|
| julienEVO6 |  Posté le 27/08/2007 @ 22:42 |
Petit astucien
131 Messages
| Hello,j'ai un gros probleme sur mon Pc . J'ai avast antivirus et mon pc plante a l'ouverture d'une cession sous Windows XP. Comme Windows XP avait été installé malencontreusement 2 x sur le pc et bien je peux aller dans la 2em partie pour acceder au net mais meme la ca rame severe. avast a detecté un virus du nom de Dialer970 et des pages internet me proposant d'installer Winantispyware ou encore WinantivirusPro2007 s'ouvrent tres souvent. J'a donc fait une analyse HijackThis vu que souvent quand j'ai un rpobleme on me demande de la faire alors je vous post mon scan: Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\logon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\PIERROT\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\system32\gebcywt.dll
O2 - BHO: (no name) - {7EDB116C-6B4B-4695-ACBA-F10F5E181F4B} - C:\WINDOWS\System32\pmnnn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\System32\wnmyffpe.dll",forkonce
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187900696726
O20 - Winlogon Notify: gebcywt - C:\WINDOWS\SYSTEM32\gebcywt.dll
O20 - Winlogon Notify: pmnnn - C:\WINDOWS\System32\pmnnn.dll
O20 - Winlogon Notify: urqqron - C:\WINDOWS\SYSTEM32\urqqron.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe --
End of file - 5177 bytes Merci de m'aider a vaincre ces virus!!  |
| |
| |
| Publicité |
|
|
| chinart | Posté le 28/08/2007 à 07:56 |
Astucien
1481 Messages
| bonjour Allez sur www.secuser.com pour faire un scan en ligne,et nettoyer.bonne journée |
| |
|
| julienEVO6 | Posté le 29/08/2007 à 21:22 |
Petit astucien
131 Messages
| Hello je suis allé sur Secuser et j'ai fais un scan et j'ai nettoyé tout ce qui a été detecté mais ca continue a planter et j'ai aussi un programme internet Dialer qui est installé et qui doit etre l'origine des emmerde et quand je le supprime il revien. |
| |
|
| euskal-herri | Posté le 29/08/2007 à 21:37 |
Astucien
4386 Messages
| 
faire ça et faire transferer ton sujet sur le forum securite |
| |
|
| julienEVO6 | Posté le 29/08/2007 à 22:08 |
Petit astucien
131 Messages
| Ok merci et pour faire transferer mon sujet je fais comment ? |
| |
|
| euskal-herri | Posté le 30/08/2007 à 00:23 |
Astucien
4386 Messages
| tu cliques sur le triangle jaune |
| |
|
| julienEVO6 | Posté le 30/08/2007 à 09:22 |
Petit astucien
131 Messages
| euskal-herri a écrit :
faire ça et faire transferer ton sujet sur le forum securite
J'ai fais ce qui est dit pour nettoyer tout mais rien n'a changer. |
| |
|
| euskal-herri | Posté le 30/08/2007 à 14:06 |
Astucien
4386 Messages
| le lien c'est juste pour un prenettoyage apres il faut poster un rapport HijackThis sur le forum de securite où des astuciens + cales que moi en desinfection vont t'aider |
| |
|
| julienEVO6 | Posté le 30/08/2007 à 19:27 |
Petit astucien
131 Messages
| Ok ben le rapport est posté donc j'attend de l'aide  |
| |
|
| euskal-herri | Posté le 31/08/2007 à 11:19 |
Astucien
4386 Messages
| il est où ton rapport ??? |
| |
|
| nardino | Posté le 31/08/2007 à 12:09 |
 Groupe Sécurité
8671 Messages
| Bonjour, L'analyse de ton rapport est en cours... |
| |
|
| nardino | Posté le 31/08/2007 à 12:14 |
Groupe Sécurité
8671 Messages
| Re, Deux choses à effectuer : 1- Télécharge :
VundoFix de Atribune: http://www.atribune.org/ccount/click.php?id=4
VirtumondoBegone : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe Double clic sur Vundofix.exe.
Coche la case Run VundoFix as a task
Répond OK au popup qui s'ouvre.
Il va se refermer et réouvrir au bout d'une minute environ.
Quand il est rouvert, clique sur Scan for Vundo
Quand le scan est terminé, clique sur Remove Vundo
Réponds Yes à la demande de suppression des fichiers.
Il te sera demandé de redémarrer ton ordinateur, accepte bien sûr.
Si cela n'a pas fonctionné et seulement dans ce cas, redémarre en mode sans échec et lance VirtumundoBeGone.exe. 2- Télécharge Navifix de Il-Mafioso :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Installe-le en cliquant sur le fichier Navilog1.exe
Ouvre le dossier créé dans Program files et clique sur Navilog1.bat
Dans la fenêtre DOS clique sur F pour être en français et Entrée.
Au menu principal suivant, choisis 1 et valide par Entrée.
Ne fais pas le choix 2,3 ou 4 sans l'avis de la personne qui t'aide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans ta prochaine réponse. Referme le blocnote.
Il sera sauvegardé dans le dossier sous fixnavi.txt. Tu posteras donc trois rapports: Vundofix, navilfix et un nouveau HijackThis. |
| |
|
| julienEVO6 | Posté le 06/09/2007 à 19:37 |
Petit astucien
131 Messages
| Rapport Navifix: Search Navipromo version 2.0.9 commencé le 06/09/2007 à 19:34:55,34
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!! Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO Executé en mode normal *** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\PIERROT\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064. [+] Started on 09/06/07 at 19:35:03.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...........
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/06/07 at 19:35:24 (return code = 0).
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
Fichiers trouvés : Aucun Fichier trouvé ! Fichiers suspects : Aucun Fichier suspect trouvé ! *** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
3)Recherche Certificats :
Certificat Egroup absent !
*** Analyse Terminé le 06/09/2007 à 19:35:54,79 ***
|
| |
|
| julienEVO6 | Posté le 06/09/2007 à 19:39 |
Petit astucien
131 Messages
| Rapport HijackThis: Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:38:49, on 06/09/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\PIERROT\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - (no file)
O2 - BHO: (no name) - {784F9F9D-6C87-4A93-8492-773128382466} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187900696726
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: gebcywt - gebcywt.dll (file missing)
O20 - Winlogon Notify: pmnnn - C:\WINDOWS\System32\pmnnn.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe --
End of file - 5771 bytes |
| |
|
| nardino | Posté le 06/09/2007 à 19:50 |
Groupe Sécurité
8671 Messages
| Bonsoir. Applique ceci: Procédure de prénettoyage du pc.
1°- Télécharger, au besoin, les logiciels suivants
-CCleaner : http://www.ccleaner.com/
Clique sur Download CCleaner now...
Installe-le.
Un excellent tuoriel de Jesses pour le paramétrer : http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
Il va nettoyer les fichiers temporaires.
-AVG-AntiSpyware 7.5 : http://www.ewido.net/en/download/
Tu télécharges et installes AVG AntiSpyware en cliquant sur Downlaod now (bouton orange en bas de page).
Celui-ci installé, tu ouvres AVG AntiSpyware et sur la page d'accueil tu peux modifier l'état de :
Bouclier résident
Mise à jour automatique
Ces deux services ne seront actifs que 30 jours mais le programme restera valable pour les analyses et le nettoyage par la suite.
Il suffira toujours de prendre la précaution de le mettre à jour avant usage.
Tu cliques sur Mise à jour et Commencer la mise à jour dans la fenêtre suivante.
Puis dans l'onglet Paramètres
Sous la question Comment réagir ?, clique gauche sur Actions recommandées et choisis Quarantaine
Coche Générer un rapport après chaque analyse
Tu refermes pour le moment.
-Hijackthis 2.0.2 de Trend Micro : http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download
Il sera installé par défaut dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe
-Antivir de Avira : http://www.free-av.com/
Clique sur download here en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système. (Attention pas disponible pour Vista 64 bits.)
Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.
http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.
2°- Démarrage en mode sans échec et nettoyage des fichiers.
Important de faire la procédure sous ce mode.
Il faut choisir la même session que celle qui est infectée et non pas la session "Administrateur" qui n'apparaît que sous ce mode.
Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuie sur F8.
Une fenêtre de type DOS s'ouvre, sélectionne Mode sans échec à l'aide des flèches du clavier et clique sur Entrée (Enter).
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.
-C-Cleaner
Ouvre CCleaner et cliques sur Analyse, puis quand elle est terminée, clique sur Lancer le nettoyage.
Il sera effectué même si tu vois encore l'affichage dans le cadre principal.
3°- Lancement des scans antispywares et antivirus
-AVG
Tu ouvres AVG antiSpyware.
Sur la page d'accueil, tu choisis Analyser maintenant.
Puis Analyse complète du système dans la nouvelle fenêtre.
Puis quand le scan est terminé, tu choisis Appliquer les actions, bouton en bas à gauche.
Tu sauves le rapport en cliquant sur Enregistrer le rapport d'analyse, puis dans la fenêtre suivante Enregistrer le rapport sous,tu obtiens un fichier : Report-Scan-2007****-******.txt
Tu choisis le bureau et tu posteras ce dernier par copier-coller pra la suite.
-ANTIVIR
Tu désactives ton antivirus habituel.
Tu cliques sur l'icône du bureau pour lancer Antivir.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
Il est préférable de ne pas s'éloigner pour répondre aux messages en cas d'alerte.
Tu choisis Moved to quarantine pour tout ce qu'il trouve.
Quand le scan est terminé, tu clique sur End.
4°- Redémarrage en mode normal.
-Scan HijackThis:
Lance-le par Do a system scan and save a logfile.
Et tu le refermes pour le moment.
Tu attends les résultats de l'analyse.
Tu postes les trois rapports suivants par copier-coller dans ta réponse :
- HijackThis = situé ici :C:\Program Files\ Trend Micro\ HijackThis\hijackthis.log, tu l'ouvres.
- AVGAS = Report-Scan-2007****-******.txt établi par AVG et enregistré sur le bureau ou bien, si tu as raté une étape tu ouvres AVGAS et dans Rapport, tu sélectionnes celui qui correspond à la date et enregistrer sous et tu le fais sur le bureau.
- antivir = Tu ouvres le programme et dans l'onglet Reports, choisi Scan avec la date correspondante, double-clique dessus et ensuite sur Report file et fais un copier-coller de la totalité. |
| |
|
| julienEVO6 | Posté le 07/09/2007 à 20:05 |
Petit astucien
131 Messages
| Mon rapport HijackThis: Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:04:57, on 07/09/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\PIERROT\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - (no file)
O2 - BHO: (no name) - {784F9F9D-6C87-4A93-8492-773128382466} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187900696726
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: gebcywt - gebcywt.dll (file missing)
O20 - Winlogon Notify: pmnnn - C:\WINDOWS\System32\pmnnn.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: antivir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: antivir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe --
End of file - 6364 bytes |
| |
|
| julienEVO6 | Posté le 07/09/2007 à 20:08 |
Petit astucien
131 Messages
| Mon rapport AVGAS: Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:04:57, on 07/09/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\PIERROT\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - (no file)
O2 - BHO: (no name) - {784F9F9D-6C87-4A93-8492-773128382466} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187900696726
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: gebcywt - gebcywt.dll (file missing)
O20 - Winlogon Notify: pmnnn - C:\WINDOWS\System32\pmnnn.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: antivir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: antivir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe --
End of file - 6364 bytes |
| |
|
| julienEVO6 | Posté le 07/09/2007 à 20:09 |
Petit astucien
131 Messages
| Et mon rapport Antivir: AntiVir PersonalEdition Classic
Report file date: vendredi 7 septembre 2007 08:12 Scanning for 1036370 virus strains and unwanted programs. Licensed to: Avira antivir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: PIERROT
Computer name: PIERRE-586EJQY8 Version information:
BUILD.DAT : 268 15604 Bytes 31/08/2007 13:04:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 11:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 11:32:46
ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25/08/2007 16:21:02
ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28/08/2007 06:22:36
AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29/08/2007 16:09:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21 Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: J:,
Scan Memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium Start of the scan: vendredi 7 septembre 2007 08:12 The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned Start scanning boot sectors:
Boot sector 'A:\\'
[NOTE] In the drive 'A:\\' no data medium is inserted!
Boot sector 'C:\\'
[NOTE] No virus was found!
Boot sector 'D:\\'
[NOTE] No virus was found!
Boot sector 'G:\\'
[NOTE] In the drive 'G:\\' no data medium is inserted!
Boot sector 'H:\\'
[NOTE] In the drive 'H:\\' no data medium is inserted!
Boot sector 'I:\\'
[NOTE] In the drive 'I:\\' no data medium is inserted!
Boot sector 'J:\\'
[NOTE] In the drive 'J:\\' no data medium is inserted! Starting to scan the registry.
The registry was scanned ( '24' files ).
Starting the file scan:
Begin scan in 'A:\\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt. Begin scan in 'C:\\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\27d46289a60227d1e3377e920de094ac\legitcheckcontrol.dll
[WARNING] The file could not be opened!
C:\27d46289a60227d1e3377e920de094ac\spmsg.dll
[WARNING] The file could not be opened!
C:\27d46289a60227d1e3377e920de094ac\spuninst.exe
[WARNING] The file could not be opened!
C:\27d46289a60227d1e3377e920de094ac\wgalogon.dll
[WARNING] The file could not be opened!
C:\27d46289a60227d1e3377e920de094ac\wgatray.exe
[WARNING] The file could not be opened!
C:\a75d5231d7c317e4cd6fda93e61ddf73\mrtstub.exe
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8YL1EXN0\q06[1].jpg
[DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
[INFO] The file was moved to '4716ec10.qua'!
C:\Program Files\Navilog1\navilog1.bat
[DETECTION] Contains suspicious code HEUR/Exploit.HTML
[INFO] The file was moved to '4756ec77.qua'!
Begin scan in 'D:\\'
D:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\colbact.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\comuid.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\es.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\ole32.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB828741$\txflog.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\browser.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\callcont.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\helpctr.exe
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\msgina.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\mst120.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
[WARNING] The file could not be opened!
D:\WINDOWS\$NtUninstallKB835732$\schannel.dll
[WARNING] The file could not be opened!
Begin scan in 'E:\\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt. Begin scan in 'F:\\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt. Begin scan in 'G:\\'
Search path G:\ could not be opened!
Le périphérique n'est pas prêt. Begin scan in 'H:\\'
Search path H:\ could not be opened!
Le périphérique n'est pas prêt. Begin scan in 'I:\\'
Search path I:\ could not be opened!
Le périphérique n'est pas prêt. Begin scan in 'J:\\'
Search path J:\ could not be opened!
Le périphérique n'est pas prêt. End of the scan: vendredi 7 septembre 2007 09:57
Used time: 1:44:48 min The scan has been done completely. 7214 Scanning directories
301255 Files were scanned
0 viruses and/or unwanted programs were found
2 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
42 Files cannot be scanned
301255 Files not concerned
1759 Archives were scanned
42 Warnings
0 Notes |
| |
|
| nardino | Posté le 07/09/2007 à 23:18 |
Groupe Sécurité
8671 Messages
| Bonsoir. A l'analyse du rapport HijackThis, il ressort qu'il s'agit d'une infection de type Virtumonde Vundo : F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - (no file) ***Virtumonde Vundo O2 - BHO: (no name) - {784F9F9D-6C87-4A93-8492-773128382466} - (no file) ***Inconnu O20 - Winlogon Notify: gebcywt - gebcywt.dll (file missing) ***Virtumonde Vundo O20 - Winlogon Notify: pmnnn - C:\WINDOWS\System32\pmnnn.dll (file missing) ***Virtumonde Vundo Aussi applique ceci, télécharge : VundoFix de Atribune: http://www.atribune.org/ccount/click.php?id=4VirtumondoBegone : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exeOutil Symantec : http://www.symantec.com/smb/security_response/writeup.jsp?docid=2004-112210-3747-99Double clic sur Vundofix.exe. Coche la case Run VundoFix as a taskRépond OK au popup qui s'ouvre. Il va se refermer et réouvrir au bout d'une minute environ. Quand il est rouvert, clique sur Scan for VundoQuand le scan est terminé, clique sur Remove VundoRéponds Yes à la demande de suppression des fichiers. Il te sera demandé de redémarrer ton ordinateur, accepte bien sûr. Copie/colle le rapport (c:\vundofix.txt) dans ta réponse Si cela n'a pas fonctionné, redémarre en mode sans échec et lance VirtumundoBeGone.exe. Et passe aussi le désinfecteur de Symantec. Désinstalle un des deux antivirus. Dans l'état actuel du fonctionnement limite de Avast, je garderai Antivir. Mais c'est toi qui décide. Une fois redémarré en mode normal poste les rapports Vundofix.txt, donne des info sur le déroulemment des aytres fix et poste un nouvel HJT. @+ |
| |
|
| julienEVO6 | Posté le 09/09/2007 à 19:34 |
Petit astucien
131 Messages
| Voila le rapport vundofix que je vien de faire: VundoFix V6.5.7 Checking Java version... Sun Java not detected
Scan started at 20:40:38 31/08/2007 Listing files found while scanning.... C:\WINDOWS\System32\mwaxnplk.dll
C:\WINDOWS\System32\nnnmp.ini
C:\WINDOWS\System32\pmnnn.dll Beginning removal... Attempting to delete C:\WINDOWS\System32\nnnmp.ini
C:\WINDOWS\System32\nnnmp.ini Has been deleted! Attempting to delete C:\WINDOWS\System32\pmnnn.dll
C:\WINDOWS\System32\pmnnn.dll Could not be deleted. Performing Repairs to the registry.
Done! Beginning removal... Attempting to delete C:\WINDOWS\System32\nnnmp.ini
C:\WINDOWS\System32\nnnmp.ini Has been deleted! Attempting to delete C:\WINDOWS\System32\pmnnn.dll
C:\WINDOWS\System32\pmnnn.dll Could not be deleted. Performing Repairs to the registry.
Done! Beginning removal... VundoFix V6.5.7 Checking Java version... Sun Java not detected
Scan started at 19:29:02 06/09/2007 Listing files found while scanning.... No infected files were found.
Beginning removal...
VundoFix V6.5.7 Checking Java version... Sun Java not detected
Scan started at 19:30:23 09/09/2007 Listing files found while scanning.... No infected files were found.
Beginning removal...
|
| |
|
| julienEVO6 | Posté le 09/09/2007 à 19:42 |
Petit astucien
131 Messages
| Virtumundo ca me donne ca:
[09/09/2007, 18:00:09] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\PIERROT\Bureau\VirtumundoBeGone.exe" )
[09/09/2007, 18:00:21] - Detected System Information:
[09/09/2007, 18:00:22] - Windows Version: 5.1.2600,
[09/09/2007, 18:00:22] - Current Username: PIERROT (Admin)
[09/09/2007, 18:00:22] - Windows is in NORMAL mode.
[09/09/2007, 18:00:22] - Searching for Browser Helper Objects:
[09/09/2007, 18:00:22] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
[09/09/2007, 18:00:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 18:00:22] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[09/09/2007, 18:00:22] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[09/09/2007, 18:00:22] - BHO 2: {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} ()
[09/09/2007, 18:00:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 18:00:22] - No filename found. Continuing.
[09/09/2007, 18:00:22] - BHO 3: {784F9F9D-6C87-4A93-8492-773128382466} ()
[09/09/2007, 18:00:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 18:00:22] - No filename found. Continuing.
[09/09/2007, 18:00:22] - Finished Searching Browser Helper Objects
[09/09/2007, 18:00:22] - Finishing up...
[09/09/2007, 18:00:22] - Nothing found! Exiting...
[09/09/2007, 19:36:59] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\PIERROT\Bureau\VirtumundoBeGone.exe" )
[09/09/2007, 19:37:04] - Detected System Information:
[09/09/2007, 19:37:04] - Windows Version: 5.1.2600,
[09/09/2007, 19:37:04] - Current Username: PIERROT (Admin)
[09/09/2007, 19:37:04] - Windows is in SAFE mode with Networking.
[09/09/2007, 19:37:04] - Searching for Browser Helper Objects:
[09/09/2007, 19:37:04] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
[09/09/2007, 19:37:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 19:37:04] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[09/09/2007, 19:37:04] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[09/09/2007, 19:37:04] - BHO 2: {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} ()
[09/09/2007, 19:37:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 19:37:04] - No filename found. Continuing.
[09/09/2007, 19:37:04] - BHO 3: {784F9F9D-6C87-4A93-8492-773128382466} ()
[09/09/2007, 19:37:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 19:37:04] - No filename found. Continuing.
[09/09/2007, 19:37:04] - Finished Searching Browser Helper Objects
[09/09/2007, 19:37:04] - Finishing up...
[09/09/2007, 19:37:04] - Nothing found! Exiting... [09/09/2007, 19:41:56] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\PIERROT\Bureau\VirtumundoBeGone.exe" )
[09/09/2007, 19:41:58] - Detected System Information:
[09/09/2007, 19:41:58] - Windows Version: 5.1.2600,
[09/09/2007, 19:41:58] - Current Username: PIERROT (Admin)
[09/09/2007, 19:41:58] - Windows is in NORMAL mode.
[09/09/2007, 19:41:58] - Searching for Browser Helper Objects:
[09/09/2007, 19:41:58] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
[09/09/2007, 19:41:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 19:41:58] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[09/09/2007, 19:41:58] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[09/09/2007, 19:41:58] - BHO 2: {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} ()
[09/09/2007, 19:41:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 19:41:58] - No filename found. Continuing.
[09/09/2007, 19:41:58] - BHO 3: {784F9F9D-6C87-4A93-8492-773128382466} ()
[09/09/2007, 19:41:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/09/2007, 19:41:58] - No filename found. Continuing.
[09/09/2007, 19:41:58] - Finished Searching Browser Helper Objects
[09/09/2007, 19:41:58] - Finishing up...
[09/09/2007, 19:41:58] - Nothing found! Exiting... |
| |
|
| nardino | Posté le 09/09/2007 à 19:43 |
Groupe Sécurité
8671 Messages
| Bonsoir. Poste un nouveau rapport HijackThis. Merci. |
| |
|
| julienEVO6 | Posté le 09/09/2007 à 20:41 |
Petit astucien
131 Messages
| Voila: Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:40:48, on 09/09/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\PIERROT\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - (no file)
O2 - BHO: (no name) - {784F9F9D-6C87-4A93-8492-773128382466} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS |
Probleme de plantage (Virus detecté)
