Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

demande d'analyse sur un rapport hijackthis


Masterlex
 Partager

Messages recommandés

Bonjour,

suite à une infection par des logiciels malveillants ([email protected]) j'ai appliqué la procédure de sécurité.

 

Smitfraud m'a donné le rapport suivant :

 

SmitFraudFix v2.69

 

Rapport fait à 11:02:59,40, 12/07/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\smitfraudfix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\ishost.exe supprimé

C:\WINDOWS\system32\ismon.exe supprimé

C:\WINDOWS\system32\isnotify.exe supprimé

C:\WINDOWS\system32\issearch.exe supprimé

C:\WINDOWS\system32\ixt?.dll supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url supprimé

C:\DOCUME~1\ADMINI~1\Favoris\Antivirus Test Online.url supprimé

C:\Program Files\SpyQuake2.com\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Et voici le rapport d'Hijackthis en mode normal à l'issue de la procédure :

 

Logfile of HijackThis v1.99.1

Scan saved at 11:07:26, on 12/07/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\AntiVir PersonalEdition Classic\update.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avnotify.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt1.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

 

Pouvez vous me dire si je dois mettre en oeuvre d'autres mesures pour nettoyer complètement mon pc (win xp sans sp).

Merci.

Mlex

Modifié par Masterlex
Lien vers le commentaire
Partager sur d’autres sites

Salut.

 

La première chose à faire, c'est de désinstaller un antivirus, tu en as 2 sur ta machine, Antivir et Avast, il te faut effectuer un choix sous peine de gros soucis, on ne peut pas faire cohabiter 2 antivirus.

 

Autrement ton log me paraît propre, mais attend des avis supplémentaires.

 

Je remarque néanmoins que tu ne disposes pas de pare-feu, visiblement tu n'as pas celui de XP vu que tu ne disposes pas du pack Sp.Télécharge un pare-feu gratuit, c'est indispensable.

 

Autrement as-tu passé un scanner d'antimalware type Ewido??Télécharge-le en version d'essai et scanne ton PC, supprime tout ce qu'il te propose.

 

Enfin, télécharge Spyware Blaster pour "vacciner" ton PC et XPAntispy pour désactiver les options à risques de Windows.

 

J'espère t'avoir été utile!

Modifié par ogu
Lien vers le commentaire
Partager sur d’autres sites

Bonjour a tous,

 

Je vais un peu reprendre les memes propos que ogu.

 

1/Ton systeme n'est pas a jour, mais on verra ca a la fin.

 

2/ tu as deux antivirus (antivir et avast) il te faut en desinstaller un des deux

 

3/ tu n'as pas de firewall, installe en un des trois:

 

_zone alarm que tu peux télecharger ici http://www.zonelabs.com/store/content/cata...&lid=nav_za

_tuto pour zone alarm ici http://speedweb1.free.fr/frames2.php?page=tuto1

_aide pour le parametrer ici http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

_sygate que tu peux télecharger ici http://www.symantecstore.com/dr/v2/ec_main...CACHE_ID=203890

_tuto pour sygate ici http://geeksasylum.free.fr/articles/reseau...ate5/part01.htm

_kerio que tu peux télecharger ici http://www.inoculer.com/firewall5.php3

-tuto pour kerio http://www.vulgarisation-informatique.com/kerio.php

 

 

4/ Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

 

5/ Dézipper la totalité de l'archive sur ton bureau.

 

6/* Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et post aussi le nouveau rapport ainsi qu'un nouveau log hijackthis.

 

@+

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...