Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

log hijackthis de schwartz

Thanos

Par Thanos
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

salut schwartz :P

 

Ton rapport hiajckthis est propre.

 

-concernant le fichier reg qui n'a pas fonctionné:

lorsque j'ai lancer le fichier remove.reg windows me met le message suivant "impossibilité d'importer le fichier, la fichier n'est pas un script du registre.

Est ce que tu as bien suivi les étapes pour le faire?Normalement l'icône du ficier reg doit représenter un cube de couleur verte.Si tu reçois ce message,c'est que l'extension n'est pas bonne (remove.reg et non remove.txt) Quoiqu'il en soit, Winfixer semble avoir disparu de ta liste de démarrage.Pour finir de nettoyer ses restes, télécharge Spybot qui s'en occupera sans problème=>

 

-télécharge SpyBot-Search & Destroy:

http://spybot.safer-networking.de/fr/download/index.html

 

-l'installer et le configurer comme dans ce lien=>

http://www.zebulon.fr/articles/spybot_1.php

 

Met le logiciel à jour et lance le scan, puis élimine tout ce qu'il trouve.

 

SpywareStrike revient t'il ? Ad-Aware a trouvé quelques Cookie, qui ne sont pas des virus!

 

Par contre il a bien trouvé les restes de SpywareStrike:

 

-Vide le contenu du dossier en gras =>

 

C:\Documents and Settings\PAPA\Local Settings\Temp

 

-Vide la corbeille.

 

-Désactive la restauration système qui est infectée comme ceci:

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

As tu fait analyser ce fichier comme je te demandais? =>

 

C:\Documents and Settings\PAPA\Application Data\TheBestMP3[1].exe

 

ici =>

 

1- Jotti: http://virusscan.jotti.org/de/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

Pour finir, je te demanderai un scan en ligne de ton pc =>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

à faire avec Internet Explorer et pas Firefox.

schwartz Junior Member

schwartz

Posté(e)
Posté(e)

Bonsoir Charles :P

 

J'ai fait ce que tu m'as dit j'ai télécharger SpyBot-Search & Destroy je l'ai paramétré et il à fait trois scan pour éliminer les problèmes.

Par contre cette version est légèrement différente de celle du tutorial.

Dans le menu outil et démarrage du système j'ai tout décoché mais je ne sais pas ce que je doit remettre

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

 

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2006-01-26 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2005-05-31 advcheck.dll (1.0.2.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2005-05-31 Tools.dll (2.0.0.2)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2006-01-20 Includes\Cookies.sbi

2006-01-20 Includes\Dialer.sbi

2006-01-20 Includes\Hijackers.sbi

2006-01-20 Includes\Keyloggers.sbi

2004-11-29 Includes\LSP.sbi

2006-01-20 Includes\Malware.sbi

2006-01-20 Includes\PUPS.sbi

2006-01-20 Includes\Revision.sbi

2006-01-20 Includes\Security.sbi

2006-01-20 Includes\Spybots.sbi

2005-02-17 Includes\Tracks.uti

2006-01-20 Includes\Trojans.sbi

 

Located: HK_LM:Run, AdslTaskBar

command: rundll32.exe stmctrl.dll,TaskBar

file: C:\WINDOWS\system32\rundll32.exe

size: 32256

MD5: ac0f912ea7571e9c1ad7b64c83f72bd9

 

Located: HK_LM:Run, AVGCtrl

command: "C:\Program Files\AVPersonal\AVGNT.EXE" /min

file: C:\Program Files\AVPersonal\AVGNT.EXE

size: 180327

MD5: a9f455a03fa0fef8b85c68b123a5bb99

 

Located: HK_LM:Run, AVSCHED32

command: C:\Program Files\AVPersonal\AVSched32.EXE /min

file:

 

Located: HK_LM:Run, IntelliType

command: "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

file: C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

size: 94208

MD5: b5eca5948d7f8eaa00333231f33ea31a

 

Located: HK_LM:Run, Zone Labs Client

command: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

file: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

size: 755472

MD5: e85c5dc2659f562c496e839649aa7200

 

Located: HK_LM:Run, Cmaudio (DISABLED)

command: RunDll32 cmicnfg.cpl,CMICtrlWnd

file:

 

Located: HK_LM:Run, POINTER (DISABLED)

command: point32.exe

file:

 

Located: HK_LM:Run, QuickTime Task (DISABLED)

command: "C:\Program Files\QuickTime\qttask.exe" -atboottime

file: C:\Program Files\QuickTime\qttask.exe

size: 98304

MD5: 9b4c1812595c389ab9ccf1ff3b315248

 

Located: HK_LM:Run, RealTray (DISABLED)

command: C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

file:

 

Located: HK_LM:Run, SpywareStrike (DISABLED)

command: C:\Program Files\SpywareStrike\SpywareStrike.exe /h

file:

 

Located: HK_CU:Run, CTFMON.EXE (DISABLED)

command: C:\WINDOWS\System32\ctfmon.exe

file: C:\WINDOWS\System32\ctfmon.exe

size: 13312

MD5: f95275cf5e7c30cea58b0b1b7b40210f

 

Located: HK_CU:Run, MSMSGS (DISABLED)

command: "C:\Program Files\Messenger\msmsgs.exe" /background

file: C:\Program Files\Messenger\msmsgs.exe

size: 1458448

MD5: c6bd67d9380a9ee1ef0abfef86cb4259

 

Located: HK_CU:Run, TheBestMP3 (DISABLED)

command: C:\Documents and Settings\PAPA\Application Data\TheBestMP3[1].exe t

file:

 

Located: Démarrage (tous utilisateurs), Adobe Gamma Loader.exe.lnk (DISABLED)

command: C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

file: C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

size: 113664

MD5: c2ff17734176cd15221c10044ef0ba1a

 

Located: Démarrage (tous utilisateurs), Microsoft Office.lnk (DISABLED)

command: C:\Program Files\Microsoft Office\Office10\OSA.EXE

file: C:\Program Files\Microsoft Office\Office10\OSA.EXE

size: 83360

MD5: 5bc65464354a9fd3beaa28e18839734a

 

Located: Démarrage (tous utilisateurs), NkvMon.exe.lnk (DISABLED)

command: C:\Program Files\Nikon\NkView6\NkvMon.exe

file: C:\Program Files\Nikon\NkView6\NkvMon.exe

size: 241664

MD5: 29ab460bb765ee9289407b1b1532b4a6

 

Located: WinLogon, AtiExtEvent (DISABLED)

command: Ati2evxx.dll

file: Ati2evxx.dll

 

Located: WinLogon, crypt32chain (DISABLED)

command: crypt32.dll

file: crypt32.dll

 

Located: WinLogon, cryptnet (DISABLED)

command: cryptnet.dll

file: cryptnet.dll

 

Located: WinLogon, cscdll (DISABLED)

command: cscdll.dll

file: cscdll.dll

 

Located: WinLogon, ScCertProp (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: WinLogon, Schedule (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: WinLogon, sclgntfy (DISABLED)

command: sclgntfy.dll

file: sclgntfy.dll

 

Located: WinLogon, SensLogn (DISABLED)

command: WlNotify.dll

file: WlNotify.dll

 

Located: WinLogon, termsrv (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: WinLogon, wlballoon (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: WinLogon, WRNotifier (DISABLED)

command: WRLogonNTF.dll

file: WRLogonNTF.dll

 

Comme tu peu le voir il reste un bout de TheBestMP3 et SpywareStrike.

 

Pour répondre à ta question je n'ai pas pu faire analyser

C:\Documents and Settings\PAPA\Application Data\TheBestMP3[1].exe

car il n'est pas visible dans le répertoire.

 

Je n'ai pas compris ce que tu me demande

 

ici =>

 

1- Jotti: http://virusscan.jotti.org/de/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

De plus le premier lien te fait télécharger Spyware doctor qui fait un scan trouve 58 infections et te demande de payer trente dollar pour t'enregistrer et nettyer ton Pc.

 

Sur le deuxième lien je n'ai rien compris car mon niveau en anglais est très faible.

 

L''icône du ficier reg représenter bien un cube de couleur verte mais cela ne marche pas?

 

Bien je te remercie encore pour ton aide efficace et je te dis à bientôt.

 

Schwartz

 

Apparemment je n'ai plus de problème avec spyware strike pour l'instant.

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

salut schwatz :P

 

Dans le menu outil et démarrage du système j'ai tout décoché mais je ne sais pas ce que je doit remettre

J'ai pas bien compris! La version décrite dans le tuto(version 1.2) n'est plus la même mais les réglages sont identiques.(version actuelle 1.4)

 

Il reste effectivement une petite trace de SpywareStrike mais il n'est plus actif.

 

Peut tu faire ceci stp?=>

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code")=>

@echo off
regedit.exe /e search.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
notepad search.txt

 

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : search.bat

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

 

Exécute le fichier search.bat ,un fichier texte va s'ouvrir ,copie/colle le rapport ici.

Pour répondre à ta question je n'ai pas pu faire analyser

C:\Documents and Settings\PAPA\Application Data\TheBestMP3[1].exe

car il n'est pas visible dans le répertoire.

 

Je n'ai pas compris ce que tu me demande

 

Il s'agissait de faire analyser ce fichier donc =>TheBestMP3[1].exe

ici =>

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier TheBestMP3[1].exe que tu trouveras en allant dans le dossier C:\Documents and Settings\PAPA\Application Data .Tu cliques une fois sur le fichier TheBestMP3[1].exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard!

 

Pour voir ce fichier il faut rendre le dossier( en gras) visible =>

 

C:\Documents and Settings\PAPA\Application Data

 

En faisant ceci=>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

De plus le premier lien te fait télécharger Spyware doctor qui fait un scan trouve 58 infections et te demande de payer trente dollar pour t'enregistrer et nettyer ton Pc.

Houlaaaa!! Ou est ce que tu as vu ca? Le premier lien ne me fait rien télécharger personnellement :P

schwartz Junior Member

schwartz

Posté(e)
Posté(e)

Bonsoir charles :P

 

J'ai fait ce que tu as dit et voila le rapport

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Zone Labs Client"="C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"

"AVGCtrl"="\"C:\\Program Files\\AVPersonal\\AVGNT.EXE\" /min"

"AVSCHED32"="C:\\Program Files\\AVPersonal\\AVSched32.EXE /min"

"AdslTaskBar"="rundll32.exe stmctrl.dll,TaskBar"

"IntelliType"="\"C:\\Program Files\\Microsoft Hardware\\Keyboard\\type32.exe\""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

 

Pour le scan en ligne merci pour l'explication mais le fichier TheBestMP3[1].exe n'est plus à cet emplacement car je ne l'ai pas trouvé.

 

Bonne soiré à plus tard :P

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

salut schwartz

 

N'oublie pas que le dossier "Application Data" ou se trouve "TheBestMP3[1].exe"est caché par défaut.Tes tu assuré que le dossier soit visible?

 

Ton pc parait propre à présent, comment fonctionne t'il?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...