Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande analyse Rapport HijackThis

benhype

Par benhype
dans Analyses et éradication malwares

 Partager

Messages recommandés

benhype Member

benhype

Posté(e)
Posté(e)

Bonjour,

 

Je viens solliciter votre aide concernant mon Pc. En effet, après divers plantages au démarrage (résolus par un retour à un point de restauration antérieur) il devient de plus en plus lent jusqu'à mettre 5 minutes uniquement pour ouvrir Firefox. De plus dernièrement, sur Firefox et sur IE, je ne pouvais plus cliquer sur les liens présent dans n'importe quel page (à moins d'ouvrir le gestionnaire des taches de Windows!!)

 

J'ai suivi la procédure indiquée et voici le résultat d'Antivir

 

Avira AntiVir Personal

Report file date: vendredi 13 mars 2009 18:07

 

Scanning for 1296223 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Save mode

Username: Benoit

Computer name: D9TFGT3J

 

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 08:31:58

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 08:34:32

ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 08:24:06

ANTIVIR3.VDF : 7.1.2.164 46080 Bytes 13/03/2009 08:32:25

Engineversion : 8.2.0.114

AEVDF.DLL : 8.1.1.0 106868 Bytes 02/02/2009 07:48:13

AESCRIPT.DLL : 8.1.1.63 364923 Bytes 13/03/2009 08:32:26

AESCN.DLL : 8.1.1.8 127346 Bytes 09/03/2009 10:01:13

AERDL.DLL : 8.1.1.3 438645 Bytes 07/11/2008 09:08:35

AEPACK.DLL : 8.1.3.10 397686 Bytes 05/03/2009 14:12:06

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 01/03/2009 13:46:45

AEHEUR.DLL : 8.1.0.104 1634679 Bytes 09/03/2009 10:01:12

AEHELP.DLL : 8.1.2.2 119158 Bytes 01/03/2009 13:46:44

AEGEN.DLL : 8.1.1.28 336244 Bytes 13/03/2009 08:32:26

AEEMU.DLL : 8.1.0.9 393588 Bytes 16/10/2008 14:58:24

AECORE.DLL : 8.1.6.6 176501 Bytes 18/02/2009 08:19:13

AEBB.DLL : 8.1.0.3 53618 Bytes 16/10/2008 14:58:23

AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 17:04:57

AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: vendredi 13 mars 2009 18:07

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'CCleaner.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

12 processes with 12 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '21' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Benoit\Bureau\ComboFix.exe

[0] Archive type: RAR SFX (self extracting)

--> 32788R22FWJFW\psexec.cfexe

[1] Archive type: RSRC

--> Object

[DETECTION] Contains detection pattern of the application APPL/PsExec.E

[NOTE] The file was deleted!

C:\WINDOWS\system32\adsmsext.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\adsnt.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\alg.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\alrsvc.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\avifile.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\bootcfg.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\bootok.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\bootvrfy.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\cipher.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\cisvc.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\cleanmgr.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\cliconfg.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dbnetlib.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dbnmpntw.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\diantz.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dllhost.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmadmin.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmband.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmcompos.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmdskmgr.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmime.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmscript.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmstyle.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmsynth.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmusic.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dmutil.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\docprop2.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dosx.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dplaysvr.exe

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dpnhpast.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dpnhupnp.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dpnlobby.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\dpnsvr.exe

[WARNING] The file could not be opened!

 

 

End of the scan: vendredi 13 mars 2009 18:59

Used time: 51:36 min

 

The scan has been done completely.

 

6979 Scanning directories

297154 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

1 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

34 Files cannot be scanned

297153 Files not concerned

8644 Archives were scanned

34 Warnings

1 Notes

 

 

Et voici le résultat de HijackThis

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:08:19, on 13/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

C:\Program Files\Dell Support Center\bin\sprtsvc.exe

c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ICO.EXE

C:\WINDOWS\system32\Pmxmiced.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Dell Support Center\bin\sprtcmd.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Hijackthis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://partnerpage.google.com/smallbiz.del...amp;ibd=0080717

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://partnerpage.google.com/smallbiz.del...amp;ibd=0080717

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://partnerpage.google.com/smallbiz.del...amp;ibd=0080717

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cerbere.sante.univ-nantes.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"

O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iSUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...551/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{91AD6638-3ACF-4058-B24C-C00D9B349E67}: NameServer = 172.18.220.3,172.18.220.4

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Service d'indexation (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: Application système COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)

O23 - Service: Google Desktop Manager 5.7.801.7324 (GoogleDesktopManager-010708-104812) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

 

--

End of file - 8122 bytes

 

 

D'avance merci pour votre aide

Invité popup

Invité popup

Posté(e)
Posté(e)

bonsoir benhype

 

ton rapport hitjackis semble propre

tu es sous xp sp2,qu'en est-il des mises a jour?(sp3)

analyse avec antivir(il a sorti un virus)en mode sans echec

gestionnaire des taches combien de processus?

 

:P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour popup ;

 

Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section.

 

Je t'invite donc à la lire maintenant, c'est par là :

http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

 

Tout est bien expliqué, notamment les permissions pour prendre en charge une désinfection. Merci.

 

La machine présente des restes d'infections, à traiter, et est vulnérable (à sécuriser).

 

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

O23 - Service: Application système COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

NB : Si MBAM te demande à redémarrer, fais-le.

benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)
Bonjour popup ;

 

Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section.

 

Je t'invite donc à la lire maintenant, c'est par là :

http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

 

Tout est bien expliqué, notamment les permissions pour prendre en charge une désinfection. Merci.

 

La machine présente des restes d'infections, à traiter, et est vulnérable (à sécuriser).

 

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

 

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
     
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

NB : Si MBAM te demande à redémarrer, fais-le.

 

 

Bonjour Falkra,

 

Je viens seulement de revenir à mon PC que j'avais laissé allumé depuis la dernière fois ou j'ai posté le message et je découvre un écran bleu qui me dit entre autres "vidage de la mémoire physique" "si c'est la première fois que vous voyez ce message, veuillez redémarrer votre PC"

 

Je redémarre donc le PC et là c'est le drame, j'ai un message qui me dit:

"manquant ou endomagé: Racine Windows>\system32\hal.dll. Veuillez réinstaller une copie du fichier ci-dessus"

Je consulte des forums et ils me disent de booter sur le CD d'XP,

Je fais donc cela mais après avoir appuyé sur la touche R pour lancer la réparation, j'ai un nouveau message:

"le programme d'installation n'a détecté aucun lecteur de disque dur"

 

Et la je dois te dire que je suis complètement bloqué.

 

J'avais fait des sauvegardes sur un DD externe mais pour le coup, j'ai peur qu'il soit infecté lui aussi et de plus ce DD va sur d'autres PC....

 

Je suis vraiment dans la M*****

 

D'avance merci de ton aide.

benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Excuse moi mais j'ai oublié de te demander si tu penses que mes données sont récupérables ou pas...

Et comment savoir si les autres PC sont infectés étant donné que Antivir ne détecte rien?

 

Merci encore

benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Après divers Tests et appel chez Dell, il s'avère que mon Disque Dur est mort ou presque!!

Ils doivent m'en envoyer un nouveau mercredi.

 

Après réinstallation je referai un log HiJackthis, histoire de vérifier que tout est Clean.

Mes données sont sauvegardées dans un DD externe. Penses tu que l'infection peut s'y trouver?

 

Merci

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ok, c'était donc bine matériel. Vve les garanties... !

 

Après réinstallation je referai un log HiJackthis, histoire de vérifier que tout est Clean.

Mes données sont sauvegardées dans un DD externe. Penses tu que l'infection peut s'y trouver?

Il faudra vérifier cela, un déclencheur d'infection peut s'y trouver.
benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Après installation du nouveau disque dur et copie des données à partir de mon disque dur externe, voici le nouveau log HijckThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:55:06, on 20/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://f/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cerbere.sante.univ-nantes.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: rav.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA6B6A0-8AC5-4F70-8DF1-079AC36F4E05}: NameServer = 172.18.220.3,172.18.220.4

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

 

--

End of file - 3271 bytes

 

 

Merci

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Tu en as un là, infection par clés ou disque externe.

 

Branche tes clés USB, disques externes, etc avant ce qui suit.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...