Infection ?
ckiller76
Messages postés
48
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Mon ordinateur sous windows Xp pro rame depuis plusieurs jours. J'ai enlevé sous Malwayrebytes plusieurs choses malveillantes puis j'ai fait un scan avec avira. J'ai aussi enlevé un virus. Mais mon ordi rame toujours et à du mal à s'éteindre (un écran bleu apparaît). Voici un rapport Hijackthis. Merci de m'aider. Bonne journée
https://www.cjoint.com/?BDeirpDF31v
Mon ordinateur sous windows Xp pro rame depuis plusieurs jours. J'ai enlevé sous Malwayrebytes plusieurs choses malveillantes puis j'ai fait un scan avec avira. J'ai aussi enlevé un virus. Mais mon ordi rame toujours et à du mal à s'éteindre (un écran bleu apparaît). Voici un rapport Hijackthis. Merci de m'aider. Bonne journée
https://www.cjoint.com/?BDeirpDF31v
79 réponses
gen-hackman et H3RV3 vont continuer avec toi, inutile qu'on soit à 3 pour t'aider, nos messages risquent de se croiser, etc.
Tu as le temps de voir ce qui est indiqué sur l'écran bleu ?
Tous les tools passés détectent un FP ??
Salut juju
Merci de rester jusqu'à la fin de la désinfection.
Tous les tools passés détectent un FP ??
Salut juju
Merci de rester jusqu'à la fin de la désinfection.
Sur l'écran bleu s'est écrit page fault in nonpaged area après ils disent de débrancher ce qu'on aurait pu ajouter (mon ordi n'a rien de nouveau depuis 6 ans) et tout en bas il y a stop 0 x 000050 (et d'autres chiffres)
@H3RV3 :
Doit y'avoir de l'émulateur là dessous.
.::. Contributeur Sécurité .::.
¤¤¤¤¤¤¤¤¤¤ | Contrôle de(s) Partition(s) Disk: 0 Size= 76G Pos MBRndx Type/Name Size Active Hide Start Sector Sectors --- ------ ---------- ---- ------ ---- ------------ ------------ 0 0 07-NTFS 76G Yes No 63 156,296,322 ¤¤¤¤¤¤¤¤¤¤ | Contrôle du MBR MBR code signature : 58 EE 58 EE Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: ST380011A rev.3.06 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully Disk trace: called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [89797A58]<< _asm { PUSH EBP; MOV EBP, ESP; SUB ESP, 10; MOV DWORD [EBP-8], 89527426; LEA EAX, [EBP+8]; MOV [EBP-c], EAX; MOV DWORD [EBP-10], 8952755f; } 1 nt!IofCallDriver[804E13B9] -> \Device\Harddisk0\DR0[89869AB8] 3 CLASSPNP[F7647FD7] -> nt!IofCallDriver[804E13B9] -> \Device\00000065[89872F18] 5 ACPI[F75AD620] -> nt!IofCallDriver[804E13B9] -> \Device\Ide\IdeDeviceP0T0L0-3[898A8940] kernel: MBR read successfully _asm { XOR AX, AX; MOV SS, AX; MOV SP, 7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 7c1b; MOV DI, 61b; PUSH AX; PUSH DI; MOV CX, 1e5; REP MOVSB ; RETF ; MOV BP, 7be; MOV CL, 4; CMP [BP+0], CH; JL 2e; JNZ 3a; } user & kernel MBR OK
Doit y'avoir de l'émulateur là dessous.
.::. Contributeur Sécurité .::.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bien
mets firefox à jour => version 11
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"QuickTime Task"=-
"DivXUpdate"=-
[-HKCU\Software\ECBarre_V5]
[-HKLM\Software\BrowserChoice]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Messenger\msmsgs.exe"=-
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-
"1900:UDP"=-
"2869:TCP"=-
"5985:TCP"=-
list::
C:\WINDOWS\system32\DBBK
file::
C:\WINDOWS\DUMP8404.tmp
C:\WINDOWS\explorer(2).exe
C:\Documents and Settings\poste2\RefEdit.exd
C:\Program Files\FileFormatConverters.exe
folder::
C:\WINDOWS\assembly\tmp\M88T9QU0
C:\0d3984ea5496cf1e72c912cfa027
C:\3a7a53ee679ea53e068133
C:\68cff3248a17244592
C:\6ad829c93f4cdf143e382e
C:\7905e5a29a6bbf7b3fec
C:\8e5085a88fd46e58d9c8ac98038b09
C:\e42dc179c3cdbd6717ba0a2de7
C:\f020c5dd4d820ba8f6
C:\f7a53270713f7e555adb7712502e7092
C:\Documents and Settings\poste2\Application Data\WebPlayerBdd
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=======================
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Pre_scan\MBR.bin
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
mets firefox à jour => version 11
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"QuickTime Task"=-
"DivXUpdate"=-
[-HKCU\Software\ECBarre_V5]
[-HKLM\Software\BrowserChoice]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Messenger\msmsgs.exe"=-
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-
"1900:UDP"=-
"2869:TCP"=-
"5985:TCP"=-
list::
C:\WINDOWS\system32\DBBK
file::
C:\WINDOWS\DUMP8404.tmp
C:\WINDOWS\explorer(2).exe
C:\Documents and Settings\poste2\RefEdit.exd
C:\Program Files\FileFormatConverters.exe
folder::
C:\WINDOWS\assembly\tmp\M88T9QU0
C:\0d3984ea5496cf1e72c912cfa027
C:\3a7a53ee679ea53e068133
C:\68cff3248a17244592
C:\6ad829c93f4cdf143e382e
C:\7905e5a29a6bbf7b3fec
C:\8e5085a88fd46e58d9c8ac98038b09
C:\e42dc179c3cdbd6717ba0a2de7
C:\f020c5dd4d820ba8f6
C:\f7a53270713f7e555adb7712502e7092
C:\Documents and Settings\poste2\Application Data\WebPlayerBdd
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=======================
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Pre_scan\MBR.bin
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.326 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Microsoft Windows XP (32 bits) Service Pack 3
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray:: | FF::
Script : 17:00:19
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\DUMP8404.tmp
Supprimé : C:\WINDOWS\explorer(2).exe
Supprimé : C:\Documents and Settings\poste2\RefEdit.exd
Supprimé : C:\Program Files\FileFormatConverters.exe
¤
Supprimé : C:\WINDOWS\assembly\tmp\M88T9QU0
Supprimé : C:\0d3984ea5496cf1e72c912cfa027
Supprimé : C:\3a7a53ee679ea53e068133
Supprimé : C:\68cff3248a17244592
Supprimé : C:\6ad829c93f4cdf143e382e
Supprimé : C:\7905e5a29a6bbf7b3fec
Supprimé : C:\8e5085a88fd46e58d9c8ac98038b09
Supprimé : C:\e42dc179c3cdbd6717ba0a2de7
Supprimé : C:\f020c5dd4d820ba8f6
non Supprimé : C:\f7a53270713f7e555adb7712502e7092
Supprimé : C:\Documents and Settings\poste2\Application Data\WebPlayerBdd
¤
¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\WINDOWS\system32\DBBK
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000d
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 17:02:48
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Microsoft Windows XP (32 bits) Service Pack 3
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray:: | FF::
Script : 17:00:19
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\DUMP8404.tmp
Supprimé : C:\WINDOWS\explorer(2).exe
Supprimé : C:\Documents and Settings\poste2\RefEdit.exd
Supprimé : C:\Program Files\FileFormatConverters.exe
¤
Supprimé : C:\WINDOWS\assembly\tmp\M88T9QU0
Supprimé : C:\0d3984ea5496cf1e72c912cfa027
Supprimé : C:\3a7a53ee679ea53e068133
Supprimé : C:\68cff3248a17244592
Supprimé : C:\6ad829c93f4cdf143e382e
Supprimé : C:\7905e5a29a6bbf7b3fec
Supprimé : C:\8e5085a88fd46e58d9c8ac98038b09
Supprimé : C:\e42dc179c3cdbd6717ba0a2de7
Supprimé : C:\f020c5dd4d820ba8f6
non Supprimé : C:\f7a53270713f7e555adb7712502e7092
Supprimé : C:\Documents and Settings\poste2\Application Data\WebPlayerBdd
¤
¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\WINDOWS\system32\DBBK
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000d
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 17:02:48
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
SHA256: 0c1a465f0d1dff10b8895bb85e7085d4b0d8e5b3cb81b62a4b8ea84ef485f904
File name: MBR.bin
Detection ratio: 0 / 42
Analysis date: 2012-04-05 15:02:49 UTC ( 0 minute ago )
File name: MBR.bin
Detection ratio: 0 / 42
Analysis date: 2012-04-05 15:02:49 UTC ( 0 minute ago )
