Rapport HijackThis

Résolu
meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
voilà le rapport HIJACKTHIS de mon pc

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:40, on 18-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=7E4797FBF06C47A78BCD9236EAA69EE2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 4577 bytes
Configuration: Windows XP
Internet Explorer 7.0

29 réponses

  • 1
  • 2
  1. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    j'ai téléchargé le ComBoFix. et lorsque j'ai ouvert le mode sans échec , pour l'ouvrir, je ne l'ai pas trouvé ,
    donc , je suis entrein de le retélécharger ; et de l'installer en mode normale, puis ouvrir le mode sans échec
    c'est bioen cela ???
    1
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Qu'y-a-t-il de si urgent ?
    Explique quels sont tes problèmes ?

    Tu vas télécharger ComBoFix sur le bureau.
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    On va le passer une première fois pour rechercher les infections.
    Pour un meilleur résultat, on va le passer aussi en mode sans échec.

    Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte.

    Double clique sur Combofix.exe et suis les invites.
    Une fois le scan fini, un rapport va apparaitre.

    Copie/colle ce rapport dans ta prochaine réponse.
    Si tu ne le trouves pas, il est à C:\ComboFix.txt.

    A+
    0
  3. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    merci d'avance, le pc redémarre ,
    j'ai retauré le dernier point de restauration ou ce prblm n'était pas, mais tjrs le prblm ,
    j'ai aussi fait cela
    poste de travail --> propriétés --> avancé --> cocher "redémarrer automatique" ,
    mais soit disant que j'essaye de comprendre ce qu'il se passe , le faite de cocher cette case , veut dire que lors d'une défaillance du système, ne rédemarre pas le pc
    alors ce qu'il se passe maintenant , le pc ne se ferme plus,
    fin du WINDOWS ------> écran bleu --> stop erreur irrécupérable,
    qlq'un peut m'expliquer ça ?????

    merci d'avance
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Utiliser la restauration système quand il y a une infection ne résout pas souvent le problème.
    Les points de restauration sont souvent infectés et il n'y a pas de changement.

    le virus que tu as sur ton PC crée un service. Quand ton Pc veut redémarrer, il ne doit pas pouvoir fermer ce service et donc bloque.

    Poste le rapport ComBoFix.
    Ceci devrait déjà supprimer le virus.

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il faut que tu l'enregistres sur le bureau.
    ce n'est pas un logiciel qu'on installe, c'est directement l'éxecutable.

    Si tu redémarres ton PC en mode sans échec, tu le retrouveras sur ton bureau.

    A+
    0
  7. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    bon, parceque je ne savais pas que c'est l'éxécutable, alors, il était exécuté dans un mode normale , et voilà le rapport

    ComboFix 08-08-18.01 - xp 08/18/2008 22:01:04.1 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.231 [GMT 2:00]
    Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\xp\Cookies\xp@879.stats.misstrends[1].txt
    C:\Documents and Settings\xp\Cookies\xp@le-bouzin[2].txt
    C:\Documents and Settings\xp\Cookies\xp@porn-dump[2].txt
    C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt
    C:\Documents and Settings\xp\UserData
    C:\Documents and Settings\xp\UserData\index.dat
    C:\Documents and Settings\xp\UserData\WXM30TQV\Tdy58[1].xml

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-18 to 2008-08-18 ))))))))))))))))))))))))))))))))))))
    .

    Pas de nouveau fichier cr‚‚ dans cet espace de temps

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
    2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes
    2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi
    2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application
    2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
    2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro
    2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software
    2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner
    2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp
    2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate
    2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter
    2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
    2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound
    2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper
    2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd
    2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
    2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
    2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
    2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster
    2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu
    2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu
    2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers
    2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative
    2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork
    2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM
    2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock
    2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM
    2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache
    2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager
    2008-07-01 12:08 --------- d--h--r C:\Program Files\rnamfler
    2008-06-18 16:50 --------- d-----w C:\Program Files\FRANCE_version
    2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP
    2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe
    2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll
    2008-05-30 15:05 23,040 ----a-w C:\rmeditor.exe
    2008-05-30 15:05 17,920 ----a-w C:\rmevents.exe
    2008-05-30 15:04 89,600 ----a-w C:\rnuninst.exe
    2008-05-30 15:04 826,880 ----a-w C:\realprod.exe
    2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll
    2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll
    2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll
    2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys
    .
    [code]<pre>
    ----a-w 3,136,483 2008-05-30 14:17:54 C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe
    </pre>[/code]

    ------- Sigcheck -------

    08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
    08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
    08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe
    06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

    08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe
    08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360]
    "MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184]
    "Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296]
    "BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480]
    "tsnp325"="C:\WINDOWS\tsnp325.exe" [04/21/2007 09:36 AM 270336]
    "SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
    03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=wbsys.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.divxa32"= msaud32_divx.acm
    "VIDC.YV12"= yv12vfw.dll
    "msacm.ac3filter"= ac3filter.acm

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}]
    \Shell\AutoRun\command - F:\RavMon.exe
    \Shell\explore\Command - F:\RavMon.exe -e
    \Shell\open\Command - F:\RavMon.exe
    .
    .
    ------- Supplementary Scan -------
    .
    R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
    O8 -: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
    C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-18 22:05:29
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\SYSTEM32\WDFMGR.EXE
    C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
    C:\WINDOWS\system32\WgaTray.exe
    C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
    C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
    C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
    .
    **************************************************************************
    .
    Temps d'accomplissement: 08/18/2008 22:07:10 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-08-18 20:07:02

    Pre-Run: 8,454,799,360 octets libres
    Post-Run: 8,668,135,424 octets libres

    159 --- E O F --- 2008-07-10 22:31:41
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Tu as du passer déjà Malwarebytes ( je vois qu'il est installé ).
    Si c'est le cas, peux-tu me poster le rapport ?

    Ouvre malwarebytes --> Onglet rapports/Logs --> tu devrais trouver là le rapport.

    2) Quels autres outils as-tu passé ? Plutot que j'essaye de les deviner.

    3) Ouvre le bloc-notes et sélectionne le texte en citation.
    Copie/colle ce texte dans le bloc-notes.
    Enregistre le fichier sur le bureau et nomme-le CFScript.txt.

    File::
    C:\WINDOWS\system32\amvo.exe

    Registry::
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "amva"=-


    4) Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
    Glisse/dépose le script sur ComBoFix.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Ton bureau va disparaître à plusieurs reprises. Normal.
    L'ordinateur va redémarrer et un arrport sera crée.
    tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
    Si tu ne le trouves pas, il est en C:\Combofix.txt.

    A+
    0
  9. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    bonjour
    1 --> voilà le premier rapport de Malwarebytes

    Malwarebytes' Anti-Malware 1.25
    Version de la base de données: 1062
    Windows 5.1.2600 Service Pack 2

    12:33:53 18-08-2008
    mbam-log-08-18-2008 (12-33-53).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 76672
    Temps écoulé: 14 minute(s), 24 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

    ---->et aprés ça , <gras>j'ai fait un 2eme examen complet , et voilà le rapport </gras>

    Malwarebytes' Anti-Malware 1.25
    Version de la base de données: 1065
    Windows 5.1.2600 Service Pack 2

    13:01:20 18-08-2008
    mbam-log-08-18-2008 (13-01-20).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 76772
    Temps écoulé: 10 minute(s), 41 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté);

    NB : j'ai fait cela avant de poster le prblm ici, car d'aprés le 2eme rapport , il n'y a aucune infection tadis que le prblm est tjrs présent

    2---> voilà la rappot C:\Combofix.txt

    omboFix 08-08-18.01 - xp 08/19/2008 13:22:50.3 - [color=red][b]FAT32/b/colorx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.207 [GMT 2:00]
    Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\xp\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color

    FILE ::
    C:\WINDOWS\system32\amvo.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\xp\Cookies\xp@ad.yieldmanager[2].txt
    C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt
    C:\Documents and Settings\xp\UserData
    C:\Documents and Settings\xp\UserData\4ZLDU4RY\Tdy58[1].xml
    C:\Documents and Settings\xp\UserData\index.dat

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-19 to 2008-08-19 ))))))))))))))))))))))))))))))))))))
    .

    Pas de nouveau fichier cr‚‚ dans cet espace de temps

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
    2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes
    2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi
    2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application
    2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
    2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro
    2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software
    2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner
    2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp
    2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate
    2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter
    2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
    2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound
    2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper
    2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd
    2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
    2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
    2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
    2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster
    2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu
    2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu
    2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers
    2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative
    2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork
    2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM
    2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock
    2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM
    2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache
    2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager
    2008-07-01 12:08 --------- d--h--r C:\Program Files\rnamfler
    2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP
    2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe
    2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll
    2008-05-30 15:05 23,040 ----a-w C:\rmeditor.exe
    2008-05-30 15:05 17,920 ----a-w C:\rmevents.exe
    2008-05-30 15:04 89,600 ----a-w C:\rnuninst.exe
    2008-05-30 15:04 826,880 ----a-w C:\realprod.exe
    2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll
    2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll
    2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll
    2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys
    .
    [code]<pre>
    ----a-w 3,136,483 2008-05-30 14:17:54 C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe
    </pre>/code

    ------- Sigcheck -------

    08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
    08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
    08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe
    06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

    08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe
    08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360]
    "MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184]
    "Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296]
    "BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480]
    "tsnp325"="C:\WINDOWS\tsnp325.exe" [04/21/2007 09:36 AM 270336]
    "SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
    03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=wbsys.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.divxa32"= msaud32_divx.acm
    "VIDC.YV12"= yv12vfw.dll
    "msacm.ac3filter"= ac3filter.acm

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [08/17/2008 03:01 PM]
    S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}]
    \Shell\AutoRun\command - F:\RavMon.exe
    \Shell\explore\Command - F:\RavMon.exe -e
    \Shell\open\Command - F:\RavMon.exe
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-19 13:29:23
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\SYSTEM32\WDFMGR.EXE
    C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
    C:\WINDOWS\SYSTEM32\WGATRAY.EXE
    C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
    C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
    C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    .
    **************************************************************************
    .
    Temps d'accomplissement: 08/19/2008 13:30:53 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-08-19 11:30:46
    ComboFix3.txt 2008-08-18 20:07:12
    ComboFix2.txt 2008-08-18 20:16:24

    Pre-Run: 8,586,657,792 octets libres
    Post-Run: 8,643,837,952 octets libres

    154 --- E O F --- 2008-07-10 22:31:41

    <gras>NB : il n y avait pas ça Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    et mon bureau n'a pas disparu

    merci d'avance</gras>
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) le dossier que je te t'"indique est un dossier caché.
    Fais appraitre sur ton PC les fichiers et dossiers cachés :
    Poste de trvail --> Outils --> Options des dossiers --> Affichage des dossiers cachés.

    C:\Program Files\rnamfler


    Peux-tu me dire ce qu'il y a dans ce dossier ?

    2) Tu vas sur le site de Kaspersky:
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
    Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

    A la fin de cette analyse, clique sur enregistrer le rapport.
    Poste le contenu de ce rapport dans ton prochain message.

    A+
    0
  11. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    voilà ce qu'il y a dans ce fichier rnamfler

    stream.rep ,
    radprlib.dll
    naomf (l'éxécutable)


    en attendant, je vais faire ce que vous m'avez demandé .

    merci
    0
  12. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    merci d'avance
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    As-tu terminé le scan Kaspersky ?
    0
  14. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    j'essaye de poster le rapport mais ça ne poste pas, je ne sais pas pkoi, ?????
    0
  15. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    c'est bizzar et je ne comprend pas pkoi,??? j'essyae depuis le matin, tt les autres messages se postent trés normale, mais ce rapport ne veux pas pkoi ????
    0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu me l'envoies par messagerie ( clique sur mon nom --> messagerie privé ).
    Je le posterais sur le forum.

    A+
    0
  17. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    ceci suffira pour le rapport :

    KASPERSKY ON-LINE SCANNER REPORT
    Tuesday, August 19, 2008 7:00:24 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.84.2
    Dernière mise à jour de la base antivirus Kaspersky : 19/08/2008
    Enregistrements dans la base antivirus Kaspersky : 988994
    ------------------------------------------------------------­-------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    A:\
    C:\
    D:\
    E:\

    Statistiques de l'analyse:
    Total d'objets analysés: 41958
    Nombre de virus trouvés: 0
    Nombre d'objets infectés: 0 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:19:02

    Aucun virus ( tout comme avec malwarebytes ). Nickel.
    Vérifie pour ton problème de fenêtre d'erreur.

    Tu me postes un dernier rapport Hijackthis.

    A+
    0
  18. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    le voilà ,

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:49:12, on 19-08-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\FixCamera.exe
    C:\WINDOWS\tsnp325.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
    C:\Program Files\BySoft FreeRAM\FreeRAM.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\WgaTray.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
    O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [wrna3ls] C:\Program Files\rnamfler\naomf.exe
    O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
    O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
    0
  19. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Lance Hijackthis et tu choisis " Do a system scan only ".
    Tu sélectionnes les lignes suivantes :

    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
    O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

    Tu choisis l'option " Fixchecked" en bas de la page.

    2) On va tout de même analyser le répertoire sur lequel j'ai un doute .

    C:\Program Files\rnamfler\naomf.exe

    Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
    https://www.virustotal.com/gui/
    Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
    Tu cliques ensuite sur envoyer le fichier.
    Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    3) Il faudra qu'on discute protections d'un PC.
    Tu n'as aucune protection actuellement.
    Tu prends des risques énormes.

    A+
    0
  20. meryam-2009 Messages postés 145 Date d'inscription   Statut Membre Dernière intervention   40
     
    pour

    1/---> déja fait, c'est bon, j'ai supprimé les cases demandés

    2/--> voilà le rapport , aprés l'analyse du fichier suspecté

    Fichier naomf.exe reçu le 2008.08.10 07:50:38 (CET)
    Situation actuelle: terminé

    Résultat: 5/36 (13.89%)
    Formaté Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.9.0 2008.08.08 -
    AntiVir 7.8.1.19 2008.08.09 -
    Authentium 5.1.0.4 2008.08.10 -
    Avast 4.8.1195.0 2008.08.09 -
    AVG 8.0.0.156 2008.08.09 -
    BitDefender 7.2 2008.08.10 -
    CAT-QuickHeal 9.50 2008.08.08 -
    ClamAV 0.93.1 2008.08.09 -
    DrWeb 4.44.0.09170 2008.08.09 -
    eSafe 7.0.17.0 2008.08.07 -
    eTrust-Vet 31.6.6021 2008.08.08 -
    Ewido 4.0 2008.08.09 -
    F-Prot 4.4.4.56 2008.08.10 -
    F-Secure 7.60.13501.0 2008.08.10 -
    Fortinet 3.14.0.0 2008.08.10 -
    GData 2.0.7306.1023 2008.08.10 -
    Ikarus T3.1.1.34.0 2008.08.10 Trojan.Win32.Agent.ajz
    K7AntiVirus 7.10.408 2008.08.09 -
    Kaspersky 7.0.0.125 2008.08.10 -
    McAfee 5357 2008.08.08 -
    Microsoft 1.3807 2008.08.09 Worm:Win32/Banpravo.A
    NOD32v2 3343 2008.08.10 -
    Norman 5.80.02 2008.08.08 -
    Panda 9.0.0.4 2008.08.09 Suspicious file
    PCTools 4.4.2.0 2008.08.09 -
    Prevx1 V2 2008.08.10 -
    Rising 20.56.41.00 2008.08.08 -
    Sophos 4.32.0 2008.08.10 Sus/UnkPacker
    Sunbelt 3.1.1538.1 2008.08.09 -
    Symantec 10 2008.08.10 -
    TheHacker 6.2.96.395 2008.08.08 -
    TrendMicro 8.700.0.1004 2008.08.08 -
    VBA32 3.12.8.3 2008.08.09 -
    ViRobot 2008.8.8.1329 2008.08.08 -
    VirusBuster 4.5.11.0 2008.08.09 -
    Webwasher-Gateway 6.6.2 2008.08.09 Virus.Win32.FileInfector.gen (suspicious)
    Information additionnelle
    File size: 1253448 bytes
    MD5...: edbab1bd1ced1ab1429f79f1463b3952
    SHA1..: d23148030ce1c2ea1ec02713b99b8866ed67986f
    SHA256: e5e01902c85bd9c9237fdf75b6b10e0047c3e5a2d961fb993623855f9d3d0282
    SHA512: f37382a0056405e03e33e5623fc0f0418c74c778cf84f855d05ae4e21de72cf7
    04d748747b8655f5a4177d4ccdbf1eeb6bf878ffa8ca38c5135e8930c263162e
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x537060
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)

    ( 9 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x100670 0x100800 7.99 e2d27507f172fb228d13afffa02250f0
    DATA 0x102000 0x10790 0x10800 7.87 2012faab89f38f41fd5b9553fdd5c3d8
    BSS 0x113000 0xe4d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x114000 0x2a06 0x2c00 7.97 df3b3160ce2e34c804f05ae059fd13c0
    .tls 0x117000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rdata 0x118000 0x18 0x200 7.75 da72c30eee50a2ce98b3d1871524055c
    .reloc 0x119000 0x10ad0 0x10c00 6.50 286d962bfcf904b879710f077edf87a7
    .rsrc 0x12a000 0xc800 0xc800 6.49 fb06a4df4dd5e41fa2adede940fe335e
    Jc 0x137000 0x2000 0xa48 7.47 274e2a51bcfacbe3a30921f8458f9cdc

    ( 1 imports )
    > kernel32.dll: LoadLibraryA, GetProcAddress

    ( 0 exports )

    packers (Kaspersky): Yoda
    packers (F-Prot): Yoda

    3--> que dois-je faire??? les anti-virus se périment rapidemant ??????????????
    0
  21. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


    C:\Program Files\rnamfler\


    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.

    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

    2) Tu dis que les antivirus se périmment rapidemment.
    C'est faux, ils se mettent à jour régulièrement.
    Et il faut absoilument que tu ais un antivirus, un antispyware et un parefeu.

    Le plus réactif ( parmi les antivirus gratuits ) est Antivir.
    C'est le plus côté actuellement. Il est en anglais amis la version française va bientôt sortir.
    Installe le .

    tuto antivir :
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    pare-feu gratuits :

    Zone alarm :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    - Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
    https://www.malekal.com/tutorial-comodo-firewall/
    http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4

    - Kerio Personal Firewall
    https://www.malekal.com/tutorial-et-guide-counterspy/

    Antispywares :


    AVG anti spyware:
    http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware

    Spybot :
    https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ ( avec le tea timer )

    Installe ces trois types de protections.

    A+
    0
  • 1
  • 2