SVP es que je suis infecté Fermé

Question

Bonjour,
salut voila le raport de hijackthis 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 13:27:11, on 11/08/2008 
Platform: Windows XP SP2 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\spoolsv.exe 
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe 
C:\WINDOWS\system32\igfxtray.exe 
C:\WINDOWS\system32\hkcmd.exehttp://forum-aide-contre-virus.­be/hijackthis.html' target='_blank' rel='nofollow'>https://www.androidworld.fr/ 
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe 
C:\Program Files\Winamp\Winampa.exe 
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe 
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe 
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe 
C:\Program Files\Nero\Nero 7\InCD\InCD.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\MSN Messenger\MsnMsgr.Exe 
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe 
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 
C:\WINDOWS\system32\wuauclt.exe 
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe 
C:\Program Files\Trend Micro\HijackThis\HJT.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/spresults.aspx 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx 
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe 
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe 
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" 
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe 
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background 
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user') 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe 
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe 
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe 
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe 
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe 
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

kraignos · Answer

Mis à part un antivirus obsolete (AVG7 ou 7.5) à remplacer par AVG8 ou Antivir, pas de Firewall évolué et un certain nombre de bricoles inutiles dans la séquence de démarrage , je ne vois pas trace de nuisible actif

si ton PC se comporte normalement je ne pense pas que tu aies à t'inquieter au dela de la mise à niveau de tes logiciels obsoletes ou médiocres (firewall xp)

tu peux fixer :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

et optionnel :

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

youcalisto · Answer

merci 
j'ai avg comme antivirus y aussi j'ai Malwarebytes quand je scan avec avg il m'affiche ça:

C:\WINDOWS\system32\kernel32.dll      ......... change.............changed
C:\WINDOWS\system32\user32.dll      ......... change.............changed
C:\WINDOWS\system32\shell32.dll      ......... change.............changed
C:\WINDOWS\system32
toskrnl32.dll      ......... change.............changed

C:\autorun.inf                                                                            .............Healed
D:\System Volume Information\_restore{F61269A9-D044..........inf     .................Healded

pour malwarebytes quand j'ai fais un scan  ma aficché 
Hijack.System.Hid... Rgister Data HEKY_LOCAL SOFTWARE\Micro... Bad:(0) Good:(1) No action Taken 

et je l'ai suprimé

voila le rapport de Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1036 
Windows 5.1.2600 Service 

11:58:57 11/08/2008 
mbam-log-8-11-2008 (11-58-57).txt 

Type de recherche: Examen complet (C:\|D:\|) 
Eléments examinés: 75981 
Temps écoulé: 26 minute(s), 19 second(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 1 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 0 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté)

pour les fichier que tu m'a dis je peux les suprimés? 

Elément(s) de données du Registre infecté(s): 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. 
Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 
Fichier(s) infecté(s): 
(Aucun élément nuisible détecté)   pou les fichies que vous m'avez dis est ce qe je peux les suprimés?

merci

kraignos · Answer

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) = vieille clé ds la base de registre, tu peux fixer sans regret O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe = teste les associations d'extensions de fichier avec Nero (ex .ISO ..etc..) = a toi de voir, tu peux fixer, ton démarrage windows sera plus rapide O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe = si tu n'écris pas en caractères orientaux, tu peux fixer O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe = a toi de voir, tu peux fixer, ton démarrage windows sera plus rapide, mais Acrobat Reader sera plus lent à charger a chaque fois qu'il sera sollicité *** a fixer avec HijackThis après un "do system scan only" *** HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. = a été corrigé par MBAM mais je pense que c'est soit une trace d'infection soit le résultat de l'action d'un autre logiciel (ex SpybotS&D génère ce type d'alerte sous MBAM en verouillant les paramètres IE) C:\WINDOWS\system32\kernel32.dll ......... change.............changed C:\WINDOWS\system32\user32.dll ......... change.............changed C:\WINDOWS\system32\shell32.dll ......... change.............changed C:\WINDOWS\system32 toskrnl32.dll ......... change.............changed = sans importance, c'est les patch windows appliqués depuis l'install d'AVG7 ---> Installe AVG8, le 7 est obsolète https://www.avg.com/fr-fr/free-antivirus-download?prd=afe C:\autorun.inf .............Healed D:\System Volume Information\_restore{F61269A9-D044..........inf .................Healded = ca c'est plus inquietant, peut etre une trace d'infection passée ===> Fais un scan complet une fois AVG8 installé et refait un nouveau Scan MBAM <==== ===> Pour vérifier si une infection est encore active mais invisible dans HijackThis (ca peut arriver) <===

youcalisto · Answer

merci por ta reponse, mais je ne sais pas comment le suprimés, j'ai peur de clicker  sur une optio et que sa ne soit pas extact pour :   O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

ce dernier je ne le trouve pas, dans la liste
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. 

pour avg es que c'est necessaire de le remplaçé? cr j'ai dans avg vault 14 file en  moove to vault.

kraignos · Answer

>Avant de désinstaller AVG7, vas dans "VirusVault" et supprime (la gomme si je me souviens bien) le contenu

>Puis Utilise Ajout/Suppression de Programmes pour désinstaller Grisoft AVG7

>Enfin Installe AVG8


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­­­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
= ne t'en inquiete pas, Malwares'byte a réglé le problème

pour O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
= c'est dans Hijackthis, "Do system scan only" , tu coches la case devant la ligne en question, et tu cliques sur le bouton "fix checked", mais si tu as peur, laisse la, c'est juste un résidu sans danger

SVP es que je suis infecté

5 réponses

Discussions similaires