SVP es que je suis infecté

youcalisto Messages postés 153 Statut Membre -  
 kraignos -
Bonjour,
salut voila le raport de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:11, on 11/08/2008
Platform: Windows XP SP2
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exehttp://forum-aide-contre-virus.­be/hijackthis.html' target='_blank' rel='nofollow'>https://www.androidworld.fr/
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Winamp\Winampa.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
Configuration: Windows XP
Internet Explorer 6.0

5 réponses

  1. kraignos
     
    Mis à part un antivirus obsolete (AVG7 ou 7.5) à remplacer par AVG8 ou Antivir, pas de Firewall évolué et un certain nombre de bricoles inutiles dans la séquence de démarrage , je ne vois pas trace de nuisible actif

    si ton PC se comporte normalement je ne pense pas que tu aies à t'inquieter au dela de la mise à niveau de tes logiciels obsoletes ou médiocres (firewall xp)

    tu peux fixer :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    et optionnel :

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    0
  2. youcalisto Messages postés 153 Statut Membre 2
     
    merci
    j'ai avg comme antivirus y aussi j'ai Malwarebytes quand je scan avec avg il m'affiche ça:

    C:\WINDOWS\system32\kernel32.dll ......... change.............changed
    C:\WINDOWS\system32\user32.dll ......... change.............changed
    C:\WINDOWS\system32\shell32.dll ......... change.............changed
    C:\WINDOWS\system32\ntoskrnl32.dll ......... change.............changed

    C:\autorun.inf .............Healed
    D:\System Volume Information\_restore{F61269A9-D044..........inf .................Healded

    pour malwarebytes quand j'ai fais un scan ma aficché
    Hijack.System.Hid... Rgister Data HEKY_LOCAL SOFTWARE\Micro... Bad:(0) Good:(1) No action Taken

    et je l'ai suprimé

    voila le rapport de Malwarebytes' Anti-Malware 1.24
    Version de la base de données: 1036
    Windows 5.1.2600 Service

    11:58:57 11/08/2008
    mbam-log-8-11-2008 (11-58-57).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 75981
    Temps écoulé: 26 minute(s), 19 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    pour les fichier que tu m'a dis je peux les suprimés?

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)
    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté) pou les fichies que vous m'avez dis est ce qe je peux les suprimés?

    merci
    0
  3. kraignos
     
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    = vieille clé ds la base de registre, tu peux fixer sans regret

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    = teste les associations d'extensions de fichier avec Nero (ex .ISO ..etc..)
    = a toi de voir, tu peux fixer, ton démarrage windows sera plus rapide

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    = si tu n'écris pas en caractères orientaux, tu peux fixer

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    = a toi de voir, tu peux fixer, ton démarrage windows sera plus rapide, mais Acrobat Reader sera plus lent à charger a chaque fois qu'il sera sollicité

    *** a fixer avec HijackThis après un "do system scan only" ***

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    = a été corrigé par MBAM mais je pense que c'est soit une trace d'infection soit le résultat de l'action d'un autre logiciel (ex SpybotS&D génère ce type d'alerte sous MBAM en verouillant les paramètres IE)

    C:\WINDOWS\system32\kernel32.dll ......... change.............changed
    C:\WINDOWS\system32\user32.dll ......... change.............changed
    C:\WINDOWS\system32\shell32.dll ......... change.............changed
    C:\WINDOWS\system32\ntoskrnl32.dll ......... change.............changed
    = sans importance, c'est les patch windows appliqués depuis l'install d'AVG7 ---> Installe AVG8, le 7 est obsolète https://www.avg.com/fr-fr/free-antivirus-download?prd=afe

    C:\autorun.inf .............Healed
    D:\System Volume Information\_restore{F61269A9-D044..........inf .................Healded
    = ca c'est plus inquietant, peut etre une trace d'infection passée

    ===> Fais un scan complet une fois AVG8 installé et refait un nouveau Scan MBAM <====
    ===> Pour vérifier si une infection est encore active mais invisible dans HijackThis (ca peut arriver) <===
    0
  4. youcalisto Messages postés 153 Statut Membre 2
     
    merci por ta reponse, mais je ne sais pas comment le suprimés, j'ai peur de clicker sur une optio et que sa ne soit pas extact pour : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    ce dernier je ne le trouve pas, dans la liste
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    pour avg es que c'est necessaire de le remplaçé? cr j'ai dans avg vault 14 file en moove to vault.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kraignos
     
    >Avant de désinstaller AVG7, vas dans "VirusVault" et supprime (la gomme si je me souviens bien) le contenu

    >Puis Utilise Ajout/Suppression de Programmes pour désinstaller Grisoft AVG7

    >Enfin Installe AVG8

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­­­\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    = ne t'en inquiete pas, Malwares'byte a réglé le problème

    pour O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    = c'est dans Hijackthis, "Do system scan only" , tu coches la case devant la ligne en question, et tu cliques sur le bouton "fix checked", mais si tu as peur, laisse la, c'est juste un résidu sans danger
    0