Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ce pc rame

blackf

Par blackf
dans Analyses et éradication malwares

 Partager

Messages recommandés

blackf Member

blackf

Posté(e)
Posté(e)

Salut tout le monde

le pc d'un pote rame, je fais appel a votre expertise pour le tirer de ce mauvais pas

voici son HJT:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:03:19, on 30/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe

C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe

C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe

C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe

C:\WINDOWS\system32\hpoipm07.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\michel\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - Startup: desktop(2).ini

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

est il infecté? :P merci d'avance

Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Le rapport est propre! Je ne vois aucun parfeu! Qu il en installe un! Il en trouvera 3 gratuits & performants dans les "consignes de sécurité" en bas pres de ma signature.

 

Une petite remarque :

C:\DOCUME~1\michel\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exe

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

 

Nous pouvons optimiser son systeme! Apres c est a lui de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes et des services non essentiels de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE.

 

Pour le moment vous pouvez fixer ces lignes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

 

Ensuite qu il aille dans "démarrer"----> "programmes"-----> "démarrage" puis qu il supprime les différents desktop.ini

 

Je vais également lui faire scanner son systeme avec Ewido afin de voir si aucune bestiole ne traine :

Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Modifié par Jack_Burton
blackf Member

blackf

Posté(e)
  • Auteur
Posté(e) (modifié)

Salut

ok, merci pour cette diligence.

A propos du parfeu j'ai posé la question, et il m'a répondu qu'il avait le FW de windows (pas de commentaire là-dessus STP cela fait longtemps que je lui ai dit que c'etait insufisant,mais lis les lignes suivantes, tu comprendras ce que je veux dire :P ) .Je ne savait pas qu'il n'apparaissais pas sur un log HJT ou est ce que je me trompe?

Quand à la suite de tout ceci,nous verrons cela demain:en effet il doit aller a son entrainement de hockey sur glace. Donc vu le gabarit et le sport pratiqué je n'ose pas le forçer a rester devant son PC;Vous voyez ce que je veux dire?.......non pas la tète pas la tète

En tout cas, merci pour ta célérité.

A demain, peut ètre.......si je n'ai pas pris trop de coups lol.

Modifié par blackf
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e)

Bonjour,

 

A propos du parfeu j'ai posé la question, et il m'a répondu qu'il avait le FW de windows (pas de commentaire là-dessus STP cela fait longtemps que je lui ai dit que c'etait insufisant,

Tu as tout a fait raison, ce n est absolument pas suffisant, d autant plus que le parfeu de windows ne filtre pas les flux sortants.

 

Je ne savait pas qu'il n'apparaissais pas sur un log HJT ou est ce que je me trompe?

Exact! Le firewall de windows (peut on vraiment parler de firewall dans ce cas :P ) n apparait pas sur un rapport!

blackf Member

blackf

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour

voici comme demandé le rapport d'ewido:

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 21:09:31, 31/01/2006

+ Somme de contrôle: BFF28D8C

 

+ Résultats du scan:

 

C:\Documents and Settings\michel\Cookies\michel@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\michel\Cookies\michel@serving-sys[2].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\michel\Cookies\michel@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

 

 

::Fin du rapport

Donc apparement r a s.

Sinon quel FW préconise tu ?

Merci en tout cas pour tes réponses.

 

PS:salue bien le mandarin de ma part. :P

Modifié par blackf
tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Salut Blackf,

 

 

Ton rapport Ewido ne montre en effet rien d'anormal.

 

Fais le scan de panda en ligne dans le doute ----> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (ne fonctionne qu'avec Internet Explorer car installation de contrôle activex) puis poste le rapport du scan.

 

 

Sinon pour le pare-feu, il en existe 3 gratuits et performants :

 

- Zonealarm home (simple, en français)

- Kerio personal firewall (pareil)

- Jetico personal firewall

 

J'ai un préférence pour ZA et Kerio, (car déjà essayé), mais après c'est à toi de voir.

 

--> http://telechargement.zebulon.fr/category-24.html

Modifié par tornado

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...