Antivirus 2009 a encore frappe....

Résolu
Matt. 62 Messages postés 41 Statut Membre -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
Il y a 2 jour j'ai ete infecter par le virus "Antivirus 2009" j'ai reussi a me debrouille un peu et supprimer une partie de cette antivirus mais quand jallume une page google en dessou de recherche reste afficher encore :

Google has detected unregistered Antivirus 2009 copy on your computer. Google recommends you to activate Antivirus 2009 to protect your PC from malicious intrusions from the Internet.

Et quand je lance une recherche j'obtient ma recherche quelque seconde et une page blanche se met (about:blank) avec ecrit :

Internet Explorer Warning - visiting this web site may harm your computer!
Most likely causes:
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computer
What you can try:
Activate Antivirus 2009 for secure Internet surfing (Recommended).
Check your computer for viruses and malware.
More information

Il y a 5 min sa ne me le faisait plus je croye que s'etait enfin fini ..... mais trop de reoujisance sa me la refait ausitot :/
Je compte sur vous pour m'aider a resoudre se probleme.
Merci d'avance. Matt
Configuration: Windows XP
Firefox 3.0.4

62 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Infection par Antivirus 2009 sur Windows XP provoque des redirections Google et des pages d'alerte Internet Explorer Warning, avec des symptômes persistants malgré des tentatives de nettoyage. La meilleure réponse préconise d'utiliser Malwarebytes Anti-Malware, de mettre à jour le logiciel, puis d’effectuer un examen complet et de supprimer les éléments détectés pour générer un rapport. En complément, des outils comme Ad-Remover ou HijackThis peuvent être employés, mais leur utilisation nécessite d’inclure les rapports et de redémarrer, afin d’éviter la réinfection. Enfin, la suppression manuelle des lignes parasites peut ne pas suffire et peut nécessiter des analyses répétées et des rapports complémentaires pour confirmer la suppression complète.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. neor Messages postés 1119 Statut Membre 30
     
    bonjour

    Télécharge HijackThis (outils de dignostic) ici :

    -> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
    -> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

    -> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

    -> Clique sur Install ensuite sur I Accept

    -> Clique sur Do a scan system and save log file

    -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
    0
  2. Matt. 62 Messages postés 41 Statut Membre
     
    Voila se que j'obtien:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:38:31, on 10/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\EoRezo\EoEngine.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\DOCUME~1\Matthieu\LOCALS~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.crystalxp.net/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
    O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Matthieu\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [68480947854857445881435996836929] C:\Program Files\Antivirus 2009\av2009.exe
    O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\explorer32.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  3. neor Messages postés 1119 Statut Membre 30
     
    --------------------rechercher--------------------------

    Important! Désactive ton antivirus / antispyware résident / TeaTimer de Spybot (si présent et actif)

    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
    ( Merci à Eric_71, Angeldark, Sham_Rock et XmichouX )
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)
    0
  4. Matt. 62 Messages postés 41 Statut Membre
     
    je pense que ses sa que tu me demander...........:

    -----------\\ ToolBar S&D 1.2.6 XP/Vista

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : Mobile AMD Sempron(tm) Processor 3600+ )
    BIOS : PhoenixBIOS 4.0 Release 6.1
    USER : Matthieu ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:51 Go (Free:42 Go)
    D:\ (Local Disk) - NTFS - Total:50 Go (Free:50 Go)
    E:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
    Option : [1] ( 10/12/2008|20:51 )

    -----------\\ Recherche de Fichiers / Dossiers ...

    C:\DOCUME~1\Matthieu\LOCALS~1\Temp\nse6.tmp
    C:\DOCUME~1\Matthieu\LOCALS~1\Temp\nsi2B.tmp

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Start Page"="https://www.google.fr/?gws_rd=ssl"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "SearchMigratedDefaultURL"="https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src={referrer:source?}"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"

    --------------------\\ Recherche d'autres infections

    Aucune autre infection trouvée !

    1 - "C:\ToolBar SD\TB_1.txt" - 10/12/2008|20:52 - Option : [1]

    -----------\\ Fin du rapport a 20:52:11,95
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. neor Messages postés 1119 Statut Membre 30
     
    -------------------recherche---------------------------

    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://sd-1.archive-host.com/membres/up/16506160323759868/AD­-R.exe

    /!\ Déconnectes toi et fermes toutes applications en cours

    ● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ● Double clique sur l'icône Ad-removersituée sur ton bureau
    ● Au menu principal choisi l'option "A"
    ● Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  7. Matt. 62 Messages postés 41 Statut Membre
     
    j'ai mis AD-redover sur mon bureau comme tu m'a dit mais ce fichier dit:

    Erreur 404 ! Objet non trouvé !

    L'URL requise n'a pu être trouvée sur ce serveur. Si vous avez tapé l'URL à la main, veuillez vérifier l'orthographe et réessayer.

    Si vous pensez qu'il s'agit d'une erreur du serveur, veuillez contacter un administrateur à cette adresse : archive.host@gmail.com
    0
  8. Matt. 62 Messages postés 41 Statut Membre
     
    --------- Logfile of AD-Remover 1.0.5.9 by C_XX ---------

    # START at: 21:12:39 | 10/12/2008 ON Microsoft® Windows XP ™ v5.1.2600
    # BOOT MODE: Normal

    # OPTION: Scan
    # EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat

    # PC: PERSO-65AF44642 | USER: Matthieu ( Current user is an administrator )

    # DRIVE(S): C:\
    # Systemdrive: C:\ (NTFS)
    # Internet Explorer v7.0.5730.13

    --------- [ RUNNING PROCESSES: 36 ] ---------

    \SystemRoot\System32\smss.exe
    \??\C:\WINDOWS\system32\csrss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\EoRezo\EoEngine.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\DOCUME~1\Matthieu\LOCALS~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    -----------------------------------

    +---------------------------------------------------------------------------+
    +------------------------------- SERVICES FOUND ..
    +---------------------------------------------------------------------------+

    +---------------------------------------------------------------------------+
    +------------------------------- REGISTRY ELEMENTS FOUND ..
    +---------------------------------------------------------------------------+

    "HKEY_CLASSES_ROOT\EoRezoBHO.EoBho"
    "HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1"
    "HKEY_CURRENT_USER\SOFTWARE\EoRezo"
    "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\EoRezoBHO.DLL"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run" /v "EoEngine"

    +---------------------------------------------------------------------------+
    +------------------------------- FILES\FOLDERS FOUND ..
    +---------------------------------------------------------------------------+

    [10/12/2008 18:24|d--------] C:\Program Files\EoRezo
    [10/12/2008 20:30|d--------] C:\Documents and Settings\Matthieu\Application Data\EoRezo
    [10/12/2008 18:20|--a------] C:\WINDOWS\Prefetch\EOENGINE.EXE-25D17307.pf

    +---------------------------------------------------------------------------+
    +------------------------------- ADDED SCAN ..
    +---------------------------------------------------------------------------+

    +--[HKEY_CURRENT_USER\...\Run]

    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    68480947854857445881435996836929 REG_SZ C:\Program Files\Antivirus 2009\av2009.exe
    ieupdate REG_SZ "C:\WINDOWS\system32\explorer32.exe"

    +--[HKEY_LOCAL_MACHINE\...\Run]

    ShStatEXE REG_SZ "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    McAfeeUpdaterUI REG_SZ "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    AzMixerSel REG_SZ C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    Apoint REG_SZ C:\Program Files\Apoint2K\Apoint.exe
    RTHDCPL REG_SZ RTHDCPL.EXE
    Alcmtr REG_SZ ALCMTR.EXE
    EoEngine REG_SZ "C:\Program Files\EoRezo\EoEngine.exe"
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
    SoftwareHelper REG_SZ C:\Documents and Settings\Matthieu\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

    +--[HKEY_USERS\.DEFAULT\...\Run]

    CTFMON.EXE REG_SZ C:\WINDOWS\system32\CTFMON.EXE

    +--[HKEY_CURRENT_USER\...\Internet Explorer\MAIN]

    Start Page : hxxp://www.google.fr/

    +--[HKEY_LOCAL_MACHINE\...\Internet Explorer\MAIN]

    Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157

    +---------------------------------------------------------------------------+
    +------------------------------- [ E.O.F - 113 lines ]
    +---------------------------------------------------------------------------+

    - "C:\AD-report-10.12.2008.log" (5627 octets)

    [ END at: 21:13:22 | 10/12/2008 ] - [ Time elapsed: 43.3 seconds ]
    0
  9. Matt. 62 Messages postés 41 Statut Membre
     
    j'espére que je met pas tromper et que ces bien sa que tu voulait? :x
    0
  10. neor Messages postés 1119 Statut Membre 30
     
    ------------------------nettoyage----------------------------------

    relance ad remover choisi l'option B et coche EoRezo et colle le rapport de désinfection
    0
  11. Matt. 62 Messages postés 41 Statut Membre
     
    Je me deconnecte pour cette manip?
    0
  12. neor Messages postés 1119 Statut Membre 30
     
    non
    0
  13. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Bonsoir,

    Juste de passage... neor : tu oublies de faire passer l option 2 de ToolbarSD !
    0
    1. neor Messages postés 1119 Statut Membre 30
       
      non j'ai vu mais c'est du temp donc normalement ccleaner le fera vu qu'ils sont pas exécutés ?

      merci pour lui suivi des manips ;)
      0
  14. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Vaut mieux faire ma suppression avec ToolabrSD puisqu'il les a trouvés...

    Et il faudrait un passage de SmitfraudFix aussi ;-)

    @+
    0
    1. neor Messages postés 1119 Statut Membre 30
       
      si je donne tout de suite la solution il va partir sans faire le reste :)

      y a pas du navi aussi ?
      0
  15. Matt. 62 Messages postés 41 Statut Membre
     
    c'ete asser long......voila

    --------- Logfile of AD-Remover 1.0.5.9 by C_XX ---------

    *** Limited to ***

    Eorezo

    ******************

    # START at: 21:30:30 | 10/12/2008 ON Microsoft® Windows XP ™ v5.1.2600
    # BOOT MODE: Normal

    # OPTION: Scan
    # EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat

    # PC: PERSO-65AF44642 | USER: Matthieu ( Current user is an administrator )

    # DRIVE(S): C:\
    # Systemdrive: C:\ (NTFS)
    # Internet Explorer v7.0.5730.13

    --------- [ RUNNING PROCESSES: 36 ] ---------

    \SystemRoot\System32\smss.exe
    \??\C:\WINDOWS\system32\csrss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\EoRezo\EoEngine.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\DOCUME~1\Matthieu\LOCALS~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    -----------------------------------

    (!) ---- IE start pages reset

    +---------------------------------------------------------------------------+
    +------------------------------- SERVICES DELETED ..
    +---------------------------------------------------------------------------+

    +---------------------------------------------------------------------------+
    +------------------------------- REGISTRY ELEMENTS DELETED ..
    +---------------------------------------------------------------------------+

    "HKEY_CLASSES_ROOT\EoRezoBHO.EoBho"
    "HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1"
    "HKEY_CURRENT_USER\SOFTWARE\EoRezo"
    "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\EoRezoBHO.DLL"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1"
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run" /v "EoEngine"

    +---------------------------------------------------------------------------+
    +------------------------------- FILES\FOLDERS DELETED ..
    +---------------------------------------------------------------------------+

    [10/12/2008 18:24|d--------] C:\Program Files\EoRezo
    [10/12/2008 20:30|d--------] C:\Documents and Settings\Matthieu\Application Data\EoRezo
    /!\ NOT DELETED - [10/12/2008 18:20|--a------] C:\WINDOWS\Prefetch\EOENGINE.EXE-25D17307.pf

    (!) ---- Temp files deleted.
    (!) ---- Recycle bin emptied in all drives.

    ************* /!\ File(s)/Folder(s) Not Deleted /!\ *************

    "C:\WINDOWS\Prefetch\EOENGINE.EXE-25D17307.pf"

    Second run ...

    "C:\WINDOWS\Prefetch\EOENGINE.EXE-25D17307.pf" - RESIST !

    +---------------------------------------------------------------------------+
    +------------------------------- ADDED SCAN ..
    +---------------------------------------------------------------------------+

    +--[HKEY_CURRENT_USER\...\Run]

    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    68480947854857445881435996836929 REG_SZ C:\Program Files\Antivirus 2009\av2009.exe
    ieupdate REG_SZ "C:\WINDOWS\system32\explorer32.exe"

    +--[HKEY_LOCAL_MACHINE\...\Run]

    ShStatEXE REG_SZ "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    McAfeeUpdaterUI REG_SZ "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    AzMixerSel REG_SZ C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    Apoint REG_SZ C:\Program Files\Apoint2K\Apoint.exe
    RTHDCPL REG_SZ RTHDCPL.EXE
    Alcmtr REG_SZ ALCMTR.EXE
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
    SoftwareHelper REG_SZ C:\Documents and Settings\Matthieu\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

    +--[HKEY_USERS\.DEFAULT\...\Run]

    CTFMON.EXE REG_SZ C:\WINDOWS\system32\CTFMON.EXE

    +--[HKEY_CURRENT_USER\...\Internet Explorer\MAIN]

    Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    +--[HKEY_LOCAL_MACHINE\...\Internet Explorer\MAIN]

    Start Page : hxxp://fr.msn.com/

    +---------------------------------------------------------------------------+
    +------------------------------- [ E.O.F - 129 lines ]
    +---------------------------------------------------------------------------+

    - "C:\AD-report-10.12.2008.log" (6003 octets)

    [ END at: 21:37:02 | 10/12/2008 ] - [ Time elapsed: 6 minutes, 32 seconds ]
    0
  16. neor Messages postés 1119 Statut Membre 30
     
    -------------recherche-----------------------

    Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Installe le soft sur ton bureau ( et pas ailleurs! ) .

    !! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    Autre tuto animé ( merci balltrapp34 Wink ) : http://pagesperso-orange.fr/rginformatique/section%20virus/s­mitfraudfix.htm

    Utilisation ---> option 1 / Recherche :
    Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

    Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
    0
  17. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Non pas de Navipromo... En tout cas, pas dans le rapport hijackthis ;-)

    Et SmitfraudFix était à passer en premier, c'est préférable ;-)
    0
  18. Matt. 62 Messages postés 41 Statut Membre
     
    euuuuux ..... x) je doit faire quoi maintenant^^
    0
    1. neor Messages postés 1119 Statut Membre 30
       
      -------------recherche-----------------------

      Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
      http://siri.urz.free.fr/Fix/SmitfraudFix.exe

      Installe le soft sur ton bureau ( et pas ailleurs! ) .

      !! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


      Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
      Autre tuto animé ( merci balltrapp34 Wink ) : http://pagesperso-orange.fr/rginformatique/section%20virus/s­­mitfraudfix.htm

      Utilisation ---> option 1 / Recherche :
      Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

      Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

      (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
      0
  19. Matt. 62 Messages postés 41 Statut Membre
     
    voila...

    SmitFraudFix v2.383

    Rapport fait à 21:56:04,65, 10/12/2008
    Executé à partir de C:\Documents and Settings\Matthieu\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\DOCUME~1\Matthieu\LOCALS~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\ieupdates.exe PRESENT !
    C:\WINDOWS\system32\winsrc.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Matthieu

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Matthieu\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Matthieu\Application Data

    C:\Documents and Settings\Matthieu\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Matthieu\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CS2\Services\Tcpip\..\{4AEF017C-0AD6-4AB4-A712-969414F04CC2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  20. neor Messages postés 1119 Statut Membre 30
     
    ----------------nettoyage--------------------------------

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarre ton ordi .
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

    * Double-clique sur SmitfraudFix.exe

    * Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

    --> Si besion :

    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

    ( Le correctif déterminera si le fichier wininet.dll est infecté.)

    * A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
    pour remplacer le fichier corrompu.

    * Un redémarrage sera demandé pour terminer la procédure de nettoyage .
    Si le redémarrage ne se fais pas , fais le manuellement ( c'est important ! ) .

    Le rapport se trouve à la racine de disque dur C .
    ( dans le fichier C:\rapport.txt )

    Poste moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport
    hijackthis ( fais en mode normal ) et attends les instructions ...
    0
  • 1
  • 2
  • 3
  • 4