Sujet Précédent Sujet Suivant

Interpreter un log Hijackthis

Fermé
Niagara2009 - 5 déc. 2009 à 17:08
 Niagara2009 - 5 déc. 2009 à 17:43
Bonjour,

J'ai découvert un ver "Malware gen " et "suspect autorun" sur mon pc et impossible de le supprimer avec avast et malwarebytes anti malware.
Serait il possible de m'aider pour interpreter le log de Hikackthis
merci de votre aide
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:54, on 05/12/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wscript.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\OrangeHSS\browser\browser.exe
C:\WINDOWS\System32\wscript.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.shareware-fr.com/fr/index.php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.shareware-fr.com/fr/index.php?rvs=hompag
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=duxet&e=com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MailNotifier] C:\Program Files\Orange\MailNotifier\MailNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: https://www.orange.fr/portail
O15 - Trusted Zone: http://www.rw.search.ke.voila.fr
O16 - DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - http://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2448CCD0-6A69-4423-8C2A-4D4101EFE053}: NameServer = 81.253.149.1 80.10.246.3
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

3 réponses

Réponse 1 / 3
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 déc. 2009 à 17:10
Salut, infection USB.

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message
0
Niagara2009
5 déc. 2009 à 17:43
voilà le rapport avec Usbfix

############################## | UsbFix V6.059 |

User : Administrateur (Administrateurs) # MIMI-13AT07XF8E
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:30:49 | 05/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Celeron
Microsoft Windows XP Professionnel (5.1.2600 32-bit) #
Internet Explorer 6.0.2600.0000
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 18,64 Go (13,06 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 372
C:\WINDOWS\system32\csrss.exe 428
C:\WINDOWS\system32\winlogon.exe 452
C:\WINDOWS\system32\services.exe 496
C:\WINDOWS\system32\lsass.exe 508
C:\WINDOWS\system32\svchost.exe 668
C:\WINDOWS\System32\svchost.exe 692
C:\WINDOWS\System32\svchost.exe 804
C:\WINDOWS\System32\svchost.exe 820
C:\WINDOWS\Explorer.EXE 1016
C:\WINDOWS\system32\spoolsv.exe 1044
C:\WINDOWS\System32\alg.exe 1160
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1204
C:\WINDOWS\system32\slserv.exe 1324
C:\WINDOWS\System32\svchost.exe 1376
C:\WINDOWS\System32\wscript.exe 1500
C:\WINDOWS\System32\ctfmon.exe 1556
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe 1704
C:\Program Files\OrangeHSS\systray\systrayapp.exe 1888
C:\WINDOWS\System32\wuauclt.exe 1808
C:\Program Files\OrangeHSS\Launcher\Launcher.exe 892
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe 500
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe 1796
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe 680
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe 228
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe 108
C:\Program Files\OrangeHSS\browser\browser.exe 1856
C:\WINDOWS\System32\wscript.exe 568
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 772
C:\WINDOWS\system32\NOTEPAD.EXE 1944
C:\WINDOWS\System32\wbem\wmiprvse.exe 980

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\.MS32DLL.dll.vbs
C:\WINDOWS\boot.ini
C:\autorun.inf
C:\.MS32DLL.dll.vbs

################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ms32dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Winboot"

################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.059 ! |
0
Réponse 2 / 3
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
5 déc. 2009 à 17:10
Bonjour

Télécharge UsbFix de chiquitine29 et C_XX sur ton bureau

https://www.ionos.fr/?affiliate_id=77097

--> Lance l installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Au menu principal choisis l'option " F " pour français et tape sur [entrée]

--> Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

--> Laisse travailler l’outil

-->Poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valide.
0
Niagara2009
5 déc. 2009 à 17:38
voilà g fait la procédure avec Usbfix
voici le rapport :

############################## | UsbFix V6.059 |

User : Administrateur (Administrateurs) # MIMI-13AT07XF8E
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:30:49 | 05/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Celeron
Microsoft Windows XP Professionnel (5.1.2600 32-bit) #
Internet Explorer 6.0.2600.0000
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 18,64 Go (13,06 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 372
C:\WINDOWS\system32\csrss.exe 428
C:\WINDOWS\system32\winlogon.exe 452
C:\WINDOWS\system32\services.exe 496
C:\WINDOWS\system32\lsass.exe 508
C:\WINDOWS\system32\svchost.exe 668
C:\WINDOWS\System32\svchost.exe 692
C:\WINDOWS\System32\svchost.exe 804
C:\WINDOWS\System32\svchost.exe 820
C:\WINDOWS\Explorer.EXE 1016
C:\WINDOWS\system32\spoolsv.exe 1044
C:\WINDOWS\System32\alg.exe 1160
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1204
C:\WINDOWS\system32\slserv.exe 1324
C:\WINDOWS\System32\svchost.exe 1376
C:\WINDOWS\System32\wscript.exe 1500
C:\WINDOWS\System32\ctfmon.exe 1556
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe 1704
C:\Program Files\OrangeHSS\systray\systrayapp.exe 1888
C:\WINDOWS\System32\wuauclt.exe 1808
C:\Program Files\OrangeHSS\Launcher\Launcher.exe 892
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe 500
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe 1796
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe 680
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe 228
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe 108
C:\Program Files\OrangeHSS\browser\browser.exe 1856
C:\WINDOWS\System32\wscript.exe 568
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 772
C:\WINDOWS\system32\NOTEPAD.EXE 1944
C:\WINDOWS\System32\wbem\wmiprvse.exe 980

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\.MS32DLL.dll.vbs
C:\WINDOWS\boot.ini
C:\autorun.inf
C:\.MS32DLL.dll.vbs

################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ms32dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Winboot"

################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.059 ! |
0
Réponse 3 / 3
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 déc. 2009 à 17:42
Relance USBfix avec l'option 2
0

Discussions similaires

TI college plus (calculatrice probleme)
help39 -
Utilisateur anonyme -

3 réponses
comment taper log10 sur une TI83plus.fr ?
FFFred -
FFFred -

2 réponses
Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
logs freebox serveur
cocopops -
lemassykoi -

3 réponses
Caluculatrice Ti Collège
Lami2toi -
Lami2toi -

4 réponses