Sujet Précédent Sujet Suivant

Analyse de rapport Hijackthis SVP

Résolu/Fermé
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 - Modifié par Sauve-qui-peut le 14/08/2010 à 19:00
 Utilisateur anonyme - 25 août 2010 à 18:21
Bonjour,

Hier, j'ai téléchargé "packupdate107_2124", apparemment un malware, en cliquant sur un lien apparaissant sur la page d'un moteur de recherche. Bien que je n'ai pas ouvert le fichier, l'antivirus a supprimé deux fichiers "Cookie..."

Malware ne détecte pas de virus.
Rien du coté de la vérification Spybot.

L'ordinateur plante souvent aujourd'hui, ce qui me laisse penser qu'il serait peut-être infecté.

L'analyse automatique de Hijackthis signale que aucun pare-feu n'est activé. Pourtant, ils apparaissent comme étant activés dans l'ordinateur.

Serait-il possible d'analyser mon hijackthis s'il vous plait ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:59:28, on 14/08/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\STService.exe
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe
C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe
C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Dell Support Center\gs_agent\dsc.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\Windows\SysWOW64\Userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - "C:\Program Files\BitDefender\BitDefender 2010\Antispam32\IEToolbar.dll" (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" /mode2
O4 - HKLM\..\Run: [Desktop Disc Tool] "c:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe"
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Launcher] C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\Launcher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\WildTangent\Dell Games\Dell Game Console\GameConsoleService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks - C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRYSVC.EXE
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

End of file - 10702 bytes


Merci d'avance.

Cordialement,
Sauve-qui-peut

A voir également:

39 réponses

Précédent
  • 1
  • 2
Réponse 21 / 39
Utilisateur anonyme
17 août 2010 à 14:41
Salut

Ok !! tu vois quand tu veux !! lol !!


1) * Installe ce Soft qui te tiendra au courant des mises à jour de tes Logiciels installés

* Télécharge Update Checker

* logiciel permet de trouver la liste des logiciels installés sur ton PC ainsi que leurs versions actuelles, et en comparant cette liste avec la base des données du serveur.
* il peut dire quel logiciel n'est pas à jour, et il te propose également de le télécharger

ICI >> Update Checker
* Installe le avec les paramètres par défaut en cliquant chaque fois sur Suivant.
* Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.
* Double-cliques sur l'icône pour être redirigé sur le site de téléchargement des mises à jour.
* Un conseil : n'installe pas les BETA qui sont listées en dessous.>> Beta Updates Detected
* Tu installes les mises à jour


2) * Télécharge Supress'tools (de NicoVA) :
* Utilitaire pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

ICI >>Supress'tools (de NicoVA)

* Enregistre le fichier sur le Bureau.
* Double-cliquez sur Supresstools.exe pour l'exécuter
*(si vous êtes sous Windows Vista et Windows 7,
* fais un clic-droit sur le fichier Supresstools.exe et >> exécutez-le en tant qu'administrateur.)
* Clique sur Recherche, puis Suppression pour finaliser.
* Un rapport sera généré (il est également enregistré à la racine du disque dur : C:\Report.txt)
* poste le Rapport

@+ pour la suite et fin

Comment va ton PC !!
0
Réponse 22 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
17 août 2010 à 15:16
Bonjour,

Oui... :D
Après avoir cliqué sur OK, il y avait une petite case à cocher à coté de la ligne, et je ne l'avais pas vue la première fois. Ensuite, ZHPFix veut bien "Nettoyer".

Le PC va bien.
Merci beaucoup pour votre aide.

Est-ce que avant d'enlever le logiciel, je peux l'utiliser pour supprimer autre chose ?

Par exemple, les lignes 02 - "no file" de McAfee ou 02 - BHO: (no name)...?

Ou encore O4 - HKLM \...\RunOnce: [Launcher] C:\Program Files (x86)\Dell Datasafe Local backup\Components\scheduler\Launcher.exe, un spyware selon le hijackthis ?

Bien cordialement,
Sauve-qui-peut
0
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
17 août 2010 à 15:39
Re,

Je me demande également pour quelle raison la ligne :

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: OK

présente dans le premier rapport ZHPDiag, a disparu du second rapport ?
Je ne l'ai pourtant pas supprimée. Est-ce que c'est grave ?

Cdlt,
S-Q-P
0
Réponse 23 / 39
Utilisateur anonyme
17 août 2010 à 15:20
Re

ok avant de supprimer les utilitaires

dans ce cas poste moi le log Hijackthis j y jetterai un oeil

@+
0
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
17 août 2010 à 16:34
Merci.

Le rapport hijackthis est posté dans le premier message ci-dessus.
Je l'ai entré dans l'automate sur le site http:/wwww.hijackthis.de/

Cordialement,
S-Q-P
0
Réponse 24 / 39
Utilisateur anonyme
17 août 2010 à 18:10
Re

je ne vois rien
fais moi un copié/collé de cerapport

0
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
Modifié par Sauve-qui-peut le 18/08/2010 à 16:55
Bonjour,

Le rapport est dans le premier message (tout en haut), juste en cliquant sur "lire la suite".
Il suffit de faire un copier/coller sur la page http://www.hijackthis.de et ce site fournit une analyse automatique. Cela étant dit cela ne remplace pas l'analyse des professionnels mais cela permet de donner une première interprétation du rapport.

Cordialement,
S-Q-P
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 39
Utilisateur anonyme
19 août 2010 à 16:12
Salut

Pas la peine ,je n obtiens aucun rapport ainsi

copie/colle moi ce rapport ici même
0
Réponse 26 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
19 août 2010 à 18:07
Bonjour,
J'ai envoyé une réponse hier en te remerciant parce que j'ai téléchargé Update Checker. Je disais aussi que je ne savais pas quelle version choisir pour la mise à jour de Flash Player avec ou sans IE.
J'ai posté hier un nouveau rapport avec le hijackthis mis à jour. Mais aujourd'hui, il n'y est plus. Je disais aussi que j'adore les scans :D

C'est bizarre parce que j'ai un autre message qui a disparu sur le forum cuisine.

Voilà le nouveau scan (aujourd'hui, impossible d'envoyer un message avec le copier/coller du rapport) :
http://www.cijoint.fr/cjlink.php?file=cj201008/cij50Nspi4.txt

Cordialement,
Sauve-qui-peut
0
Réponse 27 / 39
Utilisateur anonyme
19 août 2010 à 18:22
Salut


1) * Lances Hijackthis
* Cliques sur ==> Do a System Scan Only
* coches ces Lignes et pas d autres
surtout pas les (no name) tous seuls


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe" /background
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe






* Fermes tes autres applications
* Cliques sur ==> Fix Checked

ensuite

a la venir pour désactiver les applications inutiles au démarrage

2) Telecharges Starter
* Starter est un logiciel permettant de visualiser et de gérer les programmes qui se chargent automatiquement au lancement de Windows .

ICI >> Starter

* désactives les applications inutiles au démarrage autres que tes protections,applications windows et pilotes

aprés

3)* régle de sécurité :on réfléchit puis on clique et pas l'inverse
* Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas


4) * Fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
* Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas.
* Certaines infections cryptent les documents et demandent une rançon pour les récupérer,
* d'autres les modifient pour diffuser des infections, obligeant donc à les effacer...
* Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.

5) * un peu de lecture
Tu prendras le temps de lire
Synthèse du Projet Antimalwares
Projet Antimalwares


6) * Tu peux mettre ton problème résolu !!
>> Résolu


0
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
19 août 2010 à 18:39
Re,

Merci beaucoup.
Je me mets au travail.

Cordialement,
Sauve-qui-peut
0
Réponse 28 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
19 août 2010 à 19:17
Re,

Voilà le rapport de Supress'tools :

Rapport Supress'tools
Supress'tools a été éxécuté le 19/08/2010 à 19 : 08
Par Your-self
Système d'exploitation : WIN_7 / X64 /
Mode | Recherche |

¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤

rsit\ trouvé !
Usbfix\ trouvé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Desktop\ ¤¤¤¤¤¤¤

ZHPDiag.txt Trouvé !
ZHPFixReport.txt Trouvé !
UsbFix.exe Trouvé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Documents\Téléchargements\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Windows\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files (x86)\ ¤¤¤¤¤¤¤

trend micro\ trouvé !
ZHPdiag\ trouvé !

¤¤¤¤¤¤¤ C:\Windows\Prefetch\ ¤¤¤¤¤¤¤

SETUP.EXE-55658A2C.pf trouvé !
MBR.EXE-8BFEEB6E.pf trouvé !
HIJACKTHIS.EXE-64490959.pf trouvé !
ZHPDIAG.EXE-6A1D0894.pf trouvé !
ZHPFIX.EXE-53F600F6.pf trouvé !

¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤

HKEY_CURRENT_USER\Software\Trend Micro Trouvé!

¤¤¤¤¤¤¤ Demande d'upload ¤¤¤¤¤¤¤

UsbFix_Upload_Me_YOUR-SELF-PC.zip

=> Envoyer ceci pour aider le dévellopeur de cet outil !

((((((((((((((( EOF )))))))))))))))


Rapport Supress'tools
Supress'tools a été éxécuté le 19/08/2010 à 19 : 14
Par Your-self
Système d'exploitation : WIN_7 / X64 /
Mode | Suppression |


¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤

rsit Supprimé !
Usbfix Supprimé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Desktop\ ¤¤¤¤¤¤¤

ZHPDiag.txt Supprimé !
ZHPFixReport.txt Supprimé !
UsbFix.exe Supprimé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Documents\Téléchargements ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Windows\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files (x86)\ ¤¤¤¤¤¤¤

trend micro\ Supprimé !

¤¤¤¤¤¤¤ C:\Windows\Prefetch\ ¤¤¤¤¤¤¤

SETUP.EXE-55658A2C.pf Supprimé !
MBR.EXE-8BFEEB6E.pf Supprimé !
HIJACKTHIS.EXE-64490959.pf Supprimé !
ZHPDIAG.EXE-6A1D0894.pf Supprimé !
ZHPFIX.EXE-53F600F6.pf Supprimé !

¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤

HKEY_CURRENT_USER\Software\Trend Micro Supprimée!

((((((((((((((( EOF )))))))))))))))

Cordialement,
Sauve-qui-peut
0
Réponse 29 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
19 août 2010 à 20:44
Re,

J'ai ouvert Starter et je me suis aperçue que Adobe ARM et quelques autres sont toujours là au démarrage.

J'ai recommencé Fix check avec Hijackthis... une autre fois, mais deux lignes parmi celles que vous m'avez indiquées sont toujours là :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

et

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

Cordialement,
Sauve-qui-peut
0
Réponse 30 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
19 août 2010 à 21:49
Re,

Le document "projet antimalware" est super. Comment puis-je faire pour participer à sa rédaction ? Je vois qu'il y a un bouton pour participer de manière interactive, mais je ne comprends pas comment cela fonctionne.

Ou alors j'envoie le document par mail ?

Cordialement,
Sauve-qui-peut
0
Réponse 31 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
20 août 2010 à 04:58
Bonjour,

En fait, en lisant un lien figurant sur ce document, je me suis aperçue qu'il y a bien un rootkit dans ma machine : un certain nombre de PID apparaissent dans le Netstat qui ne figurent pas dans le taskmgr.

Le problème, c'est que je ne sais pas à quel processus ces PID sont liés. En effet, sur ce lien, il est expliqué comment rendre un processus caché visible par l'antivirus afin de le supprimer à l'aide de Gmer et IceSword. Le problème est que Gmer ne fonctionne pas sur ma machine (d'ailleurs, c'est bizarre : j'ai essayé de le télécharger à nouveau et le fichier porte à chaque fois des noms différents).

J'ai essayé la version Beta de l'antirootkit BlackLight mais il y a un problème de compatibilité...

C'est dommage car il est capable de détecter le faux-codec VidéoAccess. Or, le rapport ZHPDiag me laisse penser que c'est un phénomène proche à cause des lignes 017 :

---\\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B596DEE-4E56-484C-99DC-A43EF040362C}: DhcpNameServer = 212.27.40.240 212.27.40.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{F50E32D3-3432-4440-9B1D-8C9D6DF6751D}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{5B596DEE-4E56-484C-99DC-A43EF040362C}: DhcpNameServer = 212.27.40.240 212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{F50E32D3-3432-4440-9B1D-8C9D6DF6751D}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{5B596DEE-4E56-484C-99DC-A43EF040362C}: DhcpNameServer = 212.27.40.240 212.27.40.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{F50E32D3-3432-4440-9B1D-8C9D6DF6751D}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.240 212.27.40.241

Une autre solution est proposée mais je ne l'ai pas encore essayée parce qu'elle demande à ce que ces lignes 017 soient supprimées à l'aide de HijackThis et parce que je n'y connais rien au réseau.

J'ai refait un RSIT à la recherche de la correspondance entre le PID ou le port utilisé et le nom du processus. Cette fois, cela a bien fonctionné...

Le rapport Log :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijFsQo5nd.txt

Le rapport info :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijmkUd5TC.txt

Voilà où j'en suis...

Cordialement,
Sauve-qui-peut
0
Réponse 32 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
20 août 2010 à 14:09
Bonjour,

J'ai fait un scan à l'aide de OTL.

Le rapport est très long...

Je continue l'exploration.

Cordialement,
Sauve-qui-peut
0
Réponse 33 / 39
Utilisateur anonyme
20 août 2010 à 15:26
Salut

toi dans ton Log Hijackthis que tu m as donné je n ai rien qui me montre un détournement des DNS

http://www.cijoint.fr/cjlink.php?file=cj201008/cij50Nspi4.txt

et rien dans le log RSIT mise à part qu il n a pu téléchargé Hijackthis >> HijackThis download failed


0
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
Modifié par Sauve-qui-peut le 20/08/2010 à 16:52
Bonjour,

Merci d'avoir pris le temps de regarder.
Ah oui, en fait les éléments' 017-..." figurent dans le rapport ZHPDiag ci-dessus.
Est-ce que je dois ouvrir de nouveaux topics à présent pour poser mes questions ?

Bien cordialement,
Sauve-qui-peut
0
Réponse 34 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
Modifié par Sauve-qui-peut le 20/08/2010 à 17:21
Re,

Apparemment, le DNS 212.27..., c'est normal. Cela correspond au serveur du fournisseur d'accès qui a racheté la société qui me fournit l'accès.

J'ai refait un scan en mode sans échec avec Malwarebytes' et il n'a pas détecté de problèmes.

Je ne peux toujours pas utiliser toutes les fonctionnalités de Gmer mais il est tout de même possible d'observer quelques processus et modules qui n'apparaissent pas dans le taskmgr :
System [PID 4]
Isass.exe [PID 516]
lsm.exe [PID 524]

En revanche pour tous les autres PID, je ne dispose pas d'informations sur le processus caché lié.

Cordialement,
S-Q-P
0
Réponse 35 / 39
Utilisateur anonyme
20 août 2010 à 17:30
Comme dis avant rien ne montre un détournement des DNS

Serveurs DNS
>> Free

DNS Primaire : dns1.proxad.net 212.27.40.240
DNS Secondaire : dns2.proxad.net 212.27.40.241

donc pas de soucis
0
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
20 août 2010 à 17:46
Re

Merci. :)

Je suis en train de faire le nettoyage.

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Rsit: trouvé !
C:\Program Files (x86)\ZHPDiag: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis: trouvé !
C:\Program Files (x86)\Trend Micro\HiJackThis\HijackThis.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !
C:\Users\Your-self\AppData\Local\VirtualStore\Program Files (x86)\Trend Micro\HijackThis: trouvé !
C:\Users\Your-self\AppData\Local\VirtualStore\Program Files (x86)\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\Your-self\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HijackThis.exe: trouvé !
C:\Users\Your-self\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\Your-self\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\Your-self\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis\HijackThis.lnk: trouvé !
C:\Users\Your-self\Desktop\Logiciels\HijackThis.lnk: trouvé !
C:\Users\Your-self\Downloads\fsbl.exe: trouvé !
C:\Users\Your-self\Downloads\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files (x86)\Trend Micro\HiJackThis\HijackThis.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: supprimé !
C:\Users\Your-self\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Users\Your-self\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis\HijackThis.lnk: supprimé !
C:\Users\Your-self\Desktop\Logiciels\HijackThis.lnk: supprimé !
C:\Users\Your-self\Downloads\fsbl.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: supprimé !
C:\Users\Your-self\AppData\Local\VirtualStore\Program Files (x86)\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Your-self\Downloads\Rsit.exe: supprimé !
C:\Rsit: supprimé !
C:\Program Files (x86)\ZHPDiag: supprimé !
C:\Program Files (x86)\Trend Micro\HijackThis: supprimé !
C:\Users\Your-self\AppData\Local\VirtualStore\Program Files (x86)\Trend Micro\HijackThis: supprimé !
C:\Users\Your-self\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\HijackThis: supprimé !

Cordialement,
Sauve-qui-peut
0
Réponse 36 / 39
Utilisateur anonyme
20 août 2010 à 19:07
Re

pour moi c est terminé

te dis bon surf !!
0
Réponse 37 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
23 août 2010 à 22:23
Bonsoir,

Merci beaucoup pour votre aide.

Bonne continuation.

Sauve-qui-peut
0
Réponse 38 / 39
Utilisateur anonyme
24 août 2010 à 04:01
Salut

Pas de soucis

@+
0
Réponse 39 / 39
Sauve-qui-peut Messages postés 142 Date d'inscription dimanche 5 juillet 2009 Statut Membre Dernière intervention 17 novembre 2013 4
Modifié par Sauve-qui-peut le 25/08/2010 à 17:00
Salut,

De mon côté, c'est reparti pour un tour, Spybot a supprimé un Trojan Win32.Banker hier. Aujourd'hui, en effectuant une sauvegarde : message d'erreur... et le CD est resté bloqué dans le lecteur.

Hijackthis mentionne des trojans aux lignes 052.
Est-ce que je dois recommencer tout le processus ?

Cordialement,
Sauve-qui-peut
0
Utilisateur anonyme
25 août 2010 à 18:21
Salut

nouveau Sujet
on recommence avec ce nouveau lien tu y restreras

>> CCM


@+
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
RBmoon -

18 réponses
Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse
échec de l'analyse antivirus
StalkerShadows -
ness -

19 réponses