PC infécté - Rapport HijackThis

[phildard]

Bonjour,

 

Je ne peux pas utiliser l'option 2 de Navilog1, j'ai un message qui dit ceci:

 

"Pour effectuer un nettoyage avec choix 2

vous devez imperativement avoir fait auparavant

une recherche avec le choix 1 et transmis le rapport

au Helper qui vous a pris en charge

 

le Fix va etre interrompu

Appuyer sur une touche pour continuer..."

 

Que dois-je faire?

Merci

[wong]

Bonjour phildard,

 

Une remarque préliminaire : Tu utilises des logiciels P2P. Ce sont les sources principales d'infections souvent méchantes.

 

Je te conseille de prendre le temps de lire le tuto suivant afin que tu puisses mieux comprendre :

 

Tuto de Tesgaz sur le P2P : http://forum.zebulon.fr/index.php?showtopic=85544/ http://pitcatsite.ovh.org/forum/viewtopic.php?t=28

 

 

Supprime sur ton PC les fichiers suivants :

 

C:\fixnavi.txt

C:\cleannavi.txt

 

 

Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

Pour utiliser SmitFraudFix:

Faux positif : process.exe est détecté par certains antivirus ( AntiVir, Dr.Web, Kaspersky Anti-Virus ) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité ( Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Autorise-le à s'installer.

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ton prochain message.
  

Relance Navilg1

 

1°) Choisis l'option 1 et laisse-le faire l'analyse ( pas besoin de rapport pour cette option ).

 

2°) Choisis l'option 2 ( avec prise en charge des résultats de Blacklight ).

Copie/Colle le rapport " C\cleannavi.txt " dans ta prochaine réponse

 

 

Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 3 rapports ( celui de SmitFraudFix, celui de Navilog1 et celui de Hijackthis ).

 

 

Cordialement.

[phildard]

Voici le rapport SmitfraudFix:

 

 

 

SmitFraudFix v2.226

 

Rapport fait à 19:00:58,25, 01/10/2007

Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Mes documents\programmes\Antispywares\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\Systray\SystrayApp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets

DNS Server Search Order: 15.243.128.51

DNS Server Search Order: 15.243.160.51

 

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{617D7C72-5130-4433-A8A4-4ACF08056B1A}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51

HKLM\SYSTEM\CS1\Services\Tcpip\..\{617D7C72-5130-4433-A8A4-4ACF08056B1A}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51

HKLM\SYSTEM\CS3\Services\Tcpip\..\{617D7C72-5130-4433-A8A4-4ACF08056B1A}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

Ensuite, je ne peux toujours pas lancer l'option 2 de Navilog1, j'ai toujours le même message que précédemment. Pourtant j'ai bien effacer les fichiers texte (fixnavi.txt et cleannavi.txt) avant de faire une nouvelle recherche... Savez-vous quel est le problème?

 

Merci

[wong]

Bonjour phildard,

 

Tu n'as pas copié le rapport HijackThis comme demandé. Fais un peu attention aux procédures.

 

Avant de faire le rapport HijackThis, on va faire un nettoyage.

 

ETAPE 1 :

 

Supprime Navilog1 ( et ses rapports ) de ton PC.

 

ETAPE 2 :

 

Télécharge CCleaner v 2.01.507 : http://www.ccleaner.com/download/builds.aspx

 

Installe-le suivant la procédure.

Attention : DECOCHE la case Yahoo ! Toolbar

 

Configure-le :

• Bouton Registre > Coche toutes les cases.
  
• Bouton Nettoyeur > Onglet Windows > Coche toutes les cases sauf : Emplacement des téléchargements - Cache de l'arrangement du Menu - Cache taille/position des fenêtres - Désinstallateur de Hotfixes - Personalisation des dossiers.
  
• Bouton Nettoyeur > Onglet Apllications > Coche toutes les cases sauf : ton antivirus ( si présent )
  
• Bouton Options > Bouton Avancé > Coche seulement : Demander pour sauvegarder les modifications du Registre.
  

Lance CCleaner

• Bouton Nettoyeur : Clique sur le bouton Analyse et ensuite sur le bouton Lancer le Nettoyage ( 2 fois ).
  
• Bouton Registre : Clique sur le bouton Chercher les erreurs et une fois trouvées Clique sur le bouton Réparer les erreurs sélectionnées. Accepte la sauvegarde du Registre, et clique sur Réparrer toutes les erreurs. Fais le 2 fois de suite.
  
• Ferme CCleaner.
  
• Redémarre ton PC normalement
  

ETAPE 3 :

 

Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta prochaine réponse

 

 

Cordialement.

Modifié le 2 octobre 2007 par wong