Analyse Scan HijackthisRésolu/Fermé

Question

Bonjour, 

Il ya quelques jours j'ai cliqué sur un lien sur internet, ça m'a affiché quelque chose me parlant d'un virus et il me semble qu'il s'est installé sur le pc, c'est allé très vite j'ai rien eu le temps de faire..

Suite à ça j'ai fait une analyse complète avec AVira, suivit de Spybot et Antimalwarebyte's..et un petit coup de CCleaner au passage.


J'ai fait un scan avec Hijackthis, j'ai fixé certaines lignes..


J'ai refait un scan et j'aimerais avoir votre avis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMT9CE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Sylvain\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe



Voila..suis-je encore infecté ? Ou Malwariser ? ^^
Si oui que dois-je faire..

Merci d'avance.


Configuration: Windows XP / Internet Explorer 7.0

Utilisateur anonyme · Answer

bonjour

fait ceci sans rien toucher au rapport stp 

  Télécharge Random's system information tool RSIT et enregistre le sur ton Bureau.
    Double clique sur RSIT.exepour lancer l'outil.
    Clique sur ' continue ' à l'écran Disclaimer.
    Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    C:\RSIT\log.txt & C:\RSIT\info.txt

   CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller 

    Tutoriel de RSIT

    Comment héberger les rapports trop longs de RSIT

prout · Answer

Bonjour,

Merci pour ta répionse!
Dsl j'avais fixé 3 lignes entre temps..

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab 



Les log arrivent..

prout · Answer

Voila le lien

https://www.androidworld.fr/

Utilisateur anonyme · Answer

Re   

je voudrais que tu me fasse ceci et poste moi le rapport que tu a eu stp   

clic sur Démarrer puis executer et copie colle ceci   

regedit.exe /e c:\ms.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig  

ensuite le rapport ce trouve dans le C:\ MS.txt

pourrais tu me poster le rapport de MBAM STp  


Merci de mettre tout les rapports

prout · Answer

Voici le rapport: 

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services] 
"WLSetupSvc"=dword:00000003 
"usnjsvc"=dword:00000003 
"ose"=dword:00000003 
"odserv"=dword:00000003 
"NVSvc"=dword:00000002 
"JavaQuickStarterService"=dword:00000002 
"gusvc"=dword:00000003 
"getPlus(R) Helper"=dword:00000003 
"PLFlash DeviceIoControl Service"=dword:00000002 
"idsvc"=dword:00000003 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="" 
"hkey"="HKLM" 
"command"="" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="AdobeARM" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe\"" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="Reader_sl" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe\"" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="avgnt" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe\" /min" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HP Software Update] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="HPWuSchd2" 
"hkey"="HKLM" 
"command"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="iTunesHelper" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\iTunes\iTunesHelper.exe\"" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSMSGS] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="msmsgs" 
"hkey"="HKCU" 
"command"="\"C:\Program Files\Messenger\msmsgs.exe\" /background" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="NBAgent" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\Nero\Nero BackItUp & Burn\Nero BackItUp\NBAgent.exe\" /WinStart" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="qttask" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="jusched" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\Java\jre6\bin\jusched.exe\"" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="GoogleToolbarNotifier" 
"hkey"="HKCU" 
"command"="\"C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe\"" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ToolBoxFX] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="HPTLBXFX" 
"hkey"="HKLM" 
"command"="\"C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe\" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on" 
"inimapping"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state] 
"system.ini"=dword:00000000 
"win.ini"=dword:00000000 
"bootini"=dword:00000000 
"services"=dword:00000002 
"startup"=dword:00000002 






Ou je trouve le rapport de MBAM stp ?
J'ai regarder des les rapports/logs mais il n'y est plus, j'ai surement dû l'effacer la dernière fois..

Utilisateur anonyme · Answer

Re

Pour MBAM tu peux en refaire un mais le a jours 

je te conseil vivement de réactiver dans Msconfig ces lignes 

C:\Program Files\Java\jre6\bin\jusched.exe\
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe\

elle sont tres importantes sur ton rapport rien ne montre la présence d'une infection

prout · Answer

Ok j'ai relancé une analyse MBAM et j'ai réactiver les 2 lignes de java et avira..

Donc ça va pas d'infection..je suis content.

Le programme CTFMON.exe et iexplore.exe c'est normal je suppose ?
(je peux désactiver ctfmon.exe au demarrage dans msconfig ou c'est important ?)

Encore merci.

Utilisateur anonyme · Answer

Re

pour ctfmon utilise ceci

https://www.commentcamarche.net/faq/16249-desactiver-ctfmon-exe-au-demarrage

prout · Answer

Dakodak ^^

Merci pour tout.

Analyse Scan Hijackthis

9 réponses

Discussions similaires

Newsletters