[Résolu] Rapport Hijack

Apollo · le 22 septembre 2009

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

Connecte tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc.

Télécharge USBFix de C_XX & Chiquitine29 sur ton Bureau.

http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe

Double-clique pour l'exécuter.

Double-clique sur le raccourci pour exécuter l'outil

Sélectionne 1 puis laisse l'outil travailler

Poste le rapport stp.

@++

Modifié le 22 septembre 2009 par Apollo

Mohamedovic · le 22 septembre 2009

Voila le rqpport de USBFix

############################## | UsbFix V6.036 |

User : meriem (Administrateurs) # M-693D75C748D14

Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8

Start at: 10:40:03 | 22/09/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

Intel® Pentium® 4 CPU 2.80GHz

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 13,67 Go (4,72 Go free) # NTFS

D:\ -> Disque fixe local # 12,69 Go (9,92 Go free) [youcef] # NTFS

E:\ -> Disque fixe local # 11,91 Go (4,8 Go free) [mahrane] # NTFS

F:\ -> Disque amovible # 16,46 Mo (3,04 Mo free) [PHONE] # FAT

G:\ -> Disque CD-ROM # 588,18 Mo (0 Mo free) # CDFS

H:\ -> Disque amovible # 911,81 Mo (1,44 Mo free) [PHONE CARD] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

G:\autorun.inf

################## | Registre # Clés Run infectieuses |

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{2bb6d2ef-2863-11de-a759-806d6172696f}

Shell\AutoRun\command =G:\AUTORUN.EXE

HKCU\..\..\Explorer\MountPoints2\{2bb6d2f0-2863-11de-a759-806d6172696f}

Shell\AutoRun\command =F:\abqk2c3i.bat

Shell\explore\Command =F:\abqk2c3i.bat

Shell\open\Command =F:\abqk2c3i.bat

HKCU\..\..\Explorer\MountPoints2\{32d2f0d4-3ca0-11de-8dc5-00010222aba4}

Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

HKCU\..\..\Explorer\MountPoints2\{4ce5c6a4-596f-11de-8e39-00010222aba4}

shELl\autOpLAy\comMaND =rplsvn.pif

shELl\AutoRun\command =rplsvn.pif

shELl\expLoRe\coMmand =rplsvn.pif

shELl\opEn\cOmMAnd =rplsvn.pif

HKCU\..\..\Explorer\MountPoints2\{dce762f0-58ff-11de-8e36-00010222aba4}

Shell\AuToplAy\CoMMaND =F:\vkka.exe

Shell\AutoRun\command =F:\vkka.exe

Shell\ExplORe\commANd =F:\vkka.exe

Shell\open\Command =F:\vkka.exe

################## | ! Fin du rapport # UsbFix V6.036 ! |

Apollo · le 22 septembre 2009

Ok,

saleté d'infection usb!

Supports toujours connectés:

Relance USB Fix et choisis cette fois l'option 2, valide par Entrée (Enter).

Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

Le nettoyage va prendre quelques minutes... Appuyer sur OK sur la fenêtre d'informations.

Le fix peut avoir besoin de redémarrer l'ordinateur, un message vous en avertit, vous devez appuyer sur une touche.

Au redémarrage, le fix se relance... laissez l'opération s'effectuer.

Un rapport de nettoyage vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

Colle le rapport ici stp.

On vaccinera tout ce beau monde à l'étape suivante

@++

Mohamedovic · le 22 septembre 2009

il m'a demandé d'envoyer un fichier et c ce que j'ai fait

mais il m'a pas donner aucun rapport

en+ cette fois ya pas de freez je travail normal sur le PC qui a eté infecté!!

Apollo · le 22 septembre 2009

Oakyyy, on dirait qu'on a mis la main sur le coupable.

Vaccination des lecteurs et supports amovibles.

Brancher tous les supports amovibles.

Relance USBFIX et choisis cette fois l'option 3. Valide par Enter

La désinstallation d'USBFIX se fera avec l'option 5.

Donc ton ordi a retrouvé de bonnes sensations?

Après ça, poste un nouveau log Hijackthis pour les dernières vérifications d'usage.

Il faudra supprimer les points de restauration pour éviter de remonter une infection par mégarde:

Désactiver la Restauration Système.

Démarrer/Tous les programmes/Accessoires/Outils Système/

Cliquer sur Restauration Système.

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

Redémarrer le pc.

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

@++

Mohamedovic · le 22 septembre 2009

voila le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:30:19, on 22/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E63ACB0-9402-4F9C-9A9A-68DDC81D663E}: NameServer = 208.67.222.222 193.55.10.102

O17 - HKLM\System\CS1\Services\Tcpip\..\{6E63ACB0-9402-4F9C-9A9A-68DDC81D663E}: NameServer = 208.67.222.222 193.55.10.102

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

--

End of file - 3613 bytes

Apollo · le 22 septembre 2009

Ce log est clean.

Tu peux installer le SP3:

ce sera le dernier pack proposé pour XP, autant l'installer.

http://www.vista-xp.fr/forum/topic1522.html

Faire ensuite toutes les mises à jour qui seront disponibles sur Microsoft Update >> Démarrer/tous les programmes/Microsoft Update.

Il manque un firewall correct sur cette machine, en voici deux gratuits, choisis-en un seul bien sûr.

Kerio

http://www.vista-xp.fr/forum/post80.html#80

Tuto: http://www.malekal.com/kerio_firewall.html

Online Armor Free (fr)

Tuto: http://infomars.fr/forum/index.php?showtopic=1644

----------------------

Désinstalle OTM en le lançant puis en cliquant sur Clean Up!

Pour désinstaller les outils utilisés:

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

Options facultatives

A utiliser si vous le souhaitez :

Création d'un nouveau point de restauration (conseillé)

Vidage de la corbeille

Nettoyage de vos fichiers temporaires

Mettre ToolsCleaner2 à la corbeille.

@++

Mohamedovic · le 22 septembre 2009

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\TB.txt: trouvé !

C:\UsbFix.txt: trouvé !

C:\Combofix: trouvé !

C:\Qoobox: trouvé !

C:\Toolbar SD: trouvé !

C:\UsbFix: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\meriem\Bureau\HijackThis.lnk: trouvé !

C:\Documents and Settings\meriem\Bureau\ComboFix.exe: trouvé !

C:\Documents and Settings\meriem\Bureau\ToolBarSD.exe: trouvé !

C:\Documents and Settings\meriem\Bureau\UsbFix.exe: trouvé !

C:\Documents and Settings\meriem\Bureau\Rsit.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

C:\Qoobox\Quarantine\catchme.log: trouvé !

ــــــــــــــــــــــــــــــــــــــــــ

Rapport TCleaner

Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\TB.txt: trouvé !

C:\UsbFix.txt: trouvé !

C:\Combofix: trouvé !

C:\Qoobox: trouvé !

C:\Toolbar SD: trouvé !

C:\UsbFix: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\meriem\Bureau\HijackThis.lnk: trouvé !

C:\Documents and Settings\meriem\Bureau\ComboFix.exe: trouvé !

C:\Documents and Settings\meriem\Bureau\ToolBarSD.exe: trouvé !

C:\Documents and Settings\meriem\Bureau\UsbFix.exe: trouvé !

C:\Documents and Settings\meriem\Bureau\Rsit.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------

--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

C:\Documents and Settings\meriem\Bureau\HijackThis.lnk: supprimé !

C:\Documents and Settings\meriem\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!

C:\Documents and Settings\meriem\Bureau\ToolBarSD.exe: supprimé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !

C:\TB.txt: supprimé !

C:\UsbFix.txt: supprimé !

C:\Documents and Settings\meriem\Bureau\UsbFix.exe: supprimé !

C:\Documents and Settings\meriem\Bureau\Rsit.exe: supprimé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !

C:\Qoobox\Quarantine\catchme.log: supprimé !

C:\Combofix: supprimé !

C:\Qoobox: supprimé !

C:\Toolbar SD: supprimé !

C:\UsbFix: supprimé !

C:\Rsit: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

C:\Program Files\Trend Micro\HijackThis: supprimé !

Apollo · le 22 septembre 2009

Le pc fonctionne bien maintenant?

Si c'est ok pour toi,

Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer dans ton premier post. Tu pourras alors changer le titre.

+++

Mohamedovic · le 22 septembre 2009

Oui,il Fonctionne trés bien

Merci infiniment.

Connexion

Pas encore inscrit ?

[Résolu] Rapport Hijack

Messages recommandés

Apollo

Mohamedovic

Apollo

Mohamedovic

Apollo

Mohamedovic

Apollo

Mohamedovic

Apollo

Mohamedovic

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer