Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Modification du Registre / dossier System manquant

amelpapel

Par amelpapel
dans Analyses et éradication malwares

 Partager

Messages recommandés

amelpapel Junior Member

amelpapel

Posté(e)
  • Auteur
Posté(e)

merci pour tes conseils angélique

alors:

 

flashdésinfection ok

 

**.reg: si j'essaie de l'éxécuter j'ai droit à une jolie fenetre: "Editeur de registre Impossible d'importer and: une erreur imputable au disque ou au système de fichier s'est produite lors de l'ouverture"

 

rapport HJT replacé

 

2 no file fixcheked ok

 

C:\Windows\Web\sys.exe (éliminé par avira)

rapport jotti:

Service load:

0% 100%

File: Sys.exe

Status:

INFECTED/MALWARE

MD5: e53918801957ac6cdab4e860700edfba

Packers detected:

-

Bit9 reports: File not found

 

Scan taken on 29 Jul 2007 18:58:14 (GMT)

A-Squared

Found nothing

AntiVir

Found TR/VB.ubt

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found Worm/Delf.DGJ

BitDefender

Found Trojan.Agent.ABHI

ClamAV

Found nothing

CPsecure

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found Virus.Win32.AutoRun.fe

Fortinet

Found nothing

Kaspersky Anti-Virus

Found Virus.Win32.AutoRun.fe

NOD32

Found probably unknown NewHeur_PE (probable variant)

Norman Virus Control

Found nothing

Panda Antivirus

Found nothing

Rising Antivirus

Found nothing

Sophos Antivirus

Found Troj/VB-DWR

VirusBuster

Found nothing

VBA32

Found nothing

 

 

 

 

Last file scanned at least one scanner reported something about: 19375290.exe (MD5: 2f06804ebb055f01f1134604a2159c2c, size: 646224 bytes), detected by:

 

Scanner Malware name

A-Squared X

AntiVir WORM/Zhelatin.Gen

ArcaVir X

Avast X

AVG Antivirus SHeur.CRU

BitDefender Trojan.Faker.C

ClamAV X

CPsecure X

Dr.Web X

F-Prot Antivirus X

F-Secure Anti-Virus Packed.Win32.PolyCrypt.b

Fortinet AvPak

Kaspersky Anti-Virus Packed.Win32.PolyCrypt.b

NOD32 X

Norman Virus Control X

Panda Antivirus Trj/Downloader.MDW

Rising Antivirus X

Sophos Antivirus Mal/AvPak

VirusBuster Trojan.DR.Cimuz.Gen.1

VBA32 X

 

Rapport F-Secure Backlight (?) avant opération

07/29/07 20:04:39 [info]: BlackLight Engine 1.0.64 initialized

07/29/07 20:04:39 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/29/07 20:04:39 [Note]: 7019 4

07/29/07 20:04:39 [Note]: 7005 0

07/29/07 20:04:46 [Note]: 7006 0

07/29/07 20:04:46 [Note]: 7011 204

07/29/07 20:04:46 [Note]: 7026 0

07/29/07 20:04:46 [Note]: 7026 0

07/29/07 20:04:53 [Note]: FSRAW library version 1.7.1022

07/29/07 20:14:04 [Note]: 2000 1012

07/29/07 20:14:04 [Note]: 2000 1012

07/29/07 20:17:42 [Note]: 7007 0

 

Avast et Norton et compagnie désinstallés

 

 

e-scan antivirus toolkit:

Pas de virus trouvé, pas d'info dans la fenêtre Virus Log Information

Mon Jul 30 00:58:23 2007 => Total Number of Files Scanned: 53750

Mon Jul 30 00:58:23 2007 => Total Number of Virus(es) Found: 0

Mon Jul 30 00:58:23 2007 => Total Number of Disinfected Files: 0

Mon Jul 30 00:58:23 2007 => Total Number of Files Renamed: 0

Mon Jul 30 00:58:23 2007 => Total Number of Deleted Files: 0

Mon Jul 30 00:58:23 2007 => Total Number of Errors: 193

Mon Jul 30 00:58:23 2007 => Time Elapsed: 01:23:37

Mon Jul 30 00:58:23 2007 => Virus Database Date: 2007/07/29

Mon Jul 30 00:58:23 2007 => Virus Database Count: 369390

 

Mon Jul 30 00:58:23 2007 => Scan Completed.

 

Le gestionnaire des taches et l'accès au registre sont rétablis

dans HKEY_CURRENT_USER\software\microsoft\windows\current version\policies, le dossier "system" est toujours manquant (je n'ai que "explorer") c'est grave docteur?

 

n'ayant pas de pc fixe je cherche à protéger mon disque amovible est-il possible de poster un agent de sécurité à l'entrée du archos 204?

 

bonne nuit et merci

angelique Devil Member !

angelique

Posté(e)
Posté(e)
rapport HJT replacé

 

2 no file fixcheked ok

 

**tu me rajoute cette ligne à fixchecked stp!!que j'ai zappé avant dsl!!tu me dis que avira (antivir l'a viré , je souhaite verifier ;o))

 

O4 - HKLM\..\Run: [NoooH] C:\WINDOWS\Web\Sys.exe

 

et tu supp. si toujours existant C:\WINDOWS\Web\Sys.exe

 

**supprime blacklight et son rapport,ainsi que les 3 dossiers crées pour l'utilisation de EScan(C:\Bases et C:\Downloads et c:\kaspersky)

 

**reposte un nouveau rapport HJT

 

**

Le gestionnaire des taches et l'accès au registre sont rétablis

dans HKEY_CURRENT_USER\software\microsoft\windows\current version\policies, le dossier "system" est toujours manquant (je n'ai que "explorer") c'est grave docteur?

 

je ne pense pas car sur ma 2eme station je ne l'ai pas non plus :P

 

189f452d595891ec400fc4944cae.jpg

http://pix.nofrag.com/fe/22/189f452d595891...0fc4944cae.html

 

n'ayant pas de pc fixe je cherche à protéger mon disque amovible est-il possible de poster un agent de sécurité à l'entrée du archos 204?

 

Je ne saurais te répondre :P à part le scanner avec un antivirus, s'il est branché il est protégé par l'antivirus resident de meme que le disk principal.

 

amelpapel Junior Member

amelpapel

Posté(e)
  • Auteur
Posté(e)

**tu me rajoute cette ligne à fixchecked stp!!que j'ai zappé avant dsl!!tu me dis que avira (antivir l'a viré , je souhaite verifier ;o))

 

O4 - HKLM\..\Run: [NoooH] C:\WINDOWS\Web\Sys.exe

 

et tu supp. si toujours existant C:\WINDOWS\Web\Sys.exe

 

introuvable.....

 

**supprime blacklight et son rapport,ainsi que les 3 dossiers crées pour l'utilisation de EScan(C:\Bases et C:\Downloads et c:\kaspersky)

 

OK

 

**reposte un nouveau rapport HJT

 

Logfile of HijackThis v1.99.1

Scan saved at 14:28:17, on 30/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\hphmon05.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe

C:\Program Files\ADS Tech\MediaTV 3\MediaTVMonitor.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\notepad.exe

C:\HJT\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: MediaTV Monitor.lnk = C:\Program Files\ADS Tech\MediaTV 3\MediaTVMonitor.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sourishorti.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

 

rapport avira antiivir:

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '29' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

 

 

End of the scan: lundi 30 juillet 2007 12:40

Used time: 40:49 min

 

The scan has been done completely.

 

4435 Scanning directories

148320 Files were scanned

0 viruses and/or unwanted programs were found

0 classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

148320 Files not concerned

6540 Archives were scanned

2 Warnings

3 Notes

0 Hidden objects were found

 

es-ce une bonne idée de "clear page file at shutdown"?

angelique Devil Member !

angelique

Posté(e)
Posté(e)

pour HJT et antivir ça me parrait ok ;o)

 

es-ce une bonne idée de "clear page file at shutdown"

 

ceci?:

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"ClearPageFileAtShutdown"=dword:00000001

 

Moi je le fais, c'est comme tu le sents, ta fermeture est un peu plus longue, le tmp de vider le swap.

  • Tonton a modifié le titre en Modification du Registre / dossier System manquant

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...