[ Résolu ]Demande analyse HijackThis - Virus alert

[olivier092]

Bonjour,

 

 

 

- Pour le fichier a84wezfa.SYS j'ai bien accès aux fichiers cachés et protégés et toujours pas ce fichier présent

 

- Voici le rapport demandé :

 

Malwarebytes' Anti-Malware 1.25

Version de la base de données: 1080

Windows 5.1.2600 Service Pack 3

 

8:42:32 8/24/2008

mbam-log-08-24-2008 (08-42-32).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 96733

Temps écoulé: 16 minute(s), 42 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Administrateur\Bureau\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

[WawaSeb]

Bonsoir olivier092,

 

*** Tout devrait être parfait, mais quelque chose me laisse perplexe !! ***

 

 

C:\Documents and Settings\Administrateur\Bureau\explorer.exe moved successfully.

 

C:\Documents and Settings\Administrateur\Bureau\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

• Soit le rapport d'OTMoveIt se trompe...
  
• Soit le fichier est recréé...
  

 

 

# Crée un nouveau document texte

 

° Copie-colle les lignes suivantes (en citation) dans ce nouveau document, enregistre-le sur le bureau sous le nom "check.bat"

 

! Attention, tu dois choisir dans le champ "Type" --> TOUS LES FICHIERS !

 

---> Ton icône doit ressembler à ceci :

 

---> Exécute alors "check.bat" en double-cliquant dessus...

 

 

@echo off
dir /ahr C:\"Documents and Settings"\Administrateur\Bureau\*.exe >>rapport.txt
notepad rapport.txt
echo.
echo.
echo Appuie sur une touche pour terminer et effacer les fichiers...
pause >NUL
del rapport.txt
del check.bat

 

---> Poste enfin le rapport généré...

 

 

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

 

Bonne nuit !

[olivier092]

Bonsoir,

 

Voici le rapport ce Check.bat :

 

 

 

V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme

 

17:03:56.75

sam. 08/23/2008

 

 

Nom de tƒche Heure de la prochaine ex tat

==================================== ======================== ===============

Maintenance en 1 clic 18:00:00, 8/23/2008 N'a pas pu d‚ma

Maintenance en 1 clic 18:00:00, 8/23/2008 N'a pas pu d‚ma

Maintenance en 1 clic · l'ouverture de session N'a pas pu d‚ma

 

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Pré-chargeur Browseui

{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Démon de cache des catégories de composant

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 8CB5-421F

 

R‚pertoire de C:\Documents and Settings\Administrateur\Bureau

 

 

 

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

- Non je n'ai plus de problèmes pour l'instant

 

 

Bonne nuit à toi aussi.

[WawaSeb]

Bonjour olivier092,

 

*** Je te félicite pour ton excellent travail ! ***

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Supprime les dossiers / fichiers suivants :

• SDFix de ton bureau
  
• C:\SDFix\
  
• C:\Report.txt
  
• C:\Rapport.txt
  
• SmitFraudFix de ton bureau
  
• OTMoveIt2.exe (sur ton bureau)
  
• Rapport.txt de ton bureau (s'il y est toujours)
  
• Check.bat (s'il y est toujours)
  
• tasks.bat (s'il y est toujours)
  ==> Tu peux garder MBAM pour lancer des analyses ponctuelles après avoir mis l'outil à jour...
  

 

 

2) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise un compte limité pour surfer : voir cette page (merci JoK) ou Microsoft !
   
3. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
4. Evite les sites douteux, illégaux, pornographiques, ...
   
5. Méfie-toi des programmes gratuits (financés par...)
   
6. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
7. Garde un Antivirus à jour !
   
8. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
9. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

 

 

3) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Ton infection principale : Zlob

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

4) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

#

Ouvre ton premier po

s

t

#

Clique

s

ur le bouton

Editer

--->

Edition compl

è

te

#

Ajoute [R

é

s

olu] au titre de ton

s

ujet

 

En espérant de tout coeur que tu ne te feras plus infecter...

 

 

Edit : suppression des outils

Modifié le 25 août 2008 par WawaSeb

[olivier092]

Bonjour Wawaseb,

 

Encore merci beaucoup pour ton aide sans toi je n'y serais jamais arrivé

 

J'ai dénoncé mon infection sur Malware Complaints

 

Bonne continuation et merci pour les derniers conseils.