Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport Hijackthis

synchronn

Par synchronn
dans Analyses et éradication malwares

 Partager

Messages recommandés

synchronn Member

synchronn

Posté(e)
  • Auteur
Posté(e)

Re bonjour

 

Pour le moment je ne vois pas de problèmes au niveau de Windows mais les pages Internet via Firefox sont très lentes :P

 

C:\Program Files\Fichiers communs\{38CF9DAF-0682-1036-0212-030303310021}\

Activate.exe

Je n'ai pas trouvé ce fichier

 

Logfile of HijackThis v1.99.1

Scan saved at 17:57:17, on 19/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Hijackthis\Synchronn.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143071299437

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

 

 

 

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 17:40:13 19/10/2006

 

+ Résultat de l'analyse:

 

 

 

C:\WINDOWS\system32\wmidext.dll -> Adware.VB : Nettoyé.

 

 

Fin du rapport

 

 

Merci d'avance :P

Lien vers le commentaire
Partager sur d’autres sites

synchronn Member

synchronn

Posté(e)
  • Auteur
Posté(e)

Voici mon rapport du scan Panda

 

 

Incident Statut Analyse

 

Adware:adware/securityerror No Désinfecté C:\Documents and Settings\tom\Favoris\Antivirus Test Online.url

Adware:adware/whenusearch No Désinfecté Registre Windows

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\tom\Cookies\tom@weborama[2].txt

 

(ps: Internet est horriblement lent :P, si jamais vous avez une astuce ou solution )

Lien vers le commentaire
Partager sur d’autres sites
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonsoir synchronn !

 

Continu comme ceci STP :

 

1ére étape :

 

Télécharger ATF Cleaner par Atribune.

http://www.atribune.org/ccount/click.php?id=1

 

Télécharger SmitfraudFix de S!Ri :P sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

-Son tutorial

http://siri.urz.free.fr/Fix/SmitfraudFix.php

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

 

Poster le rapport sur le forum et continuer la procédure.

 

2éme étape : Le nettoyage !

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage

ou tuto Symantec).

http://service1.symantec.com/support/inter...020905112131924

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Ensuite double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

 

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.

  • AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre le rapport de Smitfraudfix

-Mettre un nouveau rapport Panda

-Poster le rapport AVG Anti-Spyware

-Indiquer si le Pc présente encore des dysfonctionnements

 

A plus et bon courage :P !

Lien vers le commentaire
Partager sur d’autres sites
synchronn Member

synchronn

Posté(e)
  • Auteur
Posté(e)

Bonjour :P

 

AVG n'a rien détecté :P

 

SmitFraudFix v2.110

 

Rapport fait à 13:00:39,75, 20/10/2006

Executé à partir de C:\Documents and Settings\tom\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\DOCUME~1\tom\Favoris\Antivirus Test Online.url supprimé

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url supprimé

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

Panda

 

 

Incident Statut Analyse

 

Adware:adware/whenusearch No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\tom\Application Data\Mozilla\Firefox\Profiles\u7t27iqw.default\cookies.txt[.xiti.com/]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\tom\Bureau\SmitfraudFix\Process.exe

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\tom\Cookies\tom@weborama[2].txt

 

 

Pour les problèmes du système, je reposterai après avoir fait de plus amples tests.

 

Merci d'avance!

Lien vers le commentaire
Partager sur d’autres sites
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Re

 

Peut tu faire ceci STP

 

On va créer un outil pour modifier la base de registre pour éliminer les traces d'infections !

 

1/Faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper ou copier/coller :

regedit /e Sav.reg

Cliquer sur Ok

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav.reg

 

2/ Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\clsid\{715839cd-abec-45d8-a83c-1275f2d837cd}]

[-HKEY_CLASSES_ROOT\clsid\{715839cd-abec-45d8-a83c-1275f2d837cd}\inprocserver32]

[-HKEY_CLASSES_ROOT\clsid\{763bd795-24ae-44d7-82d8-f9a1ee799729}]

[-HKEY_CLASSES_ROOT\clsid\{763bd795-24ae-44d7-82d8-f9a1ee799729}\localserver32]

[-HKEY_CLASSES_ROOT\clsid\{ba2325ed-f9eb-4830-8fce-0bc35b16969b}]

[-HKEY_CLASSES_ROOT\clsid\{ba2325ed-f9eb-4830-8fce-0bc35b16969b}\inprocserver32]

[-HKEY_CLASSES_ROOT\interface\{beae14db-a12a-442d-bf77-4644e3661211}]

[-HKEY_CLASSES_ROOT\typelib\{5b061650-38ae-49b4-9f5d-35396b2ceff5}]

[-HKEY_CLASSES_ROOT\typelib\{df901432-1b9f-4f5b-9e56-301c553f9095}]

[-HKEY_CLASSES_ROOT\wuse.1]

[-HKEY_CLASSES_ROOT\wuse.1 wuse_id]

[-HKEY_CURRENT_USER\software\microsoft\internet explorer\explorer bars\{715839cd-abec-45d8-a83c-1275f2d837cd}]

[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{737830b7-f1f9-4bae-a8fc-1433c71bedff}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{ba2325ed-f9eb-4830-8fce-0bc35b16969b}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run whenusearch]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run whenusearchwhse]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\whenusearch]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\whenusearchf]

[-HKEY_LOCAL_MACHINE\software\whenusearch]

[-HKEY_LOCAL_MACHINE\software\whenusearch coupondataurl]

[-HKEY_LOCAL_MACHINE\software\whenusearch db_incomplete]

[-HKEY_LOCAL_MACHINE\software\whenusearch db_script_update]

[-HKEY_LOCAL_MACHINE\software\whenusearch db_server_update]

[-HKEY_LOCAL_MACHINE\software\whenusearch db_stamp_rs]

[-HKEY_LOCAL_MACHINE\software\whenusearch flagcr_rs]

[-HKEY_LOCAL_MACHINE\software\whenusearch heartbeattime]

[-HKEY_LOCAL_MACHINE\software\whenusearch installdir]

[-HKEY_LOCAL_MACHINE\software\whenusearch installtime]

[-HKEY_LOCAL_MACHINE\software\whenusearch iptomsa_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch iptomsatime_rs]

[-HKEY_LOCAL_MACHINE\software\whenusearch msa]

[-HKEY_LOCAL_MACHINE\software\whenusearch newuser_rs]

[-HKEY_LOCAL_MACHINE\software\whenusearch pat_chunks_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch pats_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch readingtime_rs]

[-HKEY_LOCAL_MACHINE\software\whenusearch script_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch searchdataurl]

[-HKEY_LOCAL_MACHINE\software\whenusearch showsplash]

[-HKEY_LOCAL_MACHINE\software\whenusearch sliderthemes]

[-HKEY_LOCAL_MACHINE\software\whenusearch starttime_rs]

[-HKEY_LOCAL_MACHINE\software\whenusearch themessliderbgalt]

[-HKEY_LOCAL_MACHINE\software\whenusearch themessliderbgpulse]

[-HKEY_LOCAL_MACHINE\software\whenusearch uiupdate_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch update_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch version]

[-HKEY_LOCAL_MACHINE\software\whenusearch zip]

[-HKEY_LOCAL_MACHINE\software\whenusearch ziptomsa_url]

[-HKEY_LOCAL_MACHINE\software\whenusearch\partners]

[-HKEY_LOCAL_MACHINE\software\whenusearch\partners\desktop]

[-HKEY_LOCAL_MACHINE\software\whenusearch\whse]

 

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove.

 

- Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

 

- Elimine le fichier remove.reg

 

Redémarre en mode normal

 

Faire un rapport Panda STP !

 

A plus.

Lien vers le commentaire
Partager sur d’autres sites
synchronn Member

synchronn

Posté(e)
  • Auteur
Posté(e)

Bonjour :P

voici mon rapport Panda

 

 

Incident Statut Analyse

 

Adware:adware/whenusearch No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\tom\Application Data\Mozilla\Firefox\Profiles\u7t27iqw.default\cookies.txt[.xiti.com/]

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\tom\Application Data\Mozilla\Firefox\Profiles\u7t27iqw.default\cookies.txt[ad.yieldmanager.com/]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\tom\Bureau\SmitfraudFix\Process.exe

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\tom\Cookies\tom@2o7[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\tom\Cookies\tom@weborama[1].txt

 

 

a bientot

Lien vers le commentaire
Partager sur d’autres sites
synchronn Member

synchronn

Posté(e)
  • Auteur
Posté(e)

Re voici le rapport panda :P

 

 

Incident Statut Analyse

 

Adware:adware/whenusearch No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\tom\Application Data\Mozilla\Firefox\Profiles\u7t27iqw.default\cookies.txt[.xiti.com/]

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\tom\Application Data\Mozilla\Firefox\Profiles\u7t27iqw.default\cookies.txt[ad.yieldmanager.com/]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\tom\Bureau\SmitfraudFix\Process.exe

Lien vers le commentaire
Partager sur d’autres sites
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Re

 

Bon on va tenter autre chose :

 

-Faire un scan antivirus en ligne à titre de vérification

http://housecall65.trendmicro.com/ (fire fox ou IE)

Et faire celui-ci

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)

 

-Poster le(s) rapport(s) trendmicro

 

A plus.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...