Virus - Rapport HijackThis

Fermé
kevinhenri Messages postés 34 Date d'inscription mardi 13 mai 2008 Statut Membre Dernière intervention 8 septembre 2012 - 20 mai 2010 à 23:07
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 - 21 mai 2010 à 19:25
Bonjour,

J'ai lancé par erreur un keygen.exe, maintenant je suis infecté. Je vous poste ci-dessous un rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:39, on 20/05/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Annie\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - c:\program files\shareaza\razawebhook32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [HKLM] C:\Windows\win32\keygen.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HKCU] C:\Windows\win32\keygen.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\win32\keygen.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\win32\keygen.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Global Startup: Mise à jour des licences ESET.lnk = C:\Program Files\ESET\MiNODLogin\MiNODLogin.exe
O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Download with &Shareaza - res://c:\program files\shareaza\razawebhook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\Windows\system32\libusbd-nt.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
A voir également:

6 réponses

ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
20 mai 2010 à 23:13
Bonjour,

Commence par ceci


◊◊◊Télécharge OTM (de Old_Timer) sur ton Bureau,◊◊◊
♦ Double-clique sur OTM.exe pour lancer le programme,
♦ Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HKLM"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"HKCU"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-

:files
c:\windows\win32\keygen.exe


:Commands
[emptytemp]
[Reboot] 

♦ Clique sur MoveIt! pour lancer la suppression,
♦ Le résultat apparaîtra dans le cadre Results.
♦ Clique sur Exit pour fermer le programme.
♦ Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
♦ Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.


Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci

Ensuite

◊◊◊ Télécharge Ccleaner ◊◊◊

♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69



◊◊◊ Télécharge Malwarebytes ◊◊◊

Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68


♦ Installe le
♦ Lance malwarebytes
♦ Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport

Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci


et pour finaliser

◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊

♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT




♦Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
0
kevinhenri Messages postés 34 Date d'inscription mardi 13 mai 2008 Statut Membre Dernière intervention 8 septembre 2012 2
20 mai 2010 à 23:26
Voici le rapport de OTM :

https://www.cjoint.com/?fuxuGvfpVL
0
kevinhenri Messages postés 34 Date d'inscription mardi 13 mai 2008 Statut Membre Dernière intervention 8 septembre 2012 2
21 mai 2010 à 00:02
0
kevinhenri Messages postés 34 Date d'inscription mardi 13 mai 2008 Statut Membre Dernière intervention 8 septembre 2012 2
21 mai 2010 à 00:24
Voici le rapport de OTL :

https://www.cjoint.com/?fvayaIPiZD
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kevinhenri Messages postés 34 Date d'inscription mardi 13 mai 2008 Statut Membre Dernière intervention 8 septembre 2012 2
21 mai 2010 à 00:25
Voici le lien de extras :

https://www.cjoint.com/?fvayOseDSk

J'ai fini toutes les étapes, j'espère en être débarassé...
En tous cas, merci de votre aide !
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
21 mai 2010 à 19:25
Bonsoir,

Peut tu faire analyser ce fichier
C:\Windows\System32\aamd532.dll

Sur ce site
https://www.virustotal.com/gui/

Poste le rapport qui en découle stp
0