Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Analyse rapports HijackThis

godefroyy

Par godefroyy
dans Analyses et éradication malwares

 Partager

Messages recommandés

godefroyy Junior Member

godefroyy

Posté(e)
Posté(e)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:52:50, on 14/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\services.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\czsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe

O2 - BHO: (no name) - {47B83D78-F986-4E96-9769-2C55EF14DA0B} - C:\WINDOWS\system32\__c002FE70.dat

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\system32\7N0n3c1I.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [wdfmgr.exe] C:\WINDOWS\wdfmgr.exe

O4 - HKLM\..\Run: [TPPOLL] C:\Program Files\Topro\tppoll.exe

O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/har...on.cab?version=

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00435A0.dat

O22 - SharedTaskScheduler: barbican - {e0f691d7-01bf-4fed-926c-7368034a45e3} - (no file)

O23 - Service: Performance Monitor - Unknown owner - C:\WINDOWS\perfmon.exe (file missing)

O23 - Service: Szservice - Unknown owner - C:\WINDOWS\czsrv.exe

 

--

End of file - 3603 bytes

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche 1 pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

Après ca, relance hijackthis et poste le nouveau rapport stp.

godefroyy Junior Member

godefroyy

Posté(e)
  • Auteur
Posté(e)

Bonjour!!!!

 

Je vais pas étaler ma vie ms mon pc a des problèmes de connexion du au virus en question dc je ne reste pas connecté longtemps (et a la tentative d envoie de mail ce qui fait que j envoie mais message rapidement)

 

j ai fait comme tu me l'as di j ai utilisé combofix et suivi les instructions le rapport de hijackthis est le suivant

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:53, on 14/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\czsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\services.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\system32\7N0n3c1I.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [TPPOLL] C:\Program Files\Topro\tppoll.exe

O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/har...on.cab?version=

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00435A0.dat

O22 - SharedTaskScheduler: barbican - {e0f691d7-01bf-4fed-926c-7368034a45e3} - (no file)

O23 - Service: Szservice - Unknown owner - C:\WINDOWS\czsrv.exe

 

--

End of file - 3096 bytes

 

 

Mon pc ou plutot ma connexion marche toujours aussi mal donc je pense que c est lié au virus

 

merci infiniment pr le temps que tu prends... et j espere que j arriverais a en voir le bout!!

godefroyy Junior Member

godefroyy

Posté(e)
  • Auteur
Posté(e)

Ok voila j espere que t a tt!!;o)

ComboFix 07-09-14.2 - "God" 2007-09-14 16:45:38.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.212 [GMT 2:00]

* Created a new restore point

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\services.exe

C:\WINDOWS\system32\__c002FE70.dat

C:\WINDOWS\system32\__c00435A0.dat

C:\WINDOWS\WebAssist.dll

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_PERFORMANCE_MONITOR

-------\Performance Monitor

 

 

((((((((((((((((((((((((( Files Created from 2007-08-14 to 2007-09-14 )))))))))))))))))))))))))))))))

.

 

2007-09-14 16:44 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-14 13:09 40,960 --a------ C:\5c3x8p2r8t8.exe

2007-09-14 13:09 <REP> d-------- C:\Program Files\Trend Micro

2007-09-14 13:08 40,960 --a------ C:\g7n4l2o4i4v4.exe

2007-09-14 11:05 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira

2007-09-14 11:00 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer

2007-09-14 11:00 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau

2007-09-14 11:00 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression

2007-09-14 11:00 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles

2007-09-14 11:00 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents

2007-09-14 11:00 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris

2007-09-14 11:00 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau

2007-09-13 23:59 560,640 -r-hs---- C:\WINDOWS\czsrv.exe

2007-09-11 18:55 <REP> d-------- C:\DOCUME~1\God\APPLIC~1\Emjysoft

2007-09-11 18:55 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Emjysoft

2007-09-10 16:13 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys

2007-09-10 16:13 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys

2007-09-10 16:13 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS

2007-09-10 16:13 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys

2007-09-10 16:13 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys

2007-09-10 16:13 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys

2007-09-10 16:13 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys

2007-09-10 16:12 54,784 --a------ C:\WINDOWS\vfwwdm32.dll

2007-09-10 16:06 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson

2007-09-10 16:00 65,536 --a------ C:\WINDOWS\system32\camlib.dll

2007-09-10 16:00 28,672 --a------ C:\WINDOWS\tpsti.exe

2007-09-10 16:00 221,184 --a------ C:\WINDOWS\ToproUI.exe

2007-09-10 16:00 198,316 --a------ C:\WINDOWS\system32\drivers\TP6800.sys

2007-09-10 16:00 1,523,712 --a------ C:\WINDOWS\system32\ToproVC.dll

2007-09-10 12:00 541,696 -r-hs---- C:\WINDOWS\wdfmgr.exe

2007-09-09 16:39 184,320 --a------ C:\WINDOWS\system32\7N0n3c1I.dll

2007-09-08 13:29 184,320 --a------ C:\WINDOWS\system32\5nC2Ku4B.dll

2007-09-08 01:36 184,320 --a------ C:\WINDOWS\system32\xB0C11vk.dll

2007-09-08 01:36 184,320 --a------ C:\WINDOWS\system32\512lnUrf.dll

2007-09-08 01:35 184,320 --a------ C:\WINDOWS\system32\stJHI1X7.dll

2007-09-08 01:35 184,320 --a------ C:\WINDOWS\system32\61QCDHYu.dll

2007-09-06 18:29 184,320 --a------ C:\WINDOWS\system3256205C6.dll

2007-09-06 18:07 <REP> d--h----- C:\WINDOWS\PIF

2007-08-22 19:43 <REP> d-------- C:\DOCUME~1\God\APPLIC~1\MSNInstaller

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-11 22:51 --------- d-------- C:\Program Files\MSN Messenger

2007-09-11 22:49 --------- d-------- C:\Program Files\Services en ligne

2007-09-10 16:00 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-09-10 12:00 359040 --------- C:\WINDOWS\system32\drivers\tcpip.sys

2007-09-05 14:58 --------- d-------- C:\DOCUME~1\God\APPLIC~1\dvdcss

2007-08-30 16:32 --------- d-------- C:\Program Files\Winamp

2007-08-13 01:38 --------- d-------- C:\Program Files\InterActual

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85589B5D-D53D-4237-A677-46B82EA275F3}]

2007-09-09 16:39 184320 --a------ C:\WINDOWS\system32\7N0n3c1I.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-08 12:02]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-08 11:59]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-06-08 12:03]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 C:\WINDOWS\system32\HdAShCut.exe]

"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 20:51]

"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 16:17 C:\WINDOWS\RTHDCPL.EXE]

"wdfmgr.exe"="C:\WINDOWS\wdfmgr.exe" [2007-09-10 09:57]

"TPPOLL"="C:\Program Files\Topro\tppoll.exe" []

"services.exe"="C:\WINDOWS\services.exe" []

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=C:\WINDOWS\system32\__c00435A0.dat

 

R2 Szservice;Szservice;"C:\WINDOWS\czsrv.exe"

S3 DCamUSBIntel;Webcam;C:\WINDOWS\system32\Drivers\TP6800.sys

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

AutoRun\command- D:\setupSNK.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03ba0f36-1299-11dc-bc71-0013ce91087a}]

Auto\command- bittorrent.exe e

AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f5c268-0dd9-11dc-a95d-0013ce91087a}]

Auto\command- sal.xls.exe

AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67bba7e8-0c6c-11dc-a957-806d6172696f}]

play\command- C:\Program Files\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90f5a4e9-c7f1-11db-bc5c-0013ce91087a}]

AutoRun\command- F:\.\Recycled\Driveinfo.exe

Open\Command- F:\.\Recycled\Driveinfo.exe

 

.

Contents of the 'Scheduled Tasks' folder

"2007-09-13 22:01:50 C:\WINDOWS\Tasks\At1.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-05 12:19:14 C:\WINDOWS\Tasks\At10.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-10 08:01:48 C:\WINDOWS\Tasks\At11.job"

"2007-09-13 09:01:50 C:\WINDOWS\Tasks\At12.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-10 10:01:00 C:\WINDOWS\Tasks\At13.job"

"2007-09-13 11:01:52 C:\WINDOWS\Tasks\At14.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-14 12:00:00 C:\WINDOWS\Tasks\At15.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-10 13:01:00 C:\WINDOWS\Tasks\At16.job"

"2007-09-10 14:01:01 C:\WINDOWS\Tasks\At17.job"

"2007-09-10 15:01:52 C:\WINDOWS\Tasks\At18.job"

"2007-09-12 16:01:55 C:\WINDOWS\Tasks\At19.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-13 23:01:00 C:\WINDOWS\Tasks\At2.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 17:01:00 C:\WINDOWS\Tasks\At20.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 18:01:00 C:\WINDOWS\Tasks\At21.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 19:28:06 C:\WINDOWS\Tasks\At22.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-13 20:01:46 C:\WINDOWS\Tasks\At23.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 21:03:00 C:\WINDOWS\Tasks\At24.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-13 00:03:01 C:\WINDOWS\Tasks\At3.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 01:01:00 C:\WINDOWS\Tasks\At4.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 02:01:00 C:\WINDOWS\Tasks\At5.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 03:01:00 C:\WINDOWS\Tasks\At6.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 04:01:00 C:\WINDOWS\Tasks\At7.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 05:01:00 C:\WINDOWS\Tasks\At8.job"

- C:\WINDOWS\system32\L14s36eV.exe

"2007-09-12 06:01:00 C:\WINDOWS\Tasks\At9.job"

- C:\WINDOWS\system32\L14s36eV.exe

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-14 16:48:30

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-09-14 16:49:06 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-14 16:48

.

--- E O F ---

 

merci @+

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

ok merci pour le rapport: je regarde et te laisse une réponse dans quelques instants : est ce que tu peux faire ananlyser ce fichier en ligne pendant ce temps ? >

 

C:\WINDOWS\system32\L14s36eV.exe

 

Recherche ce fichier: si tu ne le vois pas, c'est qu'il est peut être caché! dans ce cas fais ceci pour le voir >

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier L14s36eV.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier L14s36eV.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

Poste le rapport stp.

godefroyy Junior Member

godefroyy

Posté(e)
  • Auteur
Posté(e)

le problème c que je ne trouve pas ton fichier L14s36eV.exe dan system 32 par contre je trouve L14S36EV.EXE-26AC1C6D.pf dans "windows/prefetch" dc j'envoie le fichier a partir du site mais ca met du temps!!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

Ok pour le fichier, c'est paa grave:

 

Voilà ce que tu vas faire à présent stp >

 

La procédure va se dérouler en deux parties : comme on peux le voir sur tes rapports, ton pc n'est pas du tout protégé!! il est à la merci de tous les malwares...Il faut absolument que tu fasses la seconde partie de la procédure, et que tu installes les protections indiquées, sinon, tout désinfection est totalement inutile.

Prend le temps de faire ce qui est indiqué: sinon tu vas passer ton temps à te battre contre les malwares...

 

 

1) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/3tnhan

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: CFScript

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
     
    CFScript.gif
  • Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Après ca on attaque la suite (sécurisation et nettoyage final)

Modifié par charles ingals
godefroyy Junior Member

godefroyy

Posté(e)
  • Auteur
Posté(e)

Il me met un message d'erreur

 

"etiez vous entrain d'executer CFScript?

le nom CFScript semble etre incorrectement écrit"

 

je réessaye ms ca persiste a mettre ce message d erreur dc je ne peux meme pas taper 1

 

Dois je faire qqchose d autre ? je continue et attend ta reponse stp

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...