worm mazebat et trojan résultat hitjackthis Résolu/Fermé

Question

Bonjour,

La discussion que j'avais ouverte sur ce topic semble avoir disparu
pourquoi ?
Je remet les résultats 
de Hitjack this (log et info) puis de MBAM


1°) Log file

Logfile of random's system information tool 1.06 (written by random/random)
Run by SG at 2009-07-28 13:38:20
Microsoft Windows XP Professionnel 
System drive C: has 35 GB (91%) free of 38 GB
Total RAM: 247 MB (43% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS	asks\GlaryInitialize.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
Yahoo! Toolbar Helper - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-07-17 279944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\System32\msdxm.ocx [2001-09-28 847900]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar avec bloqueur de fenêtres pop-up - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-07-17 279944]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2003-01-23 155648]
"HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2003-01-23 114688]
"C-Media Mixer"=Mixer.exe /startup []
"CAP3ON"=C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE [2002-08-21 22528]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"InCD"=C:\Program Files\Ahead\InCD\InCD.exe [2004-09-07 1400944]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-07-28 240679]
"XP-0AABF98C"=C:\WINDOWS\system32\XP-0AABF98C.EXE [2009-06-25 1227891]
"FrameWorkService"= []
"chiCkie"=C:\WINDOWS\inf\chiCkie.exe [2009-04-12 540527]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe [2001-09-28 13312]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2001-08-02 1077277]
"FrameWorkService"= []
"I just want to say I love Milko and I need a drink"=C:\Documents and Settings\SG\Local Settings\Application Data\svchost.exe [2009-04-12 540527]
"Yahoo Messengger"=C:\WINDOWS\System32\SSVICHOSST.exe [2009-04-09 402576]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Canon LASER SHOT LBP-1120 ª¬ºAµøµ¡.LNK - C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE

C:\Documents and Settings\SGACQM\Menu Démarrer\Programmes\Démarrage
Dos Optimizer.pif
¡¡¡¡¡¡.lnk - C:\WINDOWS\system32\XP-0AABF98C.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-01-23 315392]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\UploadMgr]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
"DisableTaskMgr"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoFind"=1
"NoFolderOptions"=1
"NoRun"=1
"NoDrives"=0
"NoDriveAutoRun"=FFFFFFFF
"HonorAutoRunSetting"=1
"DisallowRun"=0
"NoLogOff"=1
"NoSetFolders"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-07-28 13:38:22 ----D---- C:\Program Files	rend micro
2009-07-28 13:38:20 ----D---- C:sit
2009-07-28 13:20:52 ----RASH---- C:\WINDOWS\System32\SSVICHOSST.exe
2009-07-28 13:20:52 ----RASH---- C:\WINDOWS\System32\autorun.ini
2009-07-28 13:20:52 ----A---- C:\WINDOWS\SSVICHOSST.exe
2009-07-28 13:15:44 ----A---- C:\Documents and Settings\SG\Application Data\lsass.exe
2009-07-28 13:14:30 ----RSH---- C:\zPharaoh.exe
2009-07-28 13:14:30 ----D---- C:\Documents and Settings\SG\Application Data	azebama
2009-07-28 13:14:30 ----A---- C:\Documents and Settings\SG\Application Data\svchost.exe

======List of files/folders modified in the last 1 months======

2009-07-28 13:38:22 ----RD---- C:\Program Files
2009-07-28 13:37:12 ----RSHDC---- C:\WINDOWS\System32\dllcache
2009-07-28 13:37:06 ----D---- C:\WINDOWS\System32\CatRoot2
2009-07-28 13:31:26 ----D---- C:\WINDOWS\system32
2009-07-28 13:31:26 ----D---- C:\Program Files\Windows Media Player
2009-07-28 13:31:26 ----D---- C:\Program Files\Outlook Express
2009-07-28 13:31:26 ----D---- C:\Program Files\Internet Explorer
2009-07-28 13:26:00 ----D---- C:\Program Files\Movie Maker
2009-07-28 13:22:00 ----D---- C:\Program Files\Windows NT
2009-07-28 13:22:00 ----D---- C:\Program Files\NetMeeting
2009-07-28 13:20:52 ----D---- C:\WINDOWS
2009-07-28 13:18:57 ----HD---- C:\WINDOWS\inf
2009-07-28 13:14:49 ----A---- C:\WINDOWS\System32
otepad.exe
2009-07-28 13:14:29 ----D---- C:\Documents and Settings
2009-07-28 11:09:57 ----D---- C:\WINDOWS\Temp
2009-07-28 11:09:57 ----ASH---- C:\WINDOWS\System32\og.dll
2009-07-28 11:09:20 ----D---- C:\WINDOWS\Debug
2009-07-27 18:06:57 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-27 14:39:53 ----SHD---- C:\RECYCLER
2009-07-17 13:30:02 ----D---- C:\WINDOWS\Prefetch

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\System32\drivers\Aavmker4.sys [2008-07-19 26944]
R1 aswSP;avast! Self Protection; C:\WINDOWS\System32\drivers\aswSP.sys [2008-07-19 78416]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\System32\drivers\aswTdi.sys [2008-07-19 42912]
R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2004-09-07 28544]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\System32\drivers\aswMon2.sys [2008-07-19 94416]
R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-02-04 109280]
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-02-04 78304]
R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X; C:\WINDOWS\System32\DRIVERS\AN983.sys [2001-08-17 34112]
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2001-09-28 54016]
R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINDOWS\system32\drivers\cmaudio.sys [2002-11-18 377358]
R3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\ialmnt5.sys [2003-02-04 89371]
R3 MODEMCSA;Périphérique de filtrage de flux Unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\System32\DRIVERS\Mtlmnt5.sys [2003-02-16 210128]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS
ic1394.sys [2001-09-28 56960]
R3 Slntamr;NetoDragon AMR_PCI Driver; C:\WINDOWS\System32\DRIVERS\slntamr.sys [2003-02-26 513728]
R3 SlWdmSup;SlWdmSup; C:\WINDOWS\System32\DRIVERS\SlWdmSup.sys [2003-01-16 39348]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2002-04-01 19072]
R3 usbhub;USB Root Hub (usbport); C:\WINDOWS\System32\DRIVERS\usbhub.sys [2001-08-17 50688]
R3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2001-08-17 24832]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 21760]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2001-08-17 18944]
R4 InCDfs;InCD File System; C:\WINDOWS\System32\drivers\InCDfs.sys [2004-09-07 91136]
S1 kbdhid;Pilote HID de clavier; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2001-08-23 14080]
S3 aswRdr;aswRdr; C:\WINDOWS\System32\drivers\aswRdr.sys [2008-07-19 23152]
S3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys [2008-10-17 101376]
S3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
S3 Mtlstrm;Mtlstrm; C:\WINDOWS\System32\DRIVERS\Mtlstrm.sys [2003-02-16 1293192]
S3 NtMtlFax;NtMtlFax; C:\WINDOWS\System32\DRIVERS\NtMtlFax.sys [2003-02-05 162136]
S3 RecAgent;recagent; \??\C:\WINDOWS\System32\DRIVERS\RecAgent.sys []
S3 SlNtHal;SlNtHal; C:\WINDOWS\System32\DRIVERS\Slnthal.sys [2003-02-16 85520]
S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2001-08-17 24960]
S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys []
S4 sr;Pilote de filtre de restauration système; C:\WINDOWS\System32\DRIVERS\sr.sys [2001-09-28 70528]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2008-07-19 16056]
R2 InCDsrv;InCD Helper; C:\Program Files\Ahead\InCD\InCDsrv.exe [2004-09-07 1151090]
R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2003-01-16 45056]
R2 UStorage Server Service;UStorage Server Service; C:\WINDOWS\system32\UStorSrv.exe [2006-02-17 139264]
S2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-07-28 310311]
S3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-07-28 412711]
S3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-07-28 511015]

-----------------EOF-----------------


2° info 


info.txt logfile of random's system information tool 1.06 2009-07-28 13:38:27

======Uninstall list======

-->C:\Program Files\Ahead
ero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Ask Toolbar-->"C:\Program Files\AskBarDis\unins000.exe"
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Canon LASER SHOT LBP-1120-->C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3UNIK.EXE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Composant Hmk-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Havas Medimedia\Communs\Hmk.isu"
Free PDF to Word Doc Converter v1.1-->"C:\Program Files\Free PDF to Word Doc Converter\unins000.exe"
Glary Utilities 2.11.0.638-->"C:\Program Files\Glary Utilities\unins000.exe"
Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\System32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562
LM-I56N-->C:\WINDOWS\Modio\SLAMR2KV\Setup.exe /Remove
Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Nero Suite-->C:\Program Files\Fichiers communs\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
PCI Audio Driver-->cmuninst.exe
PowerDVD-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe"  -uninstall
UsbFix-->C:\UsbFix\Uninstal.exe
Yahoo! Install Manager-->C:\WINDOWS\System32egsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL
Yahoo! Toolbar avec bloqueur de fenêtres pop-up-->C:\PROGRA~1\Yahoo!\Common\unyt.exe
Zain Internet Mobile-->C:\Program Files\Zain Internet Mobile\uninst.exe

======System event log======

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 64001
Message: Tentative de remplacement du fichier système protégé c:\windows\system32\osk.exe.
Ce fichier a été restauré en utilisant sa version initiale pour maintenir la stabilité du
système.
La version du fichier incorrect est 5.1.2600.0, la version du fichier
système actuel est 5.1.2600.0.

Record Number: 28581
Source Name: Windows File Protection
Time Written: 20090728131456.000000+120
Event Type: Informations
User: 

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 64001
Message: Tentative de remplacement du fichier système protégé c:\windows\system32\mobsync.exe.
Ce fichier a été restauré en utilisant sa version initiale pour maintenir la stabilité du
système.
La version du fichier incorrect est 5.1.2600.0, la version du fichier
système actuel est 5.1.2600.0.

Record Number: 28580
Source Name: Windows File Protection
Time Written: 20090728131456.000000+120
Event Type: Informations
User: 

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 64001
Message: Tentative de remplacement du fichier système protégé c:\windows\system32\cmd.exe.
Ce fichier a été restauré en utilisant sa version initiale pour maintenir la stabilité du
système.
La version du fichier incorrect est 5.1.2600.0, la version du fichier
système actuel est 5.1.2600.0.

Record Number: 28579
Source Name: Windows File Protection
Time Written: 20090728131455.000000+120
Event Type: Informations
User: 

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 64001
Message: Tentative de remplacement du fichier système protégé c:\program files\outlook express\msimn.exe.
Ce fichier a été restauré en utilisant sa version initiale pour maintenir la stabilité du
système.
La version du fichier incorrect est 6.0.2600.0, la version du fichier
système actuel est 6.0.2600.0.

Record Number: 28578
Source Name: Windows File Protection
Time Written: 20090728131455.000000+120
Event Type: Informations
User: 

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 64001
Message: Tentative de remplacement du fichier système protégé c:\program files\internet explorer\iexplore.exe.
Ce fichier a été restauré en utilisant sa version initiale pour maintenir la stabilité du
système.
La version du fichier incorrect est 6.0.2600.0, la version du fichier
système actuel est 6.0.2600.0.

Record Number: 28577
Source Name: Windows File Protection
Time Written: 20090728131454.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 0
Message: 
Record Number: 3946
Source Name: UStorage Server Service
Time Written: 20081117181047.000000+060
Event Type: Informations
User: 

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 2001
Message: Le service EAPOL a été démarré correctement

Record Number: 3945
Source Name: EAPOL
Time Written: 20081117181036.000000+060
Event Type: Informations
User: 

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 1516
Message: Windows a déchargé le Registre utilisateur WINDOWS-Z5HQ2EZ\SG lorsqu'il a reçu une notification qu'aucune application ou aucun service n'utilisait le profil.

Record Number: 3944
Source Name: Userenv
Time Written: 20081117175828.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur WINDOWS-Z5HQ2EZ\SG alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé. 


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 3943
Source Name: Userenv
Time Written: 20081117175827.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: WINDOWS-Z5HQ2EZ
Event Code: 4354
Message: Le système d'événements de COM+ n'a pas pu déclencher la méthode StartShell de l'abonnement {A5978620-5B3F-F1D1-8ED2-00FA0035B753}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}. L'abonné a renvoyé HRESULT 80004001.
Record Number: 3942
Source Name: EventSystem
Time Written: 20081117175813.000000+060
Event Type: Avertissement
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

3°) MBAM

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1945
Windows 5.1.2600 

28/07/2009 16:49:18
mbam-log-2009-07-28 (16-49-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 81371
Temps écoulé: 28 minute(s), 23 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
C:\Documents and Settings	azebama.dl_ (Worm.Mabezat) -> No action taken.
C:\WINDOWS\system32\SSVICHOSST.exe (Worm.Sohanad) -> No action taken.
C:\Documents and Settings\SG\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Module(s) mémoire infecté(s):
C:\Documents and Settings	azebama.dll (Worm.Mabezat) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp-0aabf98c (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\i just want to say i love milko and i need a drink (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yahoo messengger (Worm.Sohanad) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FrameWorkService (Trojan.Delf) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FrameWorkService (Trojan.Delf) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe SSVICHOSST.exe) Good: (Explorer.exe) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings	azebama.dll (Worm.Mabezat) -> No action taken.
C:\WINDOWS\system32\XP-0AABF98C.EXE (Trojan.Agent) -> No action taken.
C:\Documents and Settings\SG\Local Settings\Application Data\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\Documents and Settings	azebama.dl_ (Worm.Mabezat) -> No action taken.
C:\Documents and Settings\hook.dl_ (Worm.Mabezat) -> No action taken.
C:\Documents and Settings\SG\Application Data	azebama\zPharaoh.dat (Worm.Mabezat) -> No action taken.
C:\Documents and Settings\SYSTEM\Application Data	azebama\zPharaoh.dat (Worm.Mabezat) -> No action taken.
C:\zPharaoh.exe (Worm.Mabezat) -> No action taken.
C:\Documents and Settings\SG\Application Data\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\SSVICHOSST.exe (Worm.Sohanad) -> No action taken.
C:\WINDOWS\SSVICHOSST.exe (Worm.Sohanad) -> No action taken.
C:\Documents and Settings\SG\Application Data\lsass.exe (Trojan.Delf) -> No action taken.
C:\WINDOWS\inf\smss.exe (Trojan.Delf) -> No action taken.
C:\WINDOWS\system32\Sexy Girls.scr (Trojan.Delf) -> No action taken.


Il s'agit du PC d'une connaissance Windows XP sans internet
l'appareil est devenu instable et se déconnecte dès qu'allumé
même en mode sans échec
normalement protégé par avast
antivir qui a eté installé à la place à indentifié 484 infections
essentiellement worm mazebat

Que faut-il faire ?
SVP
Merci

touvabien · Answer

Bonjour,

Une aide éclairée ne serait pas de trop
pour pouvoir poursuivre demain
sur cet appareil que je n'ai pas sous la main

SVP
Merci

Utilisateur anonyme · Answer

Salut ,

Ce pc est tres infecté ...

Commence par ceci :

• Télécharge et install UsbFix 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Choisis l'option 1 ( Recherche )

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

touvabien · Answer

Bonjour,

Merci pour ta réponse.
Mon fournisseur d'accès s'est mis en grève avant que je puisse la lire.
Dans l'intervalle, je suis partie en vaccances et n'ai pas pu me reconnecter avant aujourd'hui.

De toute façon l'appareil en question n'acceptait plus de se rallumer convenablement  
et mon propre PC a été temporairement infecté.
Ayant jeté l'éponge pour l'appareil tiers, 
ce topic peut être arrété.

Worm mazebat et trojan résultat hitjackthis

3 réponses

Discussions similaires