Rapport HijackThis Résolu/Fermé

Question

j'aimerai qu'on Analyser et interpréte un log HijackThis voici le rapport: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:32:24, on 23/03/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32	askhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\WerFault.exe
C:\Windows\System32\ThpSrv.exe
C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Safari\Safari.exe
C:\Windows\system32\mmc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ThpSrv] C:\Windows\system32	hpsrv /logon
O4 - HKLM\..\Run: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [picon] "C:\Program Files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" -startup
O4 - HKCU\..\Run: [svcchost.exe] C:\Users\BARRO ARNAUD\AppData\Roaming\Microsoft\svcchost.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E09FXLRD_24004638] "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\Windows\system32\ThpSrv.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Common Files\Intel\Privacy Icon\UNS\UNS.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

crapoulou · Answer

Bonsoir,

Pourquoi désires-tu que l'on analyse ton rapport au juste ?
Quel est ton problème ? (Symptômes, ...)

arnobine · Answer

Bonsoir et merci d'avoir repondu,
Enfait mon pc rédemarre tout seul et ensuite il ya un écran bleu qui apparait puis après le démarrage on affiche: "windows a redemarrer après un arrêt non planifié". Après avoir lu un forum j'ai vu que l'on pouvais utiliser le logiciel HijackThis qui pouvais m'aider à supprimer des programmes malveillants ou autre programmes indésirables qui pourrait être la cause de mon problème. merci

arnobine · Answer

Après avoir désactivé l'UAC et télécharger RSIT, lors de l'exécution j'ai reçu un message probablement d'erreur:  
Line-1:
Error: Variable used without being declared

         Ce qui a donc empêché l'exécution totale.

arnobine · Answer

oui sa fonctionné et j'ai reçu un fichier sous forme de bloc note :

Logfile of random's system information tool 1.06 (written by random/random)
Run by BARRO ARNAUD at 2010-03-24 01:11:06
Microsoft Windows 7 Édition Intégrale  Service Pack 2
System drive C: has 68 GB (49%) free of 138 GB
Total RAM: 1897 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:11:08, on 24/03/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32	askhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\ThpSrv.exe
C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Safari\Safari.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\msfeedssync.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\BARRO ARNAUD\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\BARRO ARNAUD.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ThpSrv] C:\Windows\system32	hpsrv /logon
O4 - HKLM\..\Run: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [picon] "C:\Program Files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" -startup
O4 - HKCU\..\Run: [svcchost.exe] C:\Users\BARRO ARNAUD\AppData\Roaming\Microsoft\svcchost.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E09FXLRD_24004638] "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\Windows\system32\ThpSrv.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Common Files\Intel\Privacy Icon\UNS\UNS.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

crapoulou · Answer

Rien de méchant à première vue. Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double-clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. - Rends toi dans l'onglet rapport/log - Tu clique dessus pour l'afficher une fois affiché - Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d'aide regarde ce tutorial ICI

arnobine · Answer

bonsoir,
     J'ai fais à la lettre tout ce que vous m'aviez dit, et voici le rapport d'analyse avec Malwarebytes :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3909
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24/03/2010 23:10:10
mbam-log-2010-03-24 (23-10-10).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 556711
Temps écoulé: 3 hour(s), 40 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
F:\logiciel\VMware Workstation- 6.5 Build- 118166\keygen.exe (Malware.Tool) -> Quarantined and deleted successfully.

crapoulou · Answer

Supprime tes cracks, ils sont vecteurs d'infection. ******* Je ne suis pas sûr que l'outil suivant fonctionne sous Seven. Si tu rencontres un souci, dis le moi. Télécharge Gmer sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = = * Décompresse l'archive sur le bureau. * Déconnecte-toi d'Internet et ferme tous les autres programmes. * Clique droit sur gmer.exe puis sélectionne Exécuter en tant qu'administrateur pour lancer le programme. * Si on te pose la question, réponds oui au lancement de gmer.sys * Si tu as un message t'avertissant du démarrage d'un programme sur l'activité des rootkits et si tu veux lancer un scan, réponds NON. Ouvre l'onglet Rootkit. Vérifies que toutes les cases de la colonne de droite soient cochées, à l'exception de "Show all". Clique sur le bouton "Scan". Patiente le temps du scan. A la fin, clique sur le bouton "Copy". Le rapport a été copié dans le presse-papier. Ouvre le bloc-notes et appuie en même temps sur les touches Ctrl et V. Le rapport est collé dans le bloc-notes. Enregistre le (Fichier > Enregistrer sous) sur le bureau. Copie le dans ta prochaine réponse. Mentionne moi les lignes en rouge s'il y en a. NB : Si tu as un problème pour lancer gmer.exe, essaye en mode sans échec. Contrairement à d'autres scanners de rootkits, gmer s'exécute en mode sans échec.

arnobine · Answer

l'outil a apparement bien fonctionné voici le rapport:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-25 00:54:48
Windows 6.1.7600 
Running: gmer.exe; Driver: C:\Users\BARROA~1\AppData\Local\Temp\kwlyraob.sys


---- System - GMER 1.0.15 ----

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          82827AF8
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          82827104
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          828273F4
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          828102D8
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          8280F898
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          828271DC
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          82827958
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          828276F8
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          82827F2C
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                          828281A8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                                   828875C9 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                            828AC052 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
?               System32\drivers\jjmidt.sys                                                                                                       Le chemin d'accès spécifié est introuvable. !
.text           peauth.sys                                                                                                                        98016C9D 28 Bytes  [55, B0, 45, 94, 68, D2, 01, ...]
.text           peauth.sys                                                                                                                        98016CC1 28 Bytes  [55, B0, 45, 94, 68, D2, 01, ...]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1544] kernel32.dll!SetUnhandledExceptionFilter                                75A53162 4 Bytes  [C2, 04, 00, 00]
.text           C:\Program Files\Safari\Safari.exe[2452] USER32.dll!EndPaint                                                                      75B07B73 5 Bytes  JMP 65107E20 C:\Program Files\Common Files\Apple\Apple Application Support\WebKit.dll (WebKit Dynamic Link Library/Apple Inc.)
.text           C:\Program Files\Safari\Safari.exe[2452] USER32.dll!BeginPaint                                                                    75B07B87 5 Bytes  JMP 65107DB0 C:\Program Files\Common Files\Apple\Apple Application Support\WebKit.dll (WebKit Dynamic Link Library/Apple Inc.)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe[1936] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe[1936] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe[1936] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe[1936] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe[1936] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[2440] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                             [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[2440] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                              [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[2440] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                            [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[2440] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                           [75425E25] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]                      [6144AE77] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                        [6144ADA9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]                        [6144ADE9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                      [6144A7A3] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\USER32.dll [GDI32.dll!GetStockObject]                        [61449CEC] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                     [6144AE77] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExA]                     [6144AE29] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                     [6144A7A3] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]                       [6144ADE9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]                      [6144ADE9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]                      [6144ADA9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]                    [6144AE77] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                    [6144A7A3] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]                    [6144AE29] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [GDI32.dll!GetStockObject]                       [61449CEC] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!GetSysColor]                         [61449C27] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!DefWindowProcW]                      [6144A3BA] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!DefWindowProcA]                      [6144A3BA] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [USER32.dll!GetSysColorBrush]                    [61449CF2] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [USER32.dll!TrackPopupMenu]                      [61449B56] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [USER32.dll!TrackPopupMenuEx]                    [61449B94] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [USER32.dll!AnimateWindow]                       [61449D87] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [USER32.dll!GetSysColor]                         [61449C27] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [USER32.dll!DefWindowProcW]                      [6144A3BA] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [GDI32.dll!GetStockObject]                       [61449CEC] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]                      [6144ADA9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll
IAT             C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE[4068] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]                      [6144ADE9] C:\PROGRA~1\Yahoo!\MESSEN~1\yui.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                            eamon.sys (Amon monitor/ESET)

Device          \Driver\ACPI_HAL \Device\00000048                                                                                                 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8                                                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                          fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                          eamon.sys (Amon monitor/ESET)

---- EOF - GMER 1.0.15 ----

arnobine · Answer

bonjour,,
         pendant la recherche avec SEAF j'ai reçu le message d'erreur suivant: 

   Error allocating memory

crapoulou · Answer

SEAF ne fonctionnant pas (je ne sais pas pourquoi), on va essayer autre chose : Télécharge OAD sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = * Clique droit sur le fichier OAD.exe et sur Propriétés, dans l'onglet Compatibilité, Cadre "Niveau de privilège" il faut cocher "Exécuter ce programme en tant qu'administrateur". * Double clique sur le OAD pour le lancer. * Tape ceci dans la fenêtre qui s'ouvre jjmidt * Type de recherche : sélectionne l'option 6 puis valide [Entrée]. OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ait terminé. Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé. (résultat.txt). * Fais un copier / coller de ce rapport dans ton prochain message. Note : Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient(e) !

arnobine · Answer

bonsoir, comment vous allez?
      voici donc le rapport avec OAD (ce fut assez rapide):

 26/03/2010 ---- 21:14:14,59  

----------------------------------
§§§§§§ [jjmidt] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

crapoulou · Answer

ça va merci. Très bien pour OAD. Supprime-le. ******** Lance Hijackthis par clic droit, `Exécuter en tant qu'administrateur`. Il se situe ici : C:\Program Files\Trend Micro\HijackThis\BARRO ARNAUD.exe Clique sur "Do a system scan only". Coche ces lignes : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe Clique ensuite sur "Fix checked". Ferme Hijackthis. ********* Fais un scan en ligne avec Bitdefender et colle le rapport = = = = >>> En cliquant ici <<< = = = = Scan à faire sous Internet Explorer. * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE * Dans la nouvelle fenêtre, clique sur I agree * La fenêtre change encore, clique sur Click here to scan * Les signatures se chargent, etc. Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou bien scanres.html

arnobine · Answer

rapport de scan avec bitdefender(dans  C:\windows\bdoscan8\scanres.html) :


BitDefender Online Scanner

 

 

Scan report generated at: __CRT_DATETIME__

 

 

 

Scan path: __SCANPATH__

 

 

 

 

 

Statistics

Time

__TIME__

Files

__FILES__

Folders

__FOLDERS__

Boot Sectors

__BOOTS__

Archives

__ARCHIVES__

Packed Files

__PACKED__

 

 

Results

Identified Viruses

__VIRUSES__

Infected Files

__INFFILES__

Suspect Files

__SUSFILES__

Warnings

__WARNINGS__

Disinfected

__DISINFECTED__

Deleted Files

__DELETED__

 

 

Engines Info

Virus Definitions

__VIRUSDEFS__

Engine build

__ENGBUILD__

Scan plugins

__SCANPLUGINS__

Archive plugins

__ARCHPLUGINS__

Unpack plugins

__UNPACKPLUGINS__

E-mail plugins

__EMAILPLUGINS__

System plugins

__SYSPLUGINS__

 

 

Scan Settings

First Action

__FIRSTACT__

Second Action

__SECACT__

Heuristics

__HEURISTICS__

Enable Warnings

__ENABLEWARNINGS__

Scanned Extensions

__EXT__

Exclude Extensions

__EXCLUDEEXT__

Scan Emails

__SCANEMAILS__

Scan Archives

__SCANARCHIVES__

Scan Packed

__SCANPACKED__

Scan Files

__SCANFILES__

Scan Boot

__SCANBOOT__

 

 

  __SINGLEFILE__
Scanned File

 Status

arnobine · Answer

oui je me disais aussi. Mais je trouvé  ceci après le scan mais qui ne ce trouvait pas dans l'emplacement indiqué:

BitDefender Online Scanner - Real Time Virus Report

 

 

Generated at: Sat, Mar 27, 2010 - 02:46:50

 

 

 

Scan Info

 

 

Scanned Files

957669

Infected Files

0

 

 

 

 

 

Virus Detected

 

 

No virus found.


 

 

 

 

 

 

 

 

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

arnobine · Answer

bon tout allez bien depuis que nous avions commencé mais ce matin il a encore subit un plantage,sauf que l'écran bleu n'a pas apparu et j'ai dû rédemarrer. J'ai aussi souvent remarqué que cela apparait lorsque je me connecte a mon réseau mais suis pas trop sûr..

arnobine · Answer

bonjour,
      C'est un ordinateur portable qui était venu avec une licence vista et malheureusement  en voulant mettre seven j'ai dû le formater sans enregistrer le recovery donc actuellement je pense même que je ne doit plus posséder de licence. La version seven que j'utilise maintenant ne doit pas etre légal puisqu'il est dit au niveau des informations général du sysstème, d'exiger un logiciel microsoft original, je l'ai prise avec un ami.
             Cela pourrait-il etre la cause de mon problème?

arnobine · Answer

j'ai une mémoire vive de 2Go.
Quand j'avais la licence vista je n'avais pas ce problème mais je l'ai changé car je n'arrivais pas a installer des logiciels tels que Vb et sql...

arnobine · Answer

ok.
   merci pour tout!

crapoulou · Answer

Terminons proprement ! Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge Toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Clique droit sur ToolsCleaner2.exe et clique sur "Exécuter en tant qu'administrateur" pour le lancer. Laisse le travailler (même s'il est écrit "Ne répond plus"). * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse. ********************* Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !) Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après. ********************* * Télécharge Ccleaner Slim : = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l'onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l'onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-) ******** Réactive l'UAC.

Rapport HijackThis

19 réponses

Discussions similaires