Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

SpawNKaM

Pré-nettoyage de mon pc infecté éffectué - Rapport

Messages recommandés

Bonjour,

voici mon rapport hijackthis, merci d'avance pour me dire si il ya un probleme .

 

Logfile of HijackThis v1.99.1

Scan saved at 11:39:49, on 08/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [blockChecker] C:\Program Files\Block Checker\block-checker.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [internet Download Accelerator] C:\Program Files\IDA\ida.exe -autorun

O4 - HKCU\..\Run: [steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\Thibault\LOCALS~1\Temp\4863072.exe

O4 - HKCU\..\Run: [Winsvr] C:\DOCUME~1\Thibault\LOCALS~1\Temp\48616384.exe

O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{344E96D0-22F7-4CDD-B2E0-932C545D0797}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2DBE6F-695A-4B9D-9B49-9909F6696EFD}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B02896-ADD1-4086-A37D-152C9911D2A4}: NameServer = 85.255.115.4,85.255.112.15

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: instcat - instcat.dll (file missing)

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi28939.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

 

Cordialement,

Modifié par SpawNKaM

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour SpawNKaM :P

 

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

 

Phase 1

  • Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
     
     
  • Télécharge Antivir
     
     
  • Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
    consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
     
     
  • Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
     
     
  • Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !
    Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
    - failles de ton antivirus qui a laissé passer des malwares
    - Antivir peut-être installé et désinstallé facilement
    - Antivir est reconnu pour son efficacité en mode sans échec
    - le tutorial de tesgaz permet de le paramétrer sans problème.
     
  • Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)

Phase 2

  • Redémarre le PC, impérativement en mode sans échec.
     
     
  • Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
    NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
    Comment démarrer l'ordinateur en mode sans échec
     
     
  • A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.

 

Phase 3

  • Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
     
     
  • Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
     
     
  • Affiche tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
    -Active la case : "Afficher les fichiers et dossiers cachés"
    -Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
    -Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
    -Puis clique sur "Appliquer".
    Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
     
     
  • Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
    -C:\TEMP
    -C:\WINDOWS\TEMP
    -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
    -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
    -Vider la corbeille
     
     
  • Recherche et élimination des parasites avec Antivir=>
    lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
    Sauvegarde le rapport!
     
     
  • Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
    Puis, désinstalle Antivir dans ajout/suppression de programmes.
     
     
  • Redémarre le PC en mode normal
     
     
  • Installation et utilisation d'HijackThis=>
    Crée un nouveau dossier à la racine de ton disque dur :
    C:\Program Files\HijackThis
    Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
    Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
    Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
     
     
  • Arrête tous les programmes en cours et ferme toutes les fenêtres
     
     
  • Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
     
     
  • Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
     
     
  • NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

Phase 4

  • Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  • Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses :P

 

 

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

 

Bon courage :P

Partager ce message


Lien à poster
Partager sur d’autres sites

dsl jai pa tro compri ce ke tu vx dire pck la procédure préliminaire jlai ft comme demander dans le tuto en suivant les instructions :s

jdoi recommencer ?

a en faite jcroi ke jai mal fait la séquence ac l'analyse de Hijackthis mais jsui pa sur :s

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour,

 

 

tu ne l'as toujours pas mis le rapport de antivir :P

 

Tu es infecté par un keylogger voici ce que c'est http://www.commentcamarche.net/virus/keylogger.php3 donc en attendant la fin de ta desinfection, ne va pas sur des sites de banque ou tout autre sites ou il faut mettre un mot de passe.

 

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

 

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{344E96D0-22F7-4CDD-B2E0-932C545D0797}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2DBE6F-695A-4B9D-9B49-9909F6696EFD}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B02896-ADD1-4086-A37D-152C9911D2A4}: NameServer = 85.255.115.4,85.255.112.15

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×