Malwarebits m'a signaler un virus

Résolu
lounes11 Messages postés 676 Statut Membre -  
 gen-hackman -
Bonjour,malwarebits m'ayant signaler un virus que j'ai supprimer j'aimerais savoir si je suis encore infecter.Mon log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:08:20, on 07/01/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\explorer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\lounes\Downloads\HiJackThis(2).exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\lounes\Downloads\HiJackThis(3).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-510] C:\Program Files\D-Link\D-Link Wireless G DWA-510\AirGCFG.exe
O4 - HKLM\..\Run: [adiras] C:\Windows\adiras.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--
End of file - 3927 bytes

Merci d'avance
Configuration: Windows 7
Firefox 3.5.7

40 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur cherche à confirmer s'il reste infecté après qu'un malware a été signalé puis supprimé, en s'appuyant sur un log HijackThis et des détails système. Plusieurs recommandations prioritaires invitent à exécuter UsbFix en mode administrateur et à partager le rapport pour évaluer l'infection, tout en notant que certains éléments légitimes peuvent être signalés comme RiskTool. D'autres intervenants préconisent de démarrer en mode sans échec et d'effectuer des analyses complémentaires avec Avira et Malwarebytes pour repérer des éléments persistants et confirmer l'état du système. En cas de doute persistant, il est utile d'examiner les programmes au démarrage et les services actifs, et d'évaluer les périphériques externes pour éviter une réinfection transitoire.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    ▶ Telecharge et install UsbFix

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    1
  2. gen-hackman
     
    salut tu peux mettre le rapport de malwarebytes ?
    0
  3. lounes11 Messages postés 676 Statut Membre 11
     
    Malwarebytes' Anti-Malware 1.43
    Version de la base de données: 3509
    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    07/01/2010 22:36:25
    mbam-log-2010-01-07 (22-36-25).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 170500
    Temps écoulé: 41 minute(s), 32 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\owcstp16.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    0
  4. lounes11 Messages postés 676 Statut Membre 11
     
    bon j'y vais a demain sans faute :).
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lounes11 Messages postés 676 Statut Membre 11
     
    je suis de retour
    0
  7. lounes11 Messages postés 676 Statut Membre 11
     
    j'ai besoin d'aide^^
    0
  8. lounes11 Messages postés 676 Statut Membre 11
     
    ############################## | UsbFix V6.072 |

    User : lounes (Administrateurs) # LOUNES-PC
    Update on 08/01/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 15:27:55 | 09/01/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 24,41 Go (13,47 Go free) # NTFS
    D:\ -> Disque fixe local # 13,87 Go (13,78 Go free) # NTFS
    E:\ -> Disque CD-ROM # 554,99 Mo (0 Mo free) [Livebox] # CDFS
    F:\ -> Disque amovible # 983,72 Mo (473,2 Mo free) [UDISK 2.0] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe 260
    C:\Windows\system32\csrss.exe 356
    C:\Windows\system32\wininit.exe 412
    C:\Windows\system32\csrss.exe 420
    C:\Windows\system32\services.exe 468
    C:\Windows\system32\lsass.exe 480
    C:\Windows\system32\lsm.exe 488
    C:\Windows\system32\svchost.exe 584
    C:\Windows\system32\winlogon.exe 628
    C:\Windows\system32\svchost.exe 720
    C:\Windows\System32\svchost.exe 780
    C:\Windows\System32\svchost.exe 860
    C:\Windows\system32\svchost.exe 896
    C:\Windows\system32\svchost.exe 1044
    C:\Windows\system32\svchost.exe 1188
    C:\Windows\System32\spoolsv.exe 1320
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1360
    C:\Windows\system32\svchost.exe 1380
    C:\Windows\system32\taskhost.exe 1568
    C:\Windows\system32\Dwm.exe 1584
    C:\Windows\Explorer.EXE 1624
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1688
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1792
    C:\Windows\system32\svchost.exe 1888
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 2044
    C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe 340
    C:\Program Files\Windows Sidebar\sidebar.exe 404
    C:\Windows\System32\rundll32.exe 1504
    C:\Windows\system32\SearchIndexer.exe 2500
    C:\Windows\system32\svchost.exe 3172
    C:\Windows\System32\svchost.exe 3204
    C:\Program Files\Windows Media Player\wmpnetwk.exe 3280
    C:\Windows\System32\PRISMSVR.EXE 2092
    C:\Windows\system32\svchost.exe 3764
    C:\Program Files\Internet Explorer\IELowutil.exe 4064
    C:\Program Files\Mozilla Firefox\firefox.exe 2712
    C:\Windows\servicing\TrustedInstaller.exe 912
    C:\Windows\system32\WUDFHost.exe 936
    C:\Windows\system32\SearchProtocolHost.exe 4056
    C:\Windows\system32\SearchFilterHost.exe 3872
    C:\Windows\system32\wbem\wmiprvse.exe 1284
    C:\Windows\system32\conhost.exe 3744
    C:\Windows\system32\wbem\wmiprvse.exe 1096

    ################## | Elements infectieux |

    E:\autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{bac5026f-ff07-11d5-a6ef-806e6f6e6963}
    shell\AutoRun\command =E:\setup.exe

    ################## | Cracks > Keygens > Serials |

    ################## | ! Fin du rapport # UsbFix V6.072 ! |
    0
  9. gen-hackman
     
    bonsoir

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ choisi l option 2 ( Suppression )

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ######### | Désinstallation | #########

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ Choisi l option Désinstaller ....
    0
  10. lounes11 Messages postés 676 Statut Membre 11
     
    je le ferais ce soir je ne usis pas sur mon pc la,en attendant est-ce-que je suis infecter ?
    0
  11. lounes11 Messages postés 676 Statut Membre 11
     
    ############################## | UsbFix V6.072 |

    User : lounes (Administrateurs) # LOUNES-PC
    Update on 08/01/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 18:58:56 | 10/01/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 24,41 Go (13,62 Go free) # NTFS
    D:\ -> Disque fixe local # 13,87 Go (13,78 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 983,72 Mo (473,2 Mo free) [UDISK 2.0] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe 260
    C:\Windows\system32\csrss.exe 356
    C:\Windows\system32\wininit.exe 416
    C:\Windows\system32\csrss.exe 424
    C:\Windows\system32\services.exe 464
    C:\Windows\system32\lsass.exe 488
    C:\Windows\system32\lsm.exe 496
    C:\Windows\system32\svchost.exe 604
    C:\Windows\system32\winlogon.exe 640
    C:\Windows\system32\svchost.exe 740
    C:\Windows\System32\svchost.exe 808
    C:\Windows\System32\svchost.exe 872
    C:\Windows\system32\svchost.exe 916
    C:\Windows\system32\svchost.exe 1072
    C:\Windows\system32\svchost.exe 1192
    C:\Windows\System32\spoolsv.exe 1328
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1356
    C:\Windows\system32\svchost.exe 1376
    C:\Windows\system32\Dwm.exe 1564
    C:\Windows\system32\taskhost.exe 1576
    C:\Windows\Explorer.EXE 1624
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1760
    C:\Windows\system32\svchost.exe 1852
    C:\Windows\system32\runonce.exe 548
    C:\Windows\system32\svchost.exe 2060
    C:\Windows\system32\WUDFHost.exe 2068
    C:\Windows\system32\conhost.exe 2164
    C:\Windows\System32\rundll32.exe 2288
    C:\Windows\system32\wbem\wmiprvse.exe 2568

    ################## | Elements infectieux |

    Supprimé ! C:\$Recycle.Bin\S-1-5-21-1468217551-194083374-1043027251-1000
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-1468217551-194083374-1043027251-1000

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing des fichiers présent |

    [10/06/2009 22:42|--a------|24] C:\autoexec.bat
    [14/07/2009 02:38|-rahs----|383562] C:\bootmgr
    [01/01/2002 23:29|-rahs----|8192] C:\BOOTSECT.BAK
    [10/06/2009 22:42|--a------|10] C:\config.sys
    [?|?|?] C:\hiberfil.sys
    [06/01/2010 16:41|-rahs----|0] C:\IO.SYS
    [06/01/2010 16:41|-rahs----|0] C:\MSDOS.SYS
    [?|?|?] C:\pagefile.sys
    [10/01/2010 19:01|--a------|2544] C:\UsbFix.txt
    [06/11/2009 17:23|--a------|1353216] F:\RemoveWAT.exe

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.
    # F:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Crack > Keygen > Serial |

    ################## | Upload |

    Veuillez envoyer le fichier : C:\Users\lounes\Desktop\UsbFix_Upload_Me_lounes-PC.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .
    0
  12. gen-hackman
     
    bien...

    usbfix desinstallé ,

    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant scan all users

    ▶ règle-le sur "60 Days"

    ▶ dans la colonne de gauche , mets tout sur all

    ne modifie pas ceci :

    "files created whithin" et "files modified whithin"


    ▶Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt".
    0
  13. lounes11 Messages postés 676 Statut Membre 11
     
    je te le renvoie par MP
    0
  14. lounes11 Messages postés 676 Statut Membre 11
     
    je t'ai envoyer les deux post par mp
    0
  15. lounes11 Messages postés 676 Statut Membre 11
     
    c'est à dire ?
    0
  16. gen-hackman
     
    c'est ici qu'il me faut les liens et non en MP
    0
  17. lounes11 Messages postés 676 Statut Membre 11
     
    http://www.cijoint.fr/cjlink.php?file=cj201001/cijnaOUkfD.txt

    http://www.cijoint.fr/cjlink.php?file=cj201001/cij3qPExKR.txt

    Voila ?
    0
  18. lounes11 Messages postés 676 Statut Membre 11
     
    c'est comme REMOVE gwa pour xp je crois sauf que c'est pour windows 7 enfin c'étais déja sur la clef,pas un virus.Et dans tout les cas je ne l'ai pas utiliser.
    0
  19. gen-hackman
     
    donc ton windows n est pas legitime...??
    0
  • 1
  • 2