septembre 2017 6
31 août 2010 à 23:34

ok mais quelqu'un peut-il me dire si il reste des trace de ce virus?

merci

Discussions similaires

Code de réinitialisation mdp facebook sans le demander

Est ce que le site tlauncher est dangereux ?

Softonic,est-ce un virus ?

Analyse de l'appli "AI SECURITY"

Boîte mail piratée ?