Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

desertwind

[resolu]rapport hijackthis

Messages recommandés

Bonjour,

Mon pc souffrant d'un virus, j'ai fait un scan avec hijackthis mais je ne comprends malheuresement pas grand chose au résultat :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:38:02, on 11/12/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\HPConfig.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\Tablet.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\s3hotkey.exe

C:\WINNT\system32\S3trayhp.exe

C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\ONE-TO~1\CDRomMnt.EXE

C:\WINNT\system32\internat.exe

C:\PROGRA~1\ONE-TO~1\KBOSDCtl.EXE

C:\PROGRA~1\ONE-TO~1\CP32NKCC.EXE

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\WINNT\system32\WTablet\TabUserW.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\ULTRAE~1\uedit32.exe

D:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [s3Hotkey] s3hotkey.exe

O4 - HKLM\..\Run: [s3TRAYHP] S3trayhp.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [CP32NOT] C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [dmdef.exe] C:\WINNT\system32\dmdef.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINNT\system32\WTablet\TabUserW.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/haphazard/raptisoftgameloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63B30A71-09FC-4580-9995-3A98CAF37946}: NameServer = 85.255.113.94,85.255.112.225

O17 - HKLM\System\CCS\Services\Tcpip\..\{69E1A8C3-6C9B-4DD1-B271-E39A2C0488FD}: NameServer = 85.255.113.94,85.255.112.225

O17 - HKLM\System\CCS\Services\Tcpip\..\{861174C8-9713-4093-9AC8-51539F475095}: NameServer = 85.255.113.94,85.255.112.225

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\system32\HPConfig.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe

 

 

 

Je n'y comprends rien , je ne reconnait que quelques trucs dans cette liste et j'ai peur de supprimer quelque chose d'utile.

Merci pour vos eclaircissements...

Modifié par desertwind

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir desertwind,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... :P

 

 

Merci pour ta patience...

Partager ce message


Lien à poster
Partager sur d’autres sites

Re desertwind,

 

*** Ton rapport montre effectivement des traces d'infections ! ***

 

---> Suis scrupuleusement la procédure suivante, si tu rencontres un problème, va jusqu'au bout et signale-le dans ta prochaine réponse...

 

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{63B30A71-09FC-4580-9995-3A98CAF37946}: NameServer = 85.255.113.94,85.255.112.225

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{69E1A8C3-6C9B-4DD1-B271-E39A2C0488FD}: NameServer = 85.255.113.94,85.255.112.225

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{861174C8-9713-4093-9AC8-51539F475095}: NameServer = 85.255.113.94,85.255.112.225

 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225

 

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225

 

 

 

2) Télécharge le FixWareout du site suivant sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, assure toi que "Run fixit" est activé et clique sur Finish.

--> Le programme va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

 

Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

--> Au final, poste le contenu de C:\fixwareout\report.txt

 

 

3) Rends-toi sur ce site-ci

  • Clique sur "Parcourir" (comme indiqué sur le dessin) jotti.gif
  • Recherche le fichier suivant : C:\WINNT\system32\dmdef.exe
  • Clique sur "Submit"
  • Copie-colle le rapport dans ta prochaine réponse...

*** Si le site ne fonctionne pas, tu peux procéder de la même manière ici ("send" à la place de submit, tout au-dessus...) ***

 

 

4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Bonne chance à toi ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Voila: je n'ai eu le temps de toucher mon ordi que aujourd'hui, voila le récultat des indications:

 

1) J'ai suivi la procedure et fixé les fichiers indiqués

 

2) J'ai lancé le fix dont voici le report :

 

 

 

Fixwareout

Last edited 12/06/2006

Post this report in the forums please

...

Prerun check

[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"="cskhu.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AliceSAV"="C:\\Program Files\\TechCity Solutions\\AliceSAV\\AliceAgent.exe"

 

...

...

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B993A7D2376F-6259-AC34-09EE-D3D39152{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\wycmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm

...

 

Random Runs removed from HKLM

"dmcyw.exe"=-

...

...

 

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

 

»»»»» Searching by size/names...

 

»»»»»

Search five digit cs, dm kd and jb files.

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINNT\SYSTEM32\CSKHU.EXE 51 715 2006-12-05

C:\WINNT\SYSTEM32\DMCYW.EXE 60 512 2003-06-19

 

Other suspects.

 

»»»»» Misc files.

 

»»»»» Checking for older varients covered by the Rem3 tool.

...

Postrun check

[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"system"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AliceSAV"="C:\\Program Files\\TechCity Solutions\\AliceSAV\\AliceAgent.exe"

 

...

 

 

 

3) Je ne trouve pas de fichier intitulé "dmdef.exe" dans system32 ... Avec des noms proches ( et en .exe ) je trouve "dmremote.exe" "dmcyw.exe" ( ps: fichiers déclaré infecté ( trojan ) par le scan kapersky: je l'ai supprimé, voir plus bas) et "dmadmin.exe" ....

 

 

4)J'ai fait le scan et voici le rapport :

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Thursday, December 14, 2006 8:11:52 PM

Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 14/12/2006

Enregistrements dans la base antivirus Kaspersky : 236680

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

 

Statistiques de l'analyse:

Total d'objets analysés: 45817

Nombre de virus trouvés: 2

Nombre d'objets infectés: 2 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 01:32:37

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\milan\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Application Data\Mozilla\Firefox\Profiles\cwlgjq93.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\milan\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\milan\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\milan\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré

C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré

C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINNT\security\logs\scepol.log L'objet est verrouillé ignoré

C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINNT\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\default L'objet est verrouillé ignoré

C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré

C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\software L'objet est verrouillé ignoré

C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\system L'objet est verrouillé ignoré

C:\WINNT\system32\config\SYSTEM.ALT L'objet est verrouillé ignoré

C:\WINNT\system32\cskhu.exe Infecté : Trojan-Downloader.Win32.Agent.uj ignoré

C:\WINNT\system32\dmcyw.exe Infecté : Trojan.Win32.Small.fb ignoré

C:\WINNT\system32\Perflib_Perfdata_268.dat L'objet est verrouillé ignoré

C:\WINNT\system32\Perflib_Perfdata_2e8.dat L'objet est verrouillé ignoré

C:\WINNT\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

 

Analyse terminée.

 

 

 

J'ai supprimé les 2 fichiers infectés restant...

Modifié par desertwind

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir desertwind,

 

*** Bravo pour ton excellent boulot ! ***

 

 

Je ne trouve pas de fichier intitulé "dmdef.exe" dans system32 ...

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

et ré-essaye... (il n'y est peut-être plus)

 

 

1) Supprime les fichiers suivants (si tu ne l'as pas déjà fait)

  • C:\WINNT\system32\cskhu.exe
  • C:\WINNT\system32\dmcyw.exe

 

2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

  1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
  2. Descends sur la page jusqu'à "Java Runtime Enviroinment (JRE) 6, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
  3. Clique sur "Download", à droite
  4. Coche la case et accepte la license
  5. La page se recharge
  6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
  7. Ferme tous tes programmes (surtout les navigateurs Internet)
  8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
  9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
  10. Clique sur le bouton "modifier / supprimer"
  11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
  12. Redémarre ta machine
  13. Après le reboot, clique sur jre-6-windowsi586.exe pour installer la nouvelle version... suis les instructions à l'écran

 

 

3) Reposte un rapport HijackThis, et dis-nous si tu rencontres encore des problèmes avec ta machine...

 

 

---> Reste présent, il restera au-moins une étape primordiale !

 

 

Bonne soirée à toi,

Partager ce message


Lien à poster
Partager sur d’autres sites

1) J'ai verifié, tous les fichiers sont visibles et je ne trouve pas "dmdef.exe" ..

 

 

J'avait déjà supprimé ces 2 fichiers et j'ai vérifié: ils n'y sont plus...

 

2) OK, j'ai mit a jours java sans probleme...

 

3) Voici le resultat du dernier scan hijackthis :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 10:49:18, on 17/12/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\HPConfig.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\Tablet.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\s3hotkey.exe

C:\WINNT\system32\S3trayhp.exe

C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\PROGRA~1\ONE-TO~1\CDRomMnt.EXE

C:\PROGRA~1\ONE-TO~1\KBOSDCtl.EXE

C:\PROGRA~1\ONE-TO~1\CP32NKCC.EXE

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\WINNT\system32\WTablet\TabUserW.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\System32\MsiExec.exe

D:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [s3Hotkey] s3hotkey.exe

O4 - HKLM\..\Run: [s3TRAYHP] S3trayhp.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [CP32NOT] C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINNT\system32\WTablet\TabUserW.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/haphazard/raptisoftgameloader.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} -

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\system32\HPConfig.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe

 

Je n'ai plus de problemes avec ma machine...

 

Encore merci de ton aide et je reste present pour le derniere étape...

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour desertwind,

 

 

En effet, ton rapport est propre...

 

 

1) Recache tes fichiers / dossiers cachés afin de ne pas faire de fausse manoeuvre gênante :

afficher_desactive.JPG

 

 

2) Ton Windows n'est pas à jour, ce qui pose de graves problèmes en termes de sécurité, rends-toi sur le site WindowsUpdate et télécharges-y toutes les mises à jour !

 

 

3) Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

 

4) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

 

1 ) Gardez une version de Windows légale et à jour

2 ) Activez le centre de sécurité

3 ) Utilisez FireFox

4 ) Evitez les sites douteux, illégaux, pornographiques, ...

5 ) Méfiez-vous des programmes gratuits (financés par...)

6 ) Fuyez le "Peer To Peer" (Kazaa, Bearshare, ...)

7 ) Gardez un Antivirus à jour !

8 ) Ne cliquez jamais sur des liens non annoncés dans une

messagerie instantannée

9 ) N'ouvrez jamais de pièce jointe non prévue dans un mail !

 

 

5) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

6) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

Merci pour ta confiance !

 

Au plaisir ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

1) OK, c'est fait ....

 

2) J'ai pas le temps tout de suite mais je fait ça le plus tot possible...

 

3)J'aillait justement te demander comment tu a fait pour reconnaitre l'infection sur mon pc : je file m'informer plus sur les virus..

 

4)Merci pour les recommendations, je les connaisaient déja sauf la mise a jour de windows et l'utilisation de firefox ( je suis utilisateur de firefox que je trouve bien mieux et beaucoup plus pratique qu'IE mais je ne savait pas qu'il était plus sur de l'utiliser .... une raison de plus pour le preferer..)

 

5)Merci, je ne savait pas qu'on pouvait porter plainte contre les malware. Peut tu me donner des renseignement sur le virus qui était sur mon pc ( type d'infection par exemple qui est demandée..merci.)

 

6)Je rajoute la balise tout de suite...

 

Encore merci a toi....

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir desertwind,

 

 

*** Merci de prendre du temps pour poster sur Malware Complaints ***

 

 

3)J'aillait justement te demander comment tu a fait pour reconnaitre l'infection sur mon pc : je file m'informer plus sur les virus..

---> Des heures de lecture, des contacts réguliers avec des passionnés hyper sympas, des formations spécifiques sur les forums ou avec des professionnels, des abonnements aux "security news" en tous genres, ... du travail ! :P

 

 

Peut tu me donner des renseignement sur le virus qui était sur mon pc

---> Ton infection s'appelle "WareOut" ; à moins qu'elle ne porte un autre nom (différent en fonction des éditeurs de solutions antivirales), tu devras créer un nouveau sujet...

 

 

Passe une excellente soirée !!!!

 

:P

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×