Analyse de mon hijackthis (virus suspecté)
Fermé
maxgoun
Messages postés
5
Date d'inscription
mardi 26 janvier 2010
Statut
Membre
Dernière intervention
1 février 2010
-
1 févr. 2010 à 11:24
sansfilet Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 - 1 févr. 2010 à 17:21
sansfilet Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 - 1 févr. 2010 à 17:21
A voir également:
- Analyse de mon hijackthis (virus suspecté)
- Tinyurl virus - Forum Virus / Sécurité
- Liste de numéro de téléphone suspect 07 ✓ - Forum Mobile
- Svchost.exe virus - Guide
- Analyse et reparation du lecteur c ✓ - Forum Windows 10
- Tlauncher virus ✓ - Forum Jeux vidéo
6 réponses
sansfilet
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
279
1 févr. 2010 à 11:38
1 févr. 2010 à 11:38
Salut,
Note : tu as une infection qui se propage par les disques amovibles.
• Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau
• Sous XP : Double clique sur UsbFix.exe
• Sous Vista/7 : Fais un clic droit sur UsbFix.exe et sélectionne "Exécuter en tant qu'administrateur"
• Appuie sur la touche F pour sélectionner le français et valide avec la touche Entrée.
• Choisis l'option "Recherche" en appuyant sur la touche 1 et valide avec la touche Entrée
• Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) susceptibles d'avoir été infectés sans les ouvrir quand l'outil te le demande et clique sur le bouton OK
• Patiente pendant que l'outil travaille
• A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\UsbFix.txt
Note :
Process.exe est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Tutoriel recherche en images
Note : tu as une infection qui se propage par les disques amovibles.
• Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau
• Sous XP : Double clique sur UsbFix.exe
• Sous Vista/7 : Fais un clic droit sur UsbFix.exe et sélectionne "Exécuter en tant qu'administrateur"
• Appuie sur la touche F pour sélectionner le français et valide avec la touche Entrée.
• Choisis l'option "Recherche" en appuyant sur la touche 1 et valide avec la touche Entrée
• Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) susceptibles d'avoir été infectés sans les ouvrir quand l'outil te le demande et clique sur le bouton OK
• Patiente pendant que l'outil travaille
• A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\UsbFix.txt
Note :
Process.exe est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Tutoriel recherche en images
maxgoun
Messages postés
5
Date d'inscription
mardi 26 janvier 2010
Statut
Membre
Dernière intervention
1 février 2010
1 févr. 2010 à 15:46
1 févr. 2010 à 15:46
Bnjour et surtout merci pour ta réponse!
voici le scan dont tu m'avais parlé:
############################## | UsbFix V6.084 |
User : émilie (Administrateurs) # ACER-7989E0343A
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:43:37 | 01/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886476 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ (!) Disabled ]7.0.483.000
C:\ -> Disque fixe local # 113,27 Go (71,11 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 113,73 Go (109,89 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM # 644,12 Mo (0 Mo free) [WD SmartWare] # UDF
K:\ -> Disque amovible
L:\ -> Disque fixe local # 465,11 Go (381,78 Go free) [My Passport] # NTFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
D:\autorun.inf
J:\autorun.inf
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =D:\setupSNK.exe
HKCU\..\..\Explorer\MountPoints2\J
Shell\AutoRun\command ="J:\WD SmartWare.exe" autoplay=true
HKCU\..\..\Explorer\MountPoints2\{71caa77d-f470-11de-a6fb-001921536c42}
Shell\AutoRun\command ="J:\WD SmartWare.exe" autoplay=true
HKCU\..\..\Explorer\MountPoints2\{c7bd88e9-91ee-11dd-a21a-001921536c42}
Shell\AutoRun\command =L:\3c.exe
Shell\open\Command =L:\3c.exe
################## | ! Fin du rapport # UsbFix V6.084 ! |
voici le scan dont tu m'avais parlé:
############################## | UsbFix V6.084 |
User : émilie (Administrateurs) # ACER-7989E0343A
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:43:37 | 01/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886476 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ (!) Disabled ]7.0.483.000
C:\ -> Disque fixe local # 113,27 Go (71,11 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 113,73 Go (109,89 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM # 644,12 Mo (0 Mo free) [WD SmartWare] # UDF
K:\ -> Disque amovible
L:\ -> Disque fixe local # 465,11 Go (381,78 Go free) [My Passport] # NTFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
D:\autorun.inf
J:\autorun.inf
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =D:\setupSNK.exe
HKCU\..\..\Explorer\MountPoints2\J
Shell\AutoRun\command ="J:\WD SmartWare.exe" autoplay=true
HKCU\..\..\Explorer\MountPoints2\{71caa77d-f470-11de-a6fb-001921536c42}
Shell\AutoRun\command ="J:\WD SmartWare.exe" autoplay=true
HKCU\..\..\Explorer\MountPoints2\{c7bd88e9-91ee-11dd-a21a-001921536c42}
Shell\AutoRun\command =L:\3c.exe
Shell\open\Command =L:\3c.exe
################## | ! Fin du rapport # UsbFix V6.084 ! |
sansfilet
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
279
1 févr. 2010 à 16:10
1 févr. 2010 à 16:10
Peux-tu afficher les fichiers cachés :
• Va dans le menu démarrer
• Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)
• Clique l'onglet Affichage
• Clique sur le menu "Outils "
• Clique sur "Options des dossiers... "
• Puis clique sur l'onglet "Affichage"
• Coche la case "Afficher les fichiers et dossiers cachés"
• Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
• Clique sur Oui au message d'alerte
• Clique sur le bouton "OK"
Puis brancher ton disque dur externe et va analyser un fichier :
• Va sur le site VirusTotal
• Clique sur le bouton "parcourir"
• Recherche le fichier présent ici ==> L:\3c.exe
• Clique sur le bouton "Envoyer le fichier"
• Patiente pendant le scan du fichier
• Copie le rapport dans ta réponse
• Va dans le menu démarrer
• Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)
• Clique l'onglet Affichage
• Clique sur le menu "Outils "
• Clique sur "Options des dossiers... "
• Puis clique sur l'onglet "Affichage"
• Coche la case "Afficher les fichiers et dossiers cachés"
• Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
• Clique sur Oui au message d'alerte
• Clique sur le bouton "OK"
Puis brancher ton disque dur externe et va analyser un fichier :
• Va sur le site VirusTotal
• Clique sur le bouton "parcourir"
• Recherche le fichier présent ici ==> L:\3c.exe
• Clique sur le bouton "Envoyer le fichier"
• Patiente pendant le scan du fichier
• Copie le rapport dans ta réponse
maxgoun
Messages postés
5
Date d'inscription
mardi 26 janvier 2010
Statut
Membre
Dernière intervention
1 février 2010
1 févr. 2010 à 16:38
1 févr. 2010 à 16:38
lorsuqe je cherche à copier L:\3c.exe sur virus total j'ai un message du style "0 bytes size received / Se ha recibido un archivo vacio" j'ai l'impression que le chemin recherché n'est pas trouvable...
sansfilet
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
279
1 févr. 2010 à 17:07
1 févr. 2010 à 17:07
Tu vois bien le fichier 3c.exe à la racine de ton disque externe ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
maxgoun
Messages postés
5
Date d'inscription
mardi 26 janvier 2010
Statut
Membre
Dernière intervention
1 février 2010
1 févr. 2010 à 17:12
1 févr. 2010 à 17:12
et bien, à vrai dire...non-je ne sais pas si ca a un rapport,mais je ne peux pas accéder a un fichier nommé "System Volume Information"(accés refuzsé...)
sansfilet
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
279
1 févr. 2010 à 17:21
1 févr. 2010 à 17:21
C'est normal pour l'accès de ce dossier, il s'agit du dossier des points de restauration du système.
On va continuer :
• Relance UsbFix.exe
• Appuie sur la touche F pour sélectionner le français et valide avec la touche Entrée.
• Choisis l'option "Suppression" en appuyant sur la touche 2 et valide avec la touche Entrée
• Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) susceptibles d'avoir été infectés sans les ouvrir quand l'outil te le demande et clique sur le bouton OK
• Patiente pendant que l'outil travaille
• A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\UsbFix.txt
Tutoriel suppression en images
Puis on va analyser plus en détail ton PC :
• Télécharge ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur le bouton télécharger
• Double clique sur le fichier téléchargé pour lancer l'installation
• Laisse toi guider pendant l'installation. Coche la case pour créer un raccourci sur le bureau et exécute ZHPDiag à la fin de l'installation
• Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan
• Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau
• Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
► Aide en images
On va continuer :
• Relance UsbFix.exe
• Appuie sur la touche F pour sélectionner le français et valide avec la touche Entrée.
• Choisis l'option "Suppression" en appuyant sur la touche 2 et valide avec la touche Entrée
• Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) susceptibles d'avoir été infectés sans les ouvrir quand l'outil te le demande et clique sur le bouton OK
• Patiente pendant que l'outil travaille
• A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\UsbFix.txt
Tutoriel suppression en images
Puis on va analyser plus en détail ton PC :
• Télécharge ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur le bouton télécharger
• Double clique sur le fichier téléchargé pour lancer l'installation
• Laisse toi guider pendant l'installation. Coche la case pour créer un raccourci sur le bureau et exécute ZHPDiag à la fin de l'installation
• Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan
• Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau
• Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
► Aide en images