Analyse HJT?

[Digger]

Bonjour,

 

est il possible de faire fonctionner HJT sur un disque autre que le disque système?

Par exemple, est il possible de brancher un HDD pris d'un ordinateur à priori infecté et de faire une analyse de ce HDD par HJT?

 

Merci de vos réponses.

[nardino]

Bonsoir.

 

Non.

Hijackthis dresse un état du système actif.

En revanche tu peux très bien analyser le disque externe à partir de l'antivirus du système hôte.

Quels sonrt les problèmes rencontrés sur ce système ?

@+

[Digger]

en fait j'ai un écran bleu et je ne peux lancer aucun des boot de windows.

Cela s'est produit après que j'ai désinstallé Trend micro...

Attaque?

[Digger]

J'ai fait un scan Avira dont voici le rapport...

Une idée?

Merci

 

Avira AntiVir Personal

Date de création du fichier de rapport : mardi 2 février 2010 06:58

 

La recherche porte sur 1716349 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : jeannette

Nom de l'ordinateur : THOMAS

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 10:27:19

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 15:53:14

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 08:09:25

VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 08:09:25

VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 08:09:25

VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 08:09:26

VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 08:09:26

VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 08:09:26

VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 08:09:26

VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 08:09:26

VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 08:09:26

VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 08:09:26

VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 08:09:26

VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 08:09:26

VBASE015.VDF : 7.10.3.123 2048 Bytes 29/01/2010 08:09:27

VBASE016.VDF : 7.10.3.124 2048 Bytes 29/01/2010 08:09:27

VBASE017.VDF : 7.10.3.125 2048 Bytes 29/01/2010 08:09:27

VBASE018.VDF : 7.10.3.126 2048 Bytes 29/01/2010 08:09:27

VBASE019.VDF : 7.10.3.127 2048 Bytes 29/01/2010 08:09:27

VBASE020.VDF : 7.10.3.128 2048 Bytes 29/01/2010 08:09:27

VBASE021.VDF : 7.10.3.129 2048 Bytes 29/01/2010 08:09:27

VBASE022.VDF : 7.10.3.130 2048 Bytes 29/01/2010 08:09:27

VBASE023.VDF : 7.10.3.131 2048 Bytes 29/01/2010 08:09:28

VBASE024.VDF : 7.10.3.132 2048 Bytes 29/01/2010 08:09:28

VBASE025.VDF : 7.10.3.133 2048 Bytes 29/01/2010 08:09:28

VBASE026.VDF : 7.10.3.134 2048 Bytes 29/01/2010 08:09:28

VBASE027.VDF : 7.10.3.135 2048 Bytes 29/01/2010 08:09:28

VBASE028.VDF : 7.10.3.136 2048 Bytes 29/01/2010 08:09:28

VBASE029.VDF : 7.10.3.137 2048 Bytes 29/01/2010 08:09:28

VBASE030.VDF : 7.10.3.138 2048 Bytes 29/01/2010 08:09:28

VBASE031.VDF : 7.10.3.144 64512 Bytes 01/02/2010 13:08:52

Version du moteur : 8.2.1.154

AEVDF.DLL : 8.1.1.3 106868 Bytes 26/01/2010 15:53:20

AESCRIPT.DLL : 8.1.3.12 823675 Bytes 26/01/2010 15:53:20

AESCN.DLL : 8.1.4.0 127348 Bytes 31/01/2010 08:09:32

AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44

AERDL.DLL : 8.1.3.4 479605 Bytes 14/01/2010 10:35:54

AEPACK.DLL : 8.2.0.5 422262 Bytes 14/01/2010 10:35:39

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38

AEHEUR.DLL : 8.1.1.1 2322805 Bytes 31/01/2010 08:09:32

AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 10:33:13

AEGEN.DLL : 8.1.1.85 369012 Bytes 31/01/2010 08:09:29

AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26

AECORE.DLL : 8.1.10.0 184695 Bytes 31/01/2010 08:09:29

AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: ShlExt

Fichier de configuration......................: C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\c014e070.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: G:,

Recherche dans les programmes actifs..........: arrêt

Recherche en cours sur l'enregistrement.......: arrêt

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : mardi 2 février 2010 06:58

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'G:\'

G:\dccdc5a0557f8960d80d65383c\mrtstub.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

G:\Program Files\Navilog1\gnc.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

G:\WINDOWS\BBSTORE\DSS\DSSAGENT.EXE

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/BrodcastDSSAGENT.A

G:\WINDOWS\pavtemp\Pav1\AVTC\Pavdll.dll

[RESULTAT] Contient le modèle de détection du virus Micro-128 ©

 

Début de la désinfection :

G:\Program Files\Navilog1\gnc.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bcb0c20.qua' !

G:\WINDOWS\BBSTORE\DSS\DSSAGENT.EXE

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/BrodcastDSSAGENT.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbb0c05.qua' !

G:\WINDOWS\pavtemp\Pav1\AVTC\Pavdll.dll

[RESULTAT] Contient le modèle de détection du virus Micro-128 ©

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bde0c14.qua' !

 

 

Fin de la recherche : mardi 2 février 2010 12:25

Temps nécessaire: 4:59:39 Heure(s)

 

La recherche a été effectuée intégralement

 

13364 Les répertoires ont été contrôlés

478484 Des fichiers ont été contrôlés

3 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

3 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

478480 Fichiers non infectés

4106 Les archives ont été contrôlées

1 Avertissements

3 Consignes

[nardino]

Bonsoir,

 

Fais un fixboot à partir de la console de récupération comme indiqué suer ce lien Microsoft

@+

[Digger]

Bonjour,

 

J'ai remis le HDD dans son ordi d'origine, mis le cd XP en place et lancé le tout.

Appuyé sur F12 pour atteindre le boot sur cd:

 

boot cd

appuyer sur n'importe quelle touche

le prg d'instal vérifie la config

Ecran bleu installation windows puis défilement en bas de tout un tas de commande jusqu'à appuyer sur F2 pour lancer la récupération.

Après demande: Insérez le disque nommé Disque de récup.système automatique windows dans le lecteur de disquette...

 

Euh là je ne comprends plus.

Il a le cd XP dans le lecteur et je n'ai pas de lecteur disquette...

 

Quid?

[Digger]

Au secours!

[nardino]

Bonjour,

 

Il faut faire l'effort de bien lire ce qui t'es proposé.

 

Option 2 : Démarrage de la console de récupération Windows à partir du CD-ROM de Windows XP

 

Si vous n'avez pas préinstallé la console de récupération Windows, vous pouvez démarrer l'ordinateur et utiliser la console de récupération directement à partir du disque d'installation d'origine de Windows XP. Si votre ordinateur est déjà sous Windows et que vous voulez ajouter la console de récupération Windows comme option de démarrage, passez à la section suivante, « Ajout de la console de récupération Windows en tant qu'option de démarrage ».

 

. Insérez le CD-ROM de Windows XP dans votre lecteur de CD-ROM, puis redémarrez l'ordinateur. Si vous y êtes invité, sélectionnez les options requises pour le démarrage (amorçage) à partir du CD-ROM.

. Lorsque la partie textuelle du programme d'installation commence, suivez les invites. Sélectionnez l'option de réparation ou de récupération en appuyant sur R.

. À l'invite, tapez le mot de passe administrateur. Cliquez sur Entrer

. À l'invite de commandes, tapez les commandes de la console de récupération.

. À tout moment, vous pouvez quitter la console de récupération Windows en tapant Exit en ligne de commande.

 

Les commandes à taper pour toi :

fixboot et valide par Entrer

Accepte par o en réponses aux questions et redémarre.

 

Si cela ne règle rien, retourne dans la console et cette fois tape cette commande

fixmbr

 

Donne des nouvelles.

@+

[Digger]

Ce qui me fait peur c'est que lorsque je fais comme demandé, l'installation de XP démarre.

C'est normal?

[Digger]

J'ai fait les deux manip.

Avec redémarrage normal de Win après.

Toujours écran bleu avec message:

recherchez tout virus, suprimer tout disque dur nouvellement installé, vérifier votre disque dur afind e vous assurer qu'il est correctement configuré et terminé.

Exécuter CHKDSK / F pour vérifier la présence d'un dommage sur votre DD puis redémarrer votre ordi.

 

Voilà