Behavioural.file

Résolu
Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour,
je commence a m'exercer a lire et a analyser des rapports hijack suite a l astuce de "green day" jusqu'a ce que moi aussi je prenne des trucs bizarres (behavioural.file.alert)mis en quarantaine avec viruskeeper
je joins le rapport sur lesquels je trouve 2/3 trucs bizarres mais je souhaiterais votre avis qui est beaucoup plus avisé...
evidemment je vous remercie d'avance
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:28, on 14/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\STEVY\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Media Bar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 7610 bytes
Configuration: Windows XP
Internet Explorer 7.0

47 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

L'analyse d'un rapport HijackThis révèle des éléments potentiellement malveillants et des modules publicitaires inscrits dans les processus et les paramètres de démarrage, suscitant des questions sur l'intégrité du système et des scripts associés. L'avis le plus pertinent met en évidence la ligne O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe comme infection potentielle, et conseille d'envoyer le fichier sur VirusTotal pour analyse par 38 antivirus. Des conseils supplémentaires recommandent de vérifier la légitimité de NAV_Update.exe via SystemLookup et VirusTotal, et d'utiliser les paramètres d'affichage des fichiers cachés pour repérer des éléments suspects. Certains éléments du rapport, notamment des services et des modules externes, méritent une vérification croisée avec d'autres outils (RSIT, analyseurs antivirus) avant toute modification, afin d'éviter des désactivations système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Salut ;)

    Alors, la ligne qui indique une infection dans ton rapport, c'est celle-ci (si tu veux des infos sur d'autres lignes, demande moi) : O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe

    La preuve ici : https://www.systemlookup.com/Startup/8387-NAV_Update_exe.html
    Ce site (systemlookup) recense des milliers de lignes comme celle-ci et donne des informations dessus. Ici, il montre que la ligne est infectieuse, mais c'est une infection indéterminée.

    En cas de doute sur un fichier (est-il infecté ou non), ou en cas de doute sur le type d'infection, on peut faire envoyer le fichier à VirusTotal, qui va le faire analyser par 38 antivirus. Fais donc ceci stp :

    • Rends toi sur le site https://www.virustotal.com/gui/
    • Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\NAV_Update.exe
    • Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
    • Fais un copier/coller du rapport sur le forum.

    Si tu ne trouves pas le fichier, fais ceci :
    • Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    • Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

    2
  2. msn
     
    Salut
    réinstalle HijackThis dans C:\Program Files et remet un nouveau log
    0
    1. Utilisateur anonyme
       
      voici le rapport
      ps entre temps j'ai fais un nettoyage general avec ccclaener
      mais il y a 2/3 lignes qui me gene encore qu'en pensez vous
      ex 02 no name ... no file ...
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:24:53, on 15/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16791)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\wanmpsvc.exe
      C:\WINDOWS\system32\fxssvc.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Wanadoo\GestionnaireInternet.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Wanadoo\Watch.exe
      C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
      O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
      O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
      O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx
      O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Media Bar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
      O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
      O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
      O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
      0
  3. Utilisateur anonyme
     
    slt
    merci a toi
    voici le rapport :
    Fichier NAV_Update.exe reçu le 2009.02.16 13:03:29 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 0/39 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 38 et 55 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.93 2009.02.16 -
    AhnLab-V3 5.0.0.2 2009.02.16 -
    AntiVir 7.9.0.79 2009.02.16 -
    Authentium 5.1.0.4 2009.02.15 -
    Avast 4.8.1335.0 2009.02.16 -
    AVG 8.0.0.237 2009.02.16 -
    BitDefender 7.2 2009.02.16 -
    CAT-QuickHeal 10.00 2009.02.16 -
    ClamAV 0.94.1 2009.02.16 -
    Comodo 978 2009.02.15 -
    DrWeb 4.44.0.09170 2009.02.16 -
    eSafe 7.0.17.0 2009.02.15 -
    eTrust-Vet 31.6.6358 2009.02.16 -
    F-Prot 4.4.4.56 2009.02.15 -
    F-Secure 8.0.14470.0 2009.02.16 -
    Fortinet 3.117.0.0 2009.02.16 -
    GData 19 2009.02.16 -
    Ikarus T3.1.1.45.0 2009.02.16 -
    K7AntiVirus 7.10.630 2009.02.14 -
    Kaspersky 7.0.0.125 2009.02.16 -
    McAfee 5527 2009.02.15 -
    McAfee+Artemis 5527 2009.02.15 -
    Microsoft 1.4306 2009.02.16 -
    NOD32 3856 2009.02.16 -
    Norman 6.00.02 2009.02.13 -
    nProtect 2009.1.8.0 2009.02.16 -
    Panda 10.0.0.10 2009.02.15 -
    PCTools 4.4.2.0 2009.02.16 -
    Prevx1 V2 2009.02.16 -
    Rising 21.17.02.00 2009.02.16 -
    SecureWeb-Gateway 6.7.6 2009.02.16 -
    Sophos 4.38.0 2009.02.16 -
    Sunbelt 3.2.1851.2 2009.02.12 -
    Symantec 10 2009.02.16 -
    TheHacker 6.3.2.2.258 2009.02.16 -
    TrendMicro 8.700.0.1004 2009.02.16 -
    VBA32 3.12.8.12 2009.02.16 -
    ViRobot 2009.2.16.1609 2009.02.16 -
    VirusBuster 4.5.11.0 2009.02.15 -
    Information additionnelle
    File size: 32768 bytes
    MD5...: 106313c27d9bd2306bc2b4ceff78a8b0
    SHA1..: d242eb364bd5febd2dd8f6d454663292df866c69
    SHA256: cf01efe1a56eda0f28967a269a89e20a7ab516421624739b7691fdb6ecdbf37c
    SHA512: ba119a7b03d5c54fbae192bbc668f4927b0027a0f523af5aec01550b1d967766
    da70036620d3f8178709be8c3861a3df0642c108a2d9e1012854e90cadccbed9

    ssdeep: 768:RwimvUUJUcTSOJAnfM5jGGqzddk7OJn+oxV1NfERI9Yi:eNvDUc2O6nfG7OR
    1N69i

    PEiD..: -
    TrID..: File type identification
    Win32 Executable Microsoft Visual Basic 6 (90.9%)
    Win32 Executable Generic (6.1%)
    Generic Win/DOS Executable (1.4%)
    DOS Executable Generic (1.4%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1400
    timedatestamp.....: 0x3e705f6f (Thu Mar 13 10:37:35 2003)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x4c8c 0x5000 5.15 07ba7680aa624b055aaa7ad7c2a218d1
    .data 0x6000 0xb28 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
    .rsrc 0x7000 0x7ec 0x1000 1.76 7c2e488ef35430ee56576575264c1fc6

    ( 1 imports )
    > MSVBVM60.DLL: __vbaVarSub, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaFreeVarList, __vbaVarIdiv, _adj_fdiv_m64, __vbaNextEachVar, __vbaFreeObjList, _adj_fprem1, -, __vbaResume, __vbaStrCat, __vbaError, __vbaSetSystemError, __vbaHresultCheckObj, __vbaLenVar, _adj_fdiv_m32, __vbaExitProc, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaVargVar, _CIsin, __vbaVargVarMove, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaStrCmp, __vbaObjVar, DllFunctionCall, _adj_fpatan, __vbaR4Var, EVENT_SINK_Release, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaPrintFile, __vbaInputFile, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, __vbaVarInt, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaVarSetVar, __vbaI4Var, __vbaLateMemCall, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaVarCopy, __vbaVarLateMemCallLd, -, -, _CIatan, __vbaStrMove, __vbaForEachVar, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaFreeObj

    ( 0 exports )
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    j'en ai profité pour analyser les lignes qui ne me plaisaient pas les voici
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    et ca donne ca : apparement en X j'attends ton avis
    https://www.systemlookup.com/search.php?list=&type=filename&search=O4+-+HKCU%5C..%5CRun%3A+%5BCTFMON.EXE%5D+C%3A%5CWINDOWS%5Csystem32%5Cctfmon.exe&s=
    puis
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    https://www.systemlookup.com/search.php?list=&type=filename&search=O4+-+HKUS%5CS-1-5-19%5C..%5CRun%3A+%5BCTFMON.EXE%5D+C%3A%5CWINDOWS%5CSystem32%5CCTFMON.EXE+%28User+%27SERVICE+LOCAL%27%29+&s=
    puis...
    en fait apparement les 3 autres qui comporte ctfmon...
    qu'en penses tu ?
    merci
    0
  6. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Re,

    cftmon.exe est un processus générique de Windows, il est tout à fait normal : plus d'infos ici

    • Télécharge et installe Malwarebytes' Anti-Malware
    • A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    • Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    • Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
    • Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    • A la fin du scan, clique sur Afficher les résultats
    • Coche tous les éléments détectés puis clique sur Supprimer la sélection
    • Enregistre le rapport
    • S'il t'est demandé de redémarrer, clique sur Yes

    • Poste le rapport de scan après la suppression ici

    0
  7. Utilisateur anonyme
     
    slt
    voici le rapport
    ca va vite j'ai fais un scan complet il ya 1 semaine et RAS
    et la 2 infections !
    merci encore

    Malwarebytes' Anti-Malware 1.34
    Version de la base de données: 1749
    Windows 5.1.2600 Service Pack 3

    17/02/2009 11:49:12
    mbam-log-2009-02-17 (11-49-12).txt

    Type de recherche: Examen rapide
    Eléments examinés: 74624
    Temps écoulé: 5 minute(s), 30 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7aa32fc7-133b-4ae7-998e-ced0d9829b12} (Trojan.Dialer) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{57be2636-f271-4151-9d4a-40a2663e4fd7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. Utilisateur anonyme
     
    juste pour l'explication
    pourquoi ces lignes n'apparaissent pas dans le rapport hijack, ca n'analyse les cles de registre ?
    sinon pourquoi certains lancent directement RSIT au lieu d'hijack, le log est mieux ou c'est par critere de preference ?
    0
  9. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Oui RSIT inclue un rapport hijackthis, mais il donne d'autres infos en plus (liste des tâches planifiées de Windows, des fichiers créés récemment, des modifs du Registre, des services autres que ceux de Windows)

    Pour le moment, hijackthis a montré une infection, on va déjà s'en occuper avant d'utiliser RSIT pour vérifier qu'il n'y a rien d'autre.

    • Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
    • Double-clique sur OTMoveIt3.exe afin de le lancer.
    • Clique sur ce lien, fais un copié/collé de son contenu dans le cadre « Paste Instructions for Items to be Moved » et clique sur "Moveit" : https://www.cjoint.com/?ctooPKyipw

    • Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

    • Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles
    Le nom du rapport correspond au moment de sa création : date_heure.log

    0
    1. Utilisateur anonyme
       
      slt
      et voila le rapport
      honnetement je te suis ds tes explic...mais je suis largué...
      si t'as 2 min pour m'expliquer....
      ps:antivir mis en place et viruskeeper viré
      et passé un coup de cccleaner pour nettoyer tout ca
      a+ et merci encore


      ========== PROCESSES ==========
      Process explorer.exe killed successfully.
      ========== REGISTRY ==========
      Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NAV_Update not found.
      ========== FILES ==========
      File/Folder c:\nav_update.exe not found.
      ========== COMMANDS ==========
      User's Temp folder emptied.
      User's Temporary Internet Files folder emptied.
      User's Internet Explorer cache folder emptied.
      Local Service Temp folder emptied.
      File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
      Local Service Temporary Internet Files folder emptied.
      Windows Temp folder emptied.
      Temp folders emptied.
      Explorer started successfully

      OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02172009_200130

      Files moved on Reboot...
      File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
      0
  10. Utilisateur anonyme
     
    je te fais ca des ce soir , j suis au taf (bah oui mais pas trop debordé!!!)
    concernant l'infection, j'ai elimine 2 trojan avec mbam, hors j'avais 1 infection sur le rapport hijack, comment puis je me retrouver avec 2 le lendemain?
    et si l'infection est toujours presente, j'ai enlevé quoi du coup ?
    merci encore pour le tps que tu m'accorde, j'y prends du plaisir a etudier (en dehors du fait que mon pc est infecté....)
    @+
    0
  11. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Re,

    Bon, OTMoveIt n'a pas trouvé le fichier et la clé de Registre infectés qui étaient visibles dans le rapport hijackthis.

    Ils font peut-être partie de ce qui a été supprimé par Antivir ?
    Est-ce que tu pourrais retrouver le rapport du scan et me le poster stp ? Pour ça, fais un double-clic sur l'icone d'Antivir près de l'horloge (le parapluie rouge), rends toi dans "Rapports", retrouve ton scan, double-clique dessus et clique sur Rapport.

    Poste également un nouveau rapport hijackthis stp

    0
  12. Utilisateur anonyme
     
    slt anthony
    voici le rapport de antivir
    je suis sans doute idito mais je n'ai pas trouvé la facon de supprimer les fichiers malveillants !
    un ptit coup de main ?
    et a la suite tu trouveras le raport hijack
    ps je suis alleé sur le site que tu m'as conseillé : malekal, on y trouve d'excellentes infos lire un rapport comment se proteger...ce site est tres instructif merci

    Avira AntiVir Personal
    Date de création du fichier de rapport : mardi 17 février 2009 21:38

    La recherche porte sur 1251469 souches de virus.

    Détenteur de la licence :Avira AntiVir PersonalEdition Classic
    Numéro de série : 0000149996-ADJIE-0001
    Plateforme : Windows XP
    Version de Windows :(Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur :STEVE

    Informations de version :
    BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
    AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
    LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
    LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
    ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 18:27:15
    ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11/02/2009 18:27:15
    ANTIVIR3.VDF : 7.1.2.38 154624 Bytes 17/02/2009 18:27:17
    Version du moteur: 8.2.0.83
    AEVDF.DLL : 8.1.1.0 106868 Bytes 17/02/2009 18:27:36
    AESCRIPT.DLL : 8.1.1.47 348539 Bytes 17/02/2009 18:27:34
    AESCN.DLL : 8.1.1.7 127347 Bytes 17/02/2009 18:27:33
    AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
    AEPACK.DLL : 8.1.3.8 397684 Bytes 17/02/2009 18:27:32
    AEOFFICE.DLL : 8.1.0.33 196987 Bytes 17/02/2009 18:27:28
    AEHEUR.DLL : 8.1.0.94 1606006 Bytes 17/02/2009 18:27:27
    AEHELP.DLL : 8.1.2.0 119159 Bytes 17/02/2009 18:27:21
    AEGEN.DLL : 8.1.1.17 332148 Bytes 17/02/2009 18:27:20
    AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
    AECORE.DLL : 8.1.6.6 176501 Bytes 17/02/2009 18:27:18
    AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
    AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
    AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
    RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

    Configuration pour la recherche actuelle :
    Nom de la tâche..................: Contrôle intégral du système
    Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Documentation....................: bas
    Action principale................: interactif
    Action secondaire................: ignorer
    Recherche sur les secteurs d'amorçage maître: marche
    Recherche sur les secteurs d'amorçage: marche
    Secteurs d'amorçage..............: C:,
    Recherche dans les programmes actifs: marche
    Recherche en cours sur l'enregistrement: marche
    Recherche de Rootkits............: arrêt
    Fichier mode de recherche........: Sélection de fichiers intelligente
    Recherche sur les archives.......: marche
    Limiter la profondeur de récursivité: 20
    Archive Smart Extensions.........: marche
    Heuristique de macrovirus........: marche
    Heuristique fichier..............: moyen

    Début de la recherche : mardi 17 février 2009 21:38

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LVCOMSX.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'fxssvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wanmpsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'slserv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LEXPPS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LEXBCES.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '30' processus ont été contrôlés avec '30' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence.
    Le registre a été contrôlé ( '59' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <53_03_40>
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Documents and Settings\STEVY\.jpi_cache\jar\1.0\crtdcghcn.jar-1cefd379-6d243894.zip
    [0] Type d'archive: ZIP
    --> BaaaaBaa.class
    [RESULTAT] Contient le cheval de Troie TR/Java.Downloader.Gen
    --> VaaaaaaaBaa.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    --> Dvnny.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Exploit.By.A.2
    --> Baaaaa.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Exploit.By.A.1
    --> Dex.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GC
    --> Dix.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GD
    --> Dux.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GE
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0f2208.qua' !
    C:\Documents and Settings\STEVY\.jpi_cache\jar\1.0\ms-counter.jar-713f0c9a-6e964707.zip
    [0] Type d'archive: ZIP
    --> BaaaaBaa.class
    [RESULTAT] Contient le cheval de Troie TR/Java.Downloader.Gen
    --> VaaaaaaaBaa.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    --> Dvnny.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Exploit.By.A.2
    --> Baaaaa.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Exploit.By.A.1
    --> Dex.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GC
    --> Dix.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GD
    --> Dux.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GE
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c82210.qua' !
    C:\Documents and Settings\STEVY\.jpi_cache\jar\1.0\ms-counter.jar-7be50d8f-1496ac87.zip
    [0] Type d'archive: ZIP
    --> BaaaaBaa.class
    [RESULTAT] Contient le cheval de Troie TR/Java.Downloader.Gen
    --> VaaaaaaaBaa.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    --> Dvnny.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Exploit.By.A.2
    --> Baaaaa.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Exploit.By.A.1
    --> Dex.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GC
    --> Dix.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GD
    --> Dux.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.GE
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c82213.qua' !
    C:\Program Files\PurityScan\OINSetup.exe
    [RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e92548.qua' !
    C:\Program Files\PurityScan\PuritySCANUninstall.exe
    [RESULTAT] Contient le modèle de détection du dropper DR/PurityScan.BU.17
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0d2578.qua' !
    C:\System Volume Information\_restore{AC00AEFC-EE91-45FF-B33E-16AF7624F610}\RP771\A0390440.exe
    [RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ce2699.qua' !
    C:\System Volume Information\_restore{AC00AEFC-EE91-45FF-B33E-16AF7624F610}\RP771\A0390441.exe
    [RESULTAT] Contient le modèle de détection du dropper DR/PurityScan.BU.17
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ce269c.qua' !
    C:\WINDOWS\ccGetMgr.exe
    [RESULTAT] Contient le modèle de détection du ver WORM/Stration.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e226da.qua' !
    C:\WINDOWS\Downloaded Program Files\gdownloader.ocx
    [RESULTAT] Contient le cheval de Troie TR/Dldr.VB.MK.2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0a28ad.qua' !

    Fin de la recherche : mardi 17 février 2009 22:27
    Temps nécessaire: 49:43 Minute(s)

    La recherche a été effectuée intégralement

    4987 Les répertoires ont été contrôlés
    197097 Des fichiers ont été contrôlés
    9 Des virus ou programmes indésirables ont été trouvés
    21 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    9 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    197065 Fichiers non infectés
    6470 Les archives ont été contrôlées
    2 Avertissements
    9 Consignes

    ET VOICI LE RAPPORT HIJACK

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:54:55, on 18/02/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Wanadoo\GestionnaireInternet.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
    O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx
    O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Media Bar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
    O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
    O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
    0
  13. Utilisateur anonyme
     
    c'est encore moi
    apres analyse
    cette ligne me gene qu'en penses tu ?
    O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx
    la preuve ici:
    https://www.systemlookup.com/O16/1362-gdownloader_ocx.html

    et celle la (celle la c'est sur)

    O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab

    merci a toi
    ps (t'es insomniaque ???lol)
    0
  14. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Il faut configurer Antivir pour activer la recherche de rootkit (ça pourra servir dans le futur) : double clique sur l'icone d'Antivir près de l'horloge → configuration → coche "Mode expert" → coche "Rech rootkits au dem de la recherche" → clique sur OK

    Sinon, pour info, ces deux avertissements sont normaux, tu les auras à chaque fois (ça signifie juste qu'Antivir ne peut pas analyser ces deux fichiers) :
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !

    Je vois que tu maitrises déjà SystemLookUp ;)
    Effectivement, cette ligne correspond à l'activeX qui a été utilisé pour installer un rogue (faux-logiciel de sécurité)

    Les lignes 016 sont une exception par rapport au reste : il suffit de les fixer avec hijackthis. Pour ça relance hijackthis, choisis "do a system scan only", coche toutes les lignes en 016 (ça ne sert généralement qu'une fois, autant les supprimer après utilisation) et clique sur "Fix Checked".

    A part ça, il n'y a plus rien de néfaste qui apparait sur ce rapport. On va faire une analyse plus approfondie si tu le veux bien :

    • Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
    • Double clique sur RSIT.exe pour lancer l'outil.
    • Clique sur ' continue ' à l'écran Disclaimer.
    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    • Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

    0
  15. Utilisateur anonyme
     
    slt anthony
    antivir parametré...
    toutes les lignes 16 fixees...
    ps a quoi servent les lignes 23 j'ai pas trouvé trop d'infos sur celles la ? (ex : america online ?? m'enfous!)si c'est des lignes services qui ne servent a rien puis je fixer aussi chef !
    system lookup c'est grace a toi...
    ainsi que virustotal
    ainsi....
    ah vivement la suite !!!

    On va faire une analyse plus approfondie si tu le veux bien :

    t'es inconscient de me dire ca a moi biensur que je demande que ca..................

    bon sinon voici le rapport RSIT : (et merci encore)

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by STEVY at 2009-02-19 11:44:25
    Microsoft Windows XP Édition familiale Service Pack 3
    System drive C: has 79 GB (52%) free of 153 GB
    Total RAM: 191 MB (33% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:44:49, on 19/02/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Wanadoo\GestionnaireInternet.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\Wanadoo\Watch.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\STEVY\Bureau\RSIT.exe
    C:\Program Files\STEVY.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
    0
  16. Utilisateur anonyme
     
    c'est encore moi

    j'ai trouvé peu d'infos sur cette ligne

    certains resultats sur google la trouvent nephaste

    et j'ai trouvé aussi via malekal un site sur lequel on peut poster son rapport hijack et il est analysé tout de suite
    voici le lien au cas ou tu connaitrais pas (surprenant mais bon au cas ou !)
    http://www.hijackthis.de/fr#anl

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    Sûr
    Inscription superflue (car sans effet) qui peut donc être effacée ! Cet élément a été classé comme bonne par nos visiteurs.

    puis je fixé et comment supprimer au cas ou ?
    j'attends tes reponses avec impatience
    0
  17. Utilisateur anonyme
     
    si ca peut orienter aussi nos recherches ,j'ai eu un message
    d'antivir 1/2 h apres avoir fixé toutes les 016
    msn deconnecté et je naviguais pas, le voici :

    Dans le fichier 'C:\System Volume Information\_restore{AC00AEFC-EE91-45FF-B33E-16AF7624F610}\RP771\A0390442.exe'
    un virus ou un programme indésirable 'WORM/Stration.Gen' [worm] a été détecté.

    Action exécutée : Refuser l'accès


    @+
    0
  18. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    "t'es inconscient de me dire ca a moi biensur que je demande que ca"

    lol, c'est vrai, quelle question ^^

    J'ai vu une ligne qui semble néfaste et deux autres qui sont suspectes dans ce rapport. On va vérifier avec VirusTotal, que tu connais bien maintenant ;)

    Analyse ces deux fichiers stp, et poste les rapports :
    C:\WINDOWS\System32\Drivers\dvc120.sys
    C:\Documents and Settings\STEVY\Application Data\inst.exe

    Sinon, pour répondre à tes questions :

    System Volume Information\_restore indique des sauvegardes de la restauration du système. Ca ne représente pas un danger du moment que tu ne fais pas de restauration. On la purgera à la fin de la désinfection (il faut toujours le faire).

    Et au passage, quand Antivir détecte quelque chose, je te conseille de choisir directement la mise en quarantaine, sauf si tu penses qu'il s'agit d'une fausse alerte (ce qui peut arriver), dans ce cas il faut vérifier.

    Le robot qui analyse les rapports sur hijackthis.de n'est plus mis à jour il me semble, en tout cas je suis sûr qu'il n'est pas fiable du tout (il signale régulièrement des lignes infectées comme normales, et inversement...)

    Les lignes indiquant "no file" (pas no name, attention à ne pas confondre) indiquent que le fichier correspondant a été supprimé, tu peux donc les fixer sans soucis.
    Par contre, les lignes 023 indiquent des services, et à moins qu'ils soient infectieux ou qu'il y ait indiqué "File missing", il ne faut pas les fixer.

    0
  19. Utilisateur anonyme
     
    slt
    c'est toujours un plaisir de lire tes infos ...
    quel dommage que l'on arrive pas a faire tout ca en "direct" ...
    voici les rapports de virus total :
    et surtout merci encore

    Fichier dvc120.sys reçu le 2009.02.20 08:53:12 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 0/39 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 38 et 55 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.93 2009.02.20 -
    AhnLab-V3 2009.2.20.1 2009.02.20 -
    AntiVir 7.9.0.85 2009.02.20 -
    Authentium 5.1.0.4 2009.02.20 -
    Avast 4.8.1335.0 2009.02.19 -
    AVG 8.0.0.237 2009.02.19 -
    BitDefender 7.2 2009.02.20 -
    CAT-QuickHeal 10.00 2009.02.20 -
    ClamAV 0.94.1 2009.02.20 -
    Comodo 983 2009.02.19 -
    DrWeb 4.44.0.09170 2009.02.20 -
    eSafe 7.0.17.0 2009.02.19 -
    eTrust-Vet 31.6.6366 2009.02.20 -
    F-Prot 4.4.4.56 2009.02.19 -
    F-Secure 8.0.14470.0 2009.02.20 -
    Fortinet 3.117.0.0 2009.02.20 -
    GData 19 2009.02.20 -
    Ikarus T3.1.1.45.0 2009.02.20 -
    K7AntiVirus 7.10.637 2009.02.19 -
    Kaspersky 7.0.0.125 2009.02.20 -
    McAfee 5530 2009.02.19 -
    McAfee+Artemis 5530 2009.02.19 -
    Microsoft 1.4306 2009.02.20 -
    NOD32 3869 2009.02.19 -
    Norman 6.00.06 2009.02.19 -
    nProtect 2009.1.8.0 2009.02.20 -
    Panda 10.0.0.10 2009.02.20 -
    PCTools 4.4.2.0 2009.02.19 -
    Prevx1 V2 2009.02.20 -
    Rising 21.17.41.00 2009.02.20 -
    SecureWeb-Gateway 6.7.6 2009.02.20 -
    Sophos 4.38.0 2009.02.20 -
    Sunbelt 3.2.1855.2 2009.02.17 -
    Symantec 10 2009.02.20 -
    TheHacker 6.3.2.3.261 2009.02.20 -
    TrendMicro 8.700.0.1004 2009.02.20 -
    VBA32 3.12.10.0 2009.02.20 -
    ViRobot 2009.2.20.1616 2009.02.20 -
    VirusBuster 4.5.11.0 2009.02.19 -
    Information additionnelle
    File size: 31893 bytes
    MD5...: a41973d801131c251ff4cdc6b944d1c5
    SHA1..: abece8fa2520cc663bc38a5765e31484ca2de949
    SHA256: 7f642ac5e005a17bab05fd5c572f5654b5503d8d6485f91471f521ba639267b0
    SHA512: 330d96041f4598739f92568aa7ae5f0392edf371c33049fc0b9647df4a978f58
    12f2827cc3ae5e6522a9963b424d9ece95f65ab6124f009629f5cf21c76f7637
    ssdeep: 768:PpiFUMiI0m+xR5c2TFme+XLEXxTjRFZeXfZZ4n3gl+y:hiFom+xo2BBT2an3
    E

    PEiD..: -
    TrID..: File type identification
    Generic Win/DOS Executable (49.9%)
    DOS Executable Generic (49.8%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x102c0
    timedatestamp.....: 0x406493a3 (Fri Mar 26 20:33:39 2004)
    machinetype.......: 0x14c (I386)

    ( 6 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x2c0 0x22b6 0x22c0 6.51 bd52adcc3af91c8352c157deca0221fd
    .rdata 0x2580 0xe4 0x100 2.66 570b3c2b2c9fa53e16b3583fac8dfa4e
    .data 0x2680 0x47d4 0x47e0 5.74 f42c4e65177a707808bc8a46a14bfd4b
    INIT 0x6e60 0x3ca 0x3e0 4.88 6367c439fb6e24878e40123dae2db8b8
    .rsrc 0x7240 0x388 0x3a0 3.15 5320943ba9de5ee54c7aa06d9d8d1942
    .reloc 0x75e0 0x1e2 0x200 4.87 2b3b89e9bf71d9f1ca4690452e1a9396

    ( 3 imports )
    > NTOSKRNL.EXE: KeInitializeEvent, IofCompleteRequest, PoCallDriver, PoStartNextPowerIrp, ExFreePool, ExAllocatePoolWithTag, IoDeleteDevice, IoDetachDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, KeWaitForSingleObject, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, IoBuildDeviceIoControlRequest, MmMapLockedPagesSpecifyCache, sprintf, InterlockedDecrement, InterlockedIncrement, IoFreeIrp, IoInitializeIrp, IoAllocateIrp, KeInitializeSpinLock, KeSetEvent, IoCreateDevice, IofCallDriver
    > HAL.DLL: KfReleaseSpinLock, KfAcquireSpinLock
    > USBD.SYS: _USBD_ParseConfigurationDescriptorEx@28, USBD_GetUSBDIVersion, _USBD_CreateConfigurationRequestEx@8

    ( 0 exports )
    ------------------------------------------------------------------------------------------------------------------------------------------------------
    Fichier inst.exe reçu le 2009.02.20 09:02:08 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 0/37 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 38 et 55 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.93 2009.02.20 -
    AhnLab-V3 2009.2.20.1 2009.02.20 -
    AntiVir 7.9.0.85 2009.02.20 -
    Authentium 5.1.0.4 2009.02.20 -
    Avast 4.8.1335.0 2009.02.19 -
    AVG 8.0.0.237 2009.02.19 -
    CAT-QuickHeal 10.00 2009.02.20 -
    ClamAV 0.94.1 2009.02.20 -
    Comodo 983 2009.02.19 -
    DrWeb 4.44.0.09170 2009.02.20 -
    eSafe 7.0.17.0 2009.02.19 -
    eTrust-Vet 31.6.6366 2009.02.20 -
    F-Prot 4.4.4.56 2009.02.19 -
    F-Secure 8.0.14470.0 2009.02.20 -
    Fortinet 3.117.0.0 2009.02.20 -
    GData 19 2009.02.20 -
    Ikarus T3.1.1.45.0 2009.02.20 -
    K7AntiVirus 7.10.637 2009.02.19 -
    Kaspersky 7.0.0.125 2009.02.20 -
    McAfee 5530 2009.02.19 -
    McAfee+Artemis 5530 2009.02.19 -
    Microsoft 1.4306 2009.02.20 -
    NOD32 3869 2009.02.19 -
    Norman 6.00.06 2009.02.19 -
    nProtect 2009.1.8.0 2009.02.20 -
    Panda 10.0.0.10 2009.02.20 -
    PCTools 4.4.2.0 2009.02.19 -
    Prevx1 V2 2009.02.20 -
    Rising 21.17.41.00 2009.02.20 -
    SecureWeb-Gateway 6.7.6 2009.02.20 -
    Sophos 4.38.0 2009.02.20 -
    Sunbelt 3.2.1855.2 2009.02.17 -
    Symantec 10 2009.02.20 -
    TheHacker 6.3.2.3.261 2009.02.20 -
    TrendMicro 8.700.0.1004 2009.02.20 -
    ViRobot 2009.2.20.1616 2009.02.20 -
    VirusBuster 4.5.11.0 2009.02.19 -
    Information additionnelle
    File size: 87608 bytes
    MD5...: 254fbca565e049648b0cce2ceadf05d2
    SHA1..: f5c6d09fcd7df2f8efd51c2bcf7ef0702686071c
    SHA256: c74d2fa6374b5f1e251e3205de0efe99ed026b8b7a0ad5ee549ee3700f8e63d7
    SHA512: 9f587078ac71165f4b862f59ffa9279c92d3c84c19080b9f71d3c3a54964a5e0
    a8a55d160f7fee7d505ccb41afea9f8720a475de2de50219037a435ccbc55709
    ssdeep: 1536:ViNQm/DgTATpxgaNPsJ9fCSFXmVH1E37QgEAQttxg:AQwzrJPiFoKEgEAQt
    c

    PEiD..: -
    TrID..: File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x402277
    timedatestamp.....: 0x44a114a2 (Tue Jun 27 11:21:06 2006)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0xc1d4 0xd000 6.39 8b23740868f02bb731a1556e3e89ec4b
    .rdata 0xe000 0x25c2 0x3000 4.48 1c4aa9b67a1e4fb62d587545d74e9148
    .data 0x11000 0x2e48 0x2000 1.28 e79d5ce42e7132af5b6039889e4670ab
    .rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146

    ( 6 imports )
    > newdev.dll: UpdateDriverForPlugAndPlayDevicesW
    > SETUPAPI.dll: SetupDiRemoveDevice, SetupDiCallClassInstaller, SetupDiSetDeviceRegistryPropertyW, SetupDiCreateDeviceInfoW, SetupDiCreateDeviceInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiOpenDeviceInfoW
    > KERNEL32.dll: HeapSize, ReadFile, SetEndOfFile, WriteConsoleW, CreateFileA, FormatMessageW, GetLastError, CloseHandle, GetCurrentProcess, GetPrivateProfileStringW, MultiByteToWideChar, LocalFree, GetModuleFileNameA, GetConsoleOutputCP, WriteConsoleA, LoadLibraryA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, GetProcAddress, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, ExitProcess, WriteFile, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, Sleep, CreateFileW, InitializeCriticalSection, SetFilePointer, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA
    > ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
    > SHELL32.dll: SHGetFolderPathW
    > ole32.dll: CLSIDFromString

    ( 0 exports )

    ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=254fbca565e049648b0cce2ceadf05d2' target='_blank'>https://www.symantec.com?md5=254fbca565e049648b0cce2ceadf05d2</a>
    0
  20. Utilisateur anonyme
     
    euhhhh juste une ptite precision pour etre sur de pas faire de betises a l'avenir

    Les lignes indiquant "no file" (pas no name, attention à ne pas confondre) indiquent que le fichier correspondant a été supprimé, tu peux donc les fixer sans soucis.

    c'est ok mais le cas de cette ligne
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    y'a les 2 no name et no file donc je peux fixer si j'ai bien compris !

    ton explication concernerait une ligne qui n'aurait "que" no name et la je devrais laisser, c'est bien ca ?
    @+
    0
  • 1
  • 2
  • 3