Mabezat VIRUS

wissemka Messages postés 237 Statut Membre -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,
J'ai un virus dan mon pc et j'ai pas pu installé un antivirus, le virus m'interdire apparemment, j'ai essayer plusieurs(antivir, kaspersky....) ..quand j'ai mis mon flash dis dans un autre PC dans le quel il installé kaspersky il détecte le nom du virus c'est :cheval de troie TORJAN.VBS.STARTER.a / WORM.win.Mabezat.b . Comment je peux installé un antivirus pour l'enlèvé?
Merci d'avance.
Configuration: Windows XP
Firefox 3.0.10

31 réponses

  • 1
  • 2
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.

    --> Lance l'installation avec les paramètres par défaut.

    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci UsbFix sur ton Bureau.

    --> Choisis l'option 1 (Recherche).

    --> Laisse travailler l'outil.

    --> Poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    0
  2. Utilisateur anonyme
     
    Bonsoir Destrio5

    Tu as la main
    0
  3. wissemka Messages postés 237 Statut Membre
     
    Salut Destroi 5:
    J'ai essyer d'installer UsbFix mais rien ne se passe a prés un double clique.! j'ai essyer sur un autre PC ca marche.mais sur le PC infecté non! Comment pourrais-je faire a ton avis?
    0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    --> Télécharge ComboFix (de sUBs) sur ton Bureau.
    --> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
    --> Il va te demander d'installer la console de récupération : accepte.
    --> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. wissemka Messages postés 237 Statut Membre
     
    Quand j’ai cliquer deux fois sur combofix un message d’erreur m’a été affiché :
    Error-Win32 only
    Incompatible OS.ComFix only for workstations with windows 2000 and OS incompatible.ComboFix ne fonctionne que pour windows 2000 et XP OS niet compatible.
    Apropos j'utilise windows 2000 server.
    0
  7. wissemka Messages postés 237 Statut Membre
     
    J'ai essyer avec rmmabez, mais aprés le démarrage le virus il exciste encore, j'ai meme essyer s'installer kaspersky un message d'erreur c'est affiché ''ce fichier exécutable automatiquement a été altéré.L'installation sera intrrompu''!
    0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Installe Antivir et mets-le à jour.

    --> Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.

    --> Dans Antivir, choisis Outils puis Configuration.

    --> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

    --> Fais un scan complet et poste le rapport.

    Tutoriel sur Antivir
    0
  9. wissemka Messages postés 237 Statut Membre
     
    J'ai essyer Antivir mais il n'est pas compatible avec mon système d'exploitation (windows 2000 server), je ne peux pu l'installer! et j'ai pas pu installer plusieur autre Antivirus, le virus m'empêche d'installer il arrete l'installation!!
    0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    --> Double-clique sur RSIT.exe afin de lancer le programme.
    (Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

    --> Clique sur Continue à l'écran Disclaimer.

    --> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    --> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : les rapports sont sauvegardés dans le dossier C:\rsit.
    0
  11. wissemka Messages postés 237 Statut Membre
     
    Salut
    Voila lors de l'installation et avant sa fin l'installation c'est bloqué mais comme meme les deux ficher sont créer:

    INFO:
    info.txt logfile of random's system information tool 1.06 2009-05-11 14:10:26

    ======Uninstall list======

    Adobe Acrobat 5.0-->C:\WINNT\ISUNINST.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
    ATI Display Driver-->rundll32 C:\WINNT\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -inf_class:DISPLAY -clean
    Compaq Remote Monitor Service-->C:\WINNT\System32\hpuninst.exe
    EMPAC 8.6.0.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DDE83C5B-09B6-4C49-BCE7-A7E08F939886}\Setup.exe" -l0x9
    EMPAC 8.6.2.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D0FFC0F8-59F9-44A4-A9C8-94B1CDE55530}\Setup.exe" -l0x9
    Formatter Plus V1.4-->C:\PROGRA~1\QUESTS~1\TOAD\Help\UNWISE.EXE C:\PROGRA~1\QUESTS~1\TOAD\Help\INSTALL.LOG
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    HP Array Configuration Utility-->C:\Program Files\Compaq\Cpqacuxe\hpuninst.exe
    HP Insight Diagnostics Online Edition for Windows-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E737D65-5DBD-4535-8D9F-DF6B8D13A290}\setup.exe" -l0x40c UNINSTALL
    HP Insight Management Agents-->C:\WINNT\System32\CPQMgmt\aguninst.exe
    HP LaserJet 2410/2420/2430-->C:\Program Files\Hewlett-Packard\hp LaserJet 2410 2420 2430\Installer\hpsetup.exe /x
    HP LaserJet 2410/2420/2430-->msiexec /x{02C0BC1F-E273-4FA7-BF75-46ACF9650765}
    HP Power Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{26C7A984-9B28-46C4-9D63-5CCF5EE97B36}\Setup.exe" -l0x9
    HP ProLiant Integrated Management Log Viewer-->C:\Program Files\Compaq\Cpqimlv\hpuninst.exe
    HP ProLiant Legacy Port Configuration Component-->C:\Program Files\Compaq\CpqLpcc\hpuninst.exe
    HP Version Control Agent 2.0-->C:\Compaq\vcagent\vcaremov.exe C:\Compaq\vcagent\vcagent.inf
    Outils d'administration Windows 2000-->MsiExec.exe /I{B7298620-EAC6-11D1-8F87-0060082EA63E}
    SQR Server V6.2 for ORACLE-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{76D04D90-FD48-44F5-B5CD-5137EF988068}\setup.exe"
    War FTP Daemon-->C:\Program Files\War-ftpd\Uninstall.exe "C:\Program Files\War-ftpd\.UnInst.inf"

    ======System event log======

    Computer Name: SERVEUR
    Event Code: 7000
    Message: Le service OracleServiceBTEST n'a pas pu démarrer en raison de l'erreur :
    Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle.

    Record Number: 12
    Source Name: Service Control Manager
    Time Written: 20090420103120.000000+060
    Event Type: error
    User:

    Computer Name: SERVEUR
    Event Code: 7009
    Message: Délai (30000 millisecondes) d'attente pour une connexion du service OracleServiceBTEST.

    Record Number: 11
    Source Name: Service Control Manager
    Time Written: 20090420103120.000000+060
    Event Type: error
    User:

    Computer Name: SERVEUR
    Event Code: 7000
    Message: Le service OracleServiceBPROD n'a pas pu démarrer en raison de l'erreur :
    Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle.

    Record Number: 10
    Source Name: Service Control Manager
    Time Written: 20090420103119.000000+060
    Event Type: error
    User:

    Computer Name: SERVEUR
    Event Code: 7009
    Message: Délai (30000 millisecondes) d'attente pour une connexion du service OracleServiceBPROD.

    Record Number: 9
    Source Name: Service Control Manager
    Time Written: 20090420103119.000000+060
    Event Type: error
    User:

    Computer Name: SERVEUR
    Event Code: 5781
    Message: L'enregistrement ou la suppression de l'enregistrement dynamique d'un ou plusieurs enregistrements DNS a échoué car aucun Serveur DNS n'est disponible.

    Record Number: 8
    Source Name: NETLOGON
    Tim.

    LOG
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-05-11 14:10:23
    Microsoft Windows 2000 Server Service Pack 3
    System drive C: has 16 GB (78%) free of 20 GB
    Total RAM: 2048 MB (85% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:10:25, on 11/05/2009
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\msdtc.exe
    C:\Compaq\vcagent\vcagent.exe
    C:\Program Files\HP\Power Manager\DevManBE.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\System32\tcpsvcs.exe
    C:\WINNT\System32\svchost.exe
    C:\compaq\hpdiags\hpdiags.exe
    C:\WINNT\System32\ismserv.exe
    C:\WINNT\System32\llssrv.exe
    C:\WINNT\System32\MsiExec.exe
    C:\WINNT\system32\ntfrs.exe
    D:\oracle\ora92\bin\agntsrvc.exe
    D:\oracle\ora92\BIN\TNSLSNR.exe
    C:\WINNT\system32\cmd.exe
    D:\oracle\ora92\bin\dbsnmp.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\locator.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\snmp.exe
    C:\Program Files\War-ftpd\war-ftpd.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe
    C:\WINNT\System32\CpqRcmc.exe
    C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe
    C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\System32\sysdown.exe
    C:\WINNT\system32\cmd.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    C:\WINNT\system32\cmd.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe
    C:\WINNT\system32\cmd.exe
    C:\WINNT\system32\cmd.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\mdm.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\HELP\SQQNO.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [RavTimeXP] C:\WINNT\HELP\SQQNO.exe
    O4 - HKLM\..\Run: [MSConfig] F:\msconfig.exe /auto
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr/
    O14 - IERESET.INF: MS_START_PAGE_URL=https://www.msn.com/fr-fr/
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gmao.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gmao.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gmao.local
    O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\Cpqacuxe\Bin\hpapp.dll
    O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe
    O23 - Service: Compaq Remote Monitor Service (CpqRcmc) - Compaq - C:\WINNT\System32\CpqRcmc.exe
    O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\Compaq\vcagent\vcagent.exe
    O23 - Service: HP Insight Web Agent (CpqWebMgmt) - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe
    O23 - Service: HP Insight Foundation Agent (CqMgHost) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe
    O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe
    O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe
    O23 - Service: HP Power Manager 3.1 (DevManBE) - Unknown owner - C:\Program Files\HP\Power Manager\DevManBE.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: HP Insight Diagnostics (hpdiags) - Unknown owner - C:\compaq\hpdiags\hpdiags.exe
    O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
    O23 - Service: OracleOraHome92Agent - Oracle Corporation - D:\oracle\ora92\bin\agntsrvc.exe
    O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
    O23 - Service: OracleOraHome92HTTPServer - Unknown owner - D:\oracle\ora92\Apache\Apache\apache.exe
    O23 - Service: OracleOraHome92PagingServer - Unknown owner - D:\oracle\ora92/bin/pagntsrv.exe
    O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - D:\oracle\ora92\BIN\ENCSVC.EXE
    O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - D:\oracle\ora92\BIN\AGNTSVC.EXE
    O23 - Service: OracleOraHome92TNSListener - Unknown owner - D:\oracle\ora92\BIN\TNSLSNR.exe
    O23 - Service: OracleServiceBPROD - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
    O23 - Service: OracleServiceBTEST - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
    O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe
    O23 - Service: War FTP Daemon 1.65 (WAR-FTPD) - Jarle Aase - C:\Program Files\War-ftpd\war-ftpd.exe
    0
  12. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\Documents and Settings\Administrateur\Application Data\tazebama
    C:\WINNT\System32\cmd.execf
    C:\Bug.txt
    C:\32788R22FWJFW
    C:\WINNT\Mstray.exe
    C:\MMCWINFILE.EXE
    C:\Program Files\Program Files.exe
    C:\Program Files\Fichiers communs\Fichiers communs.exe
    C:\WINFILE.EXE

    :commands
    [purity]
    [emptytemp]
    [reboot]

    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  13. wissemka Messages postés 237 Statut Membre
     
    J'ai pas pu le télécharger! Y a til un autre lien SVP?
    0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je n'en ai pas d'autre pour l'instant.
    0
  15. wissemka Messages postés 237 Statut Membre
     
    Salut
    Voila enfin j'ai pu télécharger OOMovit3 et voila le rapport:
    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== FILES ==========
    C:\Documents and Settings\Administrateur\Application Data\tazebama moved successfully.
    C:\WINNT\System32\cmd.execf moved successfully.
    C:\Bug.txt moved successfully.
    C:\32788R22FWJFW\License moved successfully.
    C:\32788R22FWJFW moved successfully.
    C:\WINNT\Mstray.exe moved successfully.
    C:\MMCWINFILE.EXE moved successfully.
    C:\Program Files\Program Files.exe moved successfully.
    C:\Program Files\Fichiers communs\Fichiers communs.exe moved successfully.
    C:\WINFILE.EXE moved successfully.
    ========== COMMANDS ==========
    File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF107F.tmp scheduled to be deleted on reboot.
    User's Temp folder emptied.
    User's Internet Explorer cache folder emptied.
    File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\7V0PK3CZ\forum[1] scheduled to be deleted on reboot.
    File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    User's Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.

    OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05122009_180941

    Files moved on Reboot...
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF107F.tmp moved successfully.
    C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\7V0PK3CZ\forum[1] moved successfully.
    0
  16. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
    ---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
    ---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
    ---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ---> Sélectionne Exécuter un examen complet.
    ---> Clique sur Rechercher. L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ---> Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur Afficher les résultats.
    ---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
    ---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    0
  17. wissemka Messages postés 237 Statut Membre
     
    Salut
    Voila le rapport
    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2116
    Windows 5.0.2195 Service Pack 3

    12/05/2009 18:57:24
    mbam-log-2009-05-12 (18-57-24).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 171047
    Temps écoulé: 13 minute(s), 12 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    D:\tools\Maintenance\ASKRI\DIVERS RAPPORT DE STAGES\DIVERS ASK\parnasse 20 2dvd\Fscommand\20parnasse049.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\SYSTEM\Application Data\Application Data.exe (Trojan.Lop.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\SYSTEM\Application Data\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Refais un scan RSIT et poste le rapport log.
    0
  19. wissemka Messages postés 237 Statut Membre
     
    voila le rapport de RSIT
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-05-12 19:07:12
    Microsoft Windows 2000 Server Service Pack 3
    System drive C: has 16 GB (79%) free of 20 GB
    Total RAM: 2048 MB (85% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:07:13, on 12/05/2009
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\msdtc.exe
    C:\Compaq\vcagent\vcagent.exe
    C:\Program Files\HP\Power Manager\DevManBE.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\System32\tcpsvcs.exe
    C:\WINNT\System32\svchost.exe
    C:\compaq\hpdiags\hpdiags.exe
    C:\WINNT\System32\ismserv.exe
    C:\WINNT\System32\llssrv.exe
    C:\WINNT\System32\MsiExec.exe
    C:\WINNT\system32\ntfrs.exe
    D:\oracle\ora92\bin\agntsrvc.exe
    D:\oracle\ora92\BIN\TNSLSNR.exe
    C:\WINNT\system32\cmd.exe
    D:\oracle\ora92\bin\dbsnmp.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\mdm.exe
    C:\WINNT\HELP\SQQNO.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\locator.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\snmp.exe
    C:\Program Files\War-ftpd\war-ftpd.exe
    C:\WINNT\system32\cmd.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    C:\WINNT\System32\CpqRcmc.exe
    C:\WINNT\system32\cmd.exe
    C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\System32\sysdown.exe
    C:\WINNT\system32\cmd.exe
    C:\WINNT\system32\cmd.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    D:\oracle\ora92\Apache\perl\5.00503\bin\MSWin32-x86\perl.exe
    C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe
    C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [RavTimeXP] C:\WINNT\HELP\SQQNO.exe
    O4 - HKLM\..\Run: [MSConfig] F:\msconfig.exe /auto
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr/
    O14 - IERESET.INF: MS_START_PAGE_URL=https://www.msn.com/fr-fr/
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gmao.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gmao.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gmao.local
    O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\Cpqacuxe\Bin\hpapp.dll
    O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe
    O23 - Service: Compaq Remote Monitor Service (CpqRcmc) - Compaq - C:\WINNT\System32\CpqRcmc.exe
    O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\Compaq\vcagent\vcagent.exe
    O23 - Service: HP Insight Web Agent (CpqWebMgmt) - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe
    O23 - Service: HP Insight Foundation Agent (CqMgHost) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe
    O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe
    O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe
    O23 - Service: HP Power Manager 3.1 (DevManBE) - Unknown owner - C:\Program Files\HP\Power Manager\DevManBE.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: HP Insight Diagnostics (hpdiags) - Unknown owner - C:\compaq\hpdiags\hpdiags.exe
    O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
    O23 - Service: OracleOraHome92Agent - Oracle Corporation - D:\oracle\ora92\bin\agntsrvc.exe
    O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
    O23 - Service: OracleOraHome92HTTPServer - Unknown owner - D:\oracle\ora92\Apache\Apache\apache.exe
    O23 - Service: OracleOraHome92PagingServer - Unknown owner - D:\oracle\ora92/bin/pagntsrv.exe
    O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - D:\oracle\ora92\BIN\ENCSVC.EXE
    O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - D:\oracle\ora92\BIN\AGNTSVC.EXE
    O23 - Service: OracleOraHome92TNSListener - Unknown owner - D:\oracle\ora92\BIN\TNSLSNR.exe
    O23 - Service: OracleServiceBPROD - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
    O23 - Service: OracleServiceBTEST - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
    O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe
    O23 - Service: War FTP Daemon 1.65 (WAR-FTPD) - Jarle Aase - C:\Program Files\War-ftpd\war-ftpd.exe
    0
  20. wissemka Messages postés 237 Statut Membre
     
    Salut:
    c'était ca votre demande?
    0
  • 1
  • 2