Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Aide pour analyse HiJackThis

Laskoni

Par Laskoni
dans Analyses et éradication malwares

 Partager

Messages recommandés

Laskoni Junior Member

Laskoni

Posté(e)
Posté(e)

Bonjour,

Je viens de nettoyer un PC très vérolé, mais je ne sais pas analyser le rapport. Pouvez-vous m'aider à déterminer ce qu'il faut suprimer?

Merci d'avance!

Logfile of HijackThis v1.99.1
Scan saved at 14:50:47, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\PC\LOCALS~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1438A63D-3A8A-6D26-F8BC-68A3968CABB3} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - ktask.dll (file missing)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socketa.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1201355255781
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

styx Extrem Member

styx

Posté(e)
Posté(e)

Bonsoir/bonjour Laskoni

 

(si ce n’ est déjà fait) Télécharge et installe CCleaner :

http://www.pcentraide.com/index.php?showtopic=3847

Sur le site, clique sur > Download latest version et laisse-toi guider.

Ne coche pas "Ajouter la barre d' outils Yahoo".

Laisse-le s’ installer tel que …

 

Redémarre le PC en mode sans échec :

http://forum.telecharger.01net.com/telecha...messages-1.html

(méthode F8 de préférence)

 

--------------------------------------------

Tu n' auras pas accès à Internet pendant le "mode sans échec".

Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la sur le

"bureau" pour l' avoir à ta disposition.

--------------------------------------------

 

Ferme toutes les fenêtres et applications.

Relance HijackThis et clique sur > Do a system scan only puis, coche

les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

 

O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)

O2 - BHO: (no name) - {1438A63D-3A8A-6D26-F8BC-68A3968CABB3} - (no file)

O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)

O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)

O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)

O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - ktask.dll (file missing)

O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)

O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socketa.dll (file missing)

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

 

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

 

Lance CCleaner ...

Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.

(re)Lance le nettoyage et (re)confirme par OK.

 

Redémarre le PC en mode normal ...

 

Fais ce scan en ligne …

http://www.n9ws.com/webscanner/kavwebscan.html

En bas de page, clique sur > Accept.

Laisse faire les définitions, mises à jour et installation d' ActiveX.

Puis, clique sur Next (suivant) > My Computer (Poste de travail).

Le scan commence. Patiente ...

Une fois le scan achevé, clique sur > Save report (enregistrer rapport sous …)

et enregistre-le quelque part (ex. bureau ou « mes documents »).

 

Poste-le dans ta prochaine réponse.

 

Ansi qu' un rapport HijackThis ... mais avec la bonne version cette fois-ci !

http://forum.telecharger.01net.com/microhe...messages-1.html

Laskoni Junior Member

Laskoni

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

et merci pour ton aide!

 

Voilà le rapport de l'antivirus

   KASPERSKY ON-LINE SCANNER REPORT
Sunday, January 27, 2008 8:32:13 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 27/01/2008
Enregistrements dans la base antivirus Kaspersky : 534108
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Statistiques de l'analyse
Total d'objets analysés 	53139
Nombre de virus trouvés 	17
Nombre d'objets infectés 	46 / 0
Nombre d'objets suspects 	2
Durée de l'analyse 	01:00:15

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AdBreak6.zip/kvnab$.exe 	Suspect : Password-protected-EXE 	ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AdBreak6.zip 	ZIP: suspect - 1 	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FYZ0AKU4\sdfsdf[1].htm 	Infecté : Trojan.Win32.Agent.eeu 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Application Data\Microsoft\Modèles\Normal.dot 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\bffmyr.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\brchwh.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\Bureau\Hijackthis.doc 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\byhwjt.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\cciejl.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\ekipfr.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\ekzatp.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\epqkfq.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\fpatrc.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\joxllk.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\khvyll.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\kppyim.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\laugia.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Historique\History.IE5\MSHist012008012720080128\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Temp\~DF2926.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Temp\~DF2E62.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Temp\~DFA7BF.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\lojnud.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\nemclz.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\ntuser.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\NTUSER.DAT.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\PC\ruoamo.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\slijoq.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\swwxkv.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\sxjajs.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\ugeyas.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\vqqduk.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\xcseie.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\ycowel.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Documents and Settings\PC\zecdnh.exe 	Infecté : Trojan-Downloader.Win32.Small.hsg 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Router\UnInstall.exe 	Infecté : Trojan-Downloader.Win32.Delf.dlk 	ignoré
C:\Program Files\Temporary\kernInst.exe 	Infecté : Trojan.Win32.Agent.dwb 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP513\A0108334.exe 	Infecté : Trojan-Downloader.Win32.Adload.pr 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP516\A0108598.exe 	Infecté : not-a-virus:AdWare.Win32.Agent.aaq 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP516\A0108599.DLL 	Infecté : not-a-virus:AdTool.Win32.MyWebSearch.az 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP519\A0109319.DLL 	Infecté : not-a-virus:AdTool.Win32.MyWebSearch.az 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP519\A0109320.DLL 	Infecté : not-a-virus:AdTool.Win32.MyWebSearch.az 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP519\A0110319.dll 	Infecté : not-a-virus:AdTool.Win32.MyWebSearch.az 	ignoré
C:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP527\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\b122.exe 	Infecté : Trojan-Downloader.Win32.Agent.haq 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\mrofinu1148.exe.tmp 	Infecté : Trojan-Downloader.Win32.Agent.hql 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{B71E24FE-A04C-4235-9E91-29577BE338DC}.bin 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\btask.dll 	Infecté : Trojan-Spy.Win32.Banker.hqn 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\drivers\astq.tga 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\drivers\atapi.sys 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\ktask.dll 	Infecté : Trojan-Spy.Win32.Banker.hqn 	ignoré
C:\WINDOWS\system32\lpld2.exe 	Infecté : Packed.Win32.CPEX-based.aq 	ignoré
C:\WINDOWS\system32\socketa.dll 	Infecté : Trojan-Downloader.Win32.Agent.hnp 	ignoré
C:\WINDOWS\system32\socksys.dll 	Infecté : Trojan-Downloader.Win32.Agent.hnp 	ignoré
C:\WINDOWS\system32\sеcurity\іеxplore.exe 	Infecté : not-a-virus:AdWare.Win32.PurityScan.gs 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_728.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
D:\back up\programmes\DivXPro501GAINBundle.exe/Gain_Trickler.exe 	Infecté : not-a-virus:AdWare.Win32.Gator.3102 	ignoré
D:\back up\programmes\DivXPro501GAINBundle.exe 	Vise: infecté - 1 	ignoré
D:\back up\programmes\IK97V12S.EXE/WISE0019.BIN 	Infecté : not-a-virus:Monitor.Win32.KeyLog.97 	ignoré
D:\back up\programmes\IK97V12S.EXE/WISE0020.BIN 	Infecté : not-a-virus:Monitor.Win32.KeyLog.97 	ignoré
D:\back up\programmes\IK97V12S.EXE 	WiseSFX: infecté - 2 	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{5FCD58F0-704D-4937-B09C-973B799CDF3F}\RP39\A0014379.EXE 	Infecté : not-a-virus:Client-IRC.Win32.mIRC.601 	ignoré
D:\System Volume Information\_restore{F0412F46-D11B-4987-BEC5-7FEABE824D95}\RP527\change.log 	L'objet est verrouillé 	ignoré
Analyse terminée.

 

Et celui d' HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:37, on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.n9ws.com/webscanner/kavwebscan_unicode.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O24 - Desktop Component 0: (no name) - http://webmail16e.wanadoo.fr/webmail/fr_FR/download/Download.html?IDMSG=1&PJRANG=2&NAME==?ISO-8859-1?Q?%20Noel=20+=20r=E9veillon=202005=20(47).jpg?=&FOLDER=INBOX.amours

--
End of file - 4031 bytes

styx Extrem Member

styx

Posté(e)
Posté(e)

Salut Laskoni

 

Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1) …

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

 

Dézippe le dossier ; double-clique sur GenProc.bat … et poste le

contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).

 

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Laskoni Junior Member

Laskoni

Posté(e)
  • Auteur
Posté(e)

Salut Styx,

Merci pour ton aide!

Voici le rapport de GenProc:

 

Rapport GenProc 0.73 [1] effectué le 29/01/2008 à 19:47:27,65 - SystemRoot = C:\WINDOWS 

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :  

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger toolbar.bfu (de Chercheur), Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU) 

- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant. 

- Purity.zip http://www.alt-shift-return.org/Info/Fichiers/Purity.zip et décompresse-le sur le bureau.  


***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "PC") ***** 


# Etape 2/ 

Double-clique sur le fichier Purity.bat qui se trouve dans le dossier Purity, sur ton bureau, et patiente. 

# Etape 3/ 

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Toolbar.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois. 

# Etape 4/  

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau. 

# Etape 5/ 

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 

# Etape 6/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe; 
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau; 
- Le contenu du rapport Purity.txt situé dans le dossier Purity, sur ton Bureau; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Laskoni Junior Member

Laskoni

Posté(e)
  • Auteur
Posté(e)

Et voilà le rapport Hijackthis après avoir effectué toutes les opérations requises par GenProc:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:28, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.n9ws.com/webscanner/kavwebscan_unicode.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 3553 bytes

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...