Rapport HijackThis Résolu

Question

Bonjour,
voilà le rapport HIJACKTHIS de mon pc 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:40, on 18-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS	snp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=7E4797FBF06C47A78BCD9236EAA69EE2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS	snp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

verni29 · Answer

Qu'y-a-t-il de si urgent ?
Explique quels sont tes problèmes ?

Tu vas télécharger ComBoFix sur le bureau. 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

On va le passer une première fois pour rechercher les infections. 
Pour un meilleur résultat, on va le passer aussi en mode sans échec. 

Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte. 

Double clique sur Combofix.exe et suis les invites. 
Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

meryam-2009 · Answer

merci d'avance, le pc redémarre , 
j'ai retauré le dernier point de restauration ou ce prblm n'était pas, mais tjrs le prblm , 
j'ai aussi fait cela 
poste de travail --> propriétés --> avancé --> cocher "redémarrer automatique" , 
mais soit disant que j'essaye de comprendre ce qu'il se passe , le faite de cocher cette case , veut dire que lors d'une défaillance du système, ne rédemarre pas le pc  
alors ce qu'il se passe maintenant , le pc ne se ferme plus, 
fin du WINDOWS ------> écran bleu --> stop erreur irrécupérable, 
qlq'un peut m'expliquer ça ?????

merci d'avance

verni29 · Answer

Utiliser la restauration système quand il y a une infection ne résout pas souvent le problème.
Les points de restauration sont souvent infectés et il n'y a pas de changement.

le virus que tu as sur ton PC crée un service. Quand ton Pc veut redémarrer, il ne doit pas pouvoir fermer ce service et donc bloque.

Poste le rapport ComBoFix.
Ceci devrait déjà supprimer le virus.

A+

meryam-2009 · Answer

j'ai téléchargé le  ComBoFix. et lorsque j'ai ouvert le mode sans échec , pour l'ouvrir, je ne l'ai pas trouvé  , 
donc , je suis entrein de le retélécharger ; et de l'installer en mode normale, puis ouvrir le mode sans échec 
c'est bioen cela ???

verni29 · Answer

Il faut que tu l'enregistres sur le bureau.
ce n'est pas un logiciel qu'on installe, c'est directement l'éxecutable.

Si tu redémarres ton PC en mode sans échec, tu le retrouveras sur ton bureau.

A+

meryam-2009 · Answer

bon, parceque je ne savais pas que c'est l'éxécutable, alors, il était exécuté dans un mode normale , et voilà le rapport ComboFix 08-08-18.01 - xp 08/18/2008 22:01:04.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.231 [GMT 2:00] Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\xp\Cookies\xp@879.stats.misstrends[1].txt C:\Documents and Settings\xp\Cookies\xp@le-bouzin[2].txt C:\Documents and Settings\xp\Cookies\xp@porn-dump[2].txt C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt C:\Documents and Settings\xp\UserData C:\Documents and Settings\xp\UserData\index.dat C:\Documents and Settings\xp\UserData\WXM30TQV\Tdy58[1].xml . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-18 to 2008-08-18 )))))))))))))))))))))))))))))))))))) . Pas de nouveau fichier cr‚‚ dans cet espace de temps . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes 2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi 2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application 2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro 2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software 2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner 2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp 2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate 2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter 2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound 2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound 2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper 2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll 2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster 2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP 2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu 2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu 2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers 2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative 2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork 2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM 2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock 2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM 2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache 2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager 2008-07-01 12:08 --------- d--h--r C:\Program Files namfler 2008-06-18 16:50 --------- d-----w C:\Program Files\FRANCE_version 2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP 2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe 2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll 2008-05-30 15:05 23,040 ----a-w C: meditor.exe 2008-05-30 15:05 17,920 ----a-w C: mevents.exe 2008-05-30 15:04 89,600 ----a-w C: nuninst.exe 2008-05-30 15:04 826,880 ----a-w C: ealprod.exe 2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll 2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll 2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll 2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys . [code]

----a-w         3,136,483 2008-05-30 14:17:54  C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe

[/code] ------- Sigcheck ------- 08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe 08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe 08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe 06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe 08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360] "MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184] "Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296] "BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480] "tsnp325"="C:\WINDOWS snp325.exe" [04/21/2007 09:36 AM 270336] "SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\WBSrv] 03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= msaud32_divx.acm "VIDC.YV12"= yv12vfw.dll "msacm.ac3filter"= ac3filter.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}] \Shell\AutoRun\command - F:\RavMon.exe \Shell\explore\Command - F:\RavMon.exe -e \Shell\open\Command - F:\RavMon.exe . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} O8 -: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-18 22:05:29 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\SYSTEM32\WDFMGR.EXE C:\WINDOWS\SYSTEM32\WSCNTFY.EXE C:\WINDOWS\system32\WgaTray.exe C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE . ************************************************************************** . Temps d'accomplissement: 08/18/2008 22:07:10 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-18 20:07:02 Pre-Run: 8,454,799,360 octets libres Post-Run: 8,668,135,424 octets libres 159 --- E O F --- 2008-07-10 22:31:41

verni29 · Answer

1) Tu as du passer déjà Malwarebytes ( je vois qu'il est installé ).
Si c'est le cas, peux-tu me poster le rapport ?

Ouvre malwarebytes --> Onglet rapports/Logs --> tu devrais trouver là le rapport.

2) Quels autres outils as-tu passé ? Plutot que j'essaye de les deviner.

3) Ouvre le bloc-notes et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.

File::
C:\WINDOWS\system32\amvo.exe 

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"=-


4) Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Ton bureau va disparaître à plusieurs reprises. Normal.
L'ordinateur va redémarrer et un arrport sera crée.
tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
Si tu ne le trouves pas, il est en C:\Combofix.txt.

A+

meryam-2009 · Answer

bonjour 1 --> voilà le premier rapport de Malwarebytes Malwarebytes' Anti-Malware 1.25 Version de la base de données: 1062 Windows 5.1.2600 Service Pack 2 12:33:53 18-08-2008 mbam-log-08-18-2008 (12-33-53).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 76672 Temps écoulé: 14 minute(s), 24 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. ---->et aprés ça , j'ai fait un 2eme examen complet , et voilà le rapport Malwarebytes' Anti-Malware 1.25 Version de la base de données: 1065 Windows 5.1.2600 Service Pack 2 13:01:20 18-08-2008 mbam-log-08-18-2008 (13-01-20).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 76772 Temps écoulé: 10 minute(s), 41 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté); NB : j'ai fait cela avant de poster le prblm ici, car d'aprés le 2eme rapport , il n'y a aucune infection tadis que le prblm est tjrs présent 2---> voilà la rappot C:\Combofix.txt omboFix 08-08-18.01 - xp 08/19/2008 13:22:50.3 - [color=red][b]FAT32/b/colorx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.207 [GMT 2:00] Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\xp\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color FILE :: C:\WINDOWS\system32\amvo.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\xp\Cookies\xp@ad.yieldmanager[2].txt C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt C:\Documents and Settings\xp\UserData C:\Documents and Settings\xp\UserData\4ZLDU4RY\Tdy58[1].xml C:\Documents and Settings\xp\UserData\index.dat . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-19 to 2008-08-19 )))))))))))))))))))))))))))))))))))) . Pas de nouveau fichier cr‚‚ dans cet espace de temps . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes 2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi 2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application 2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro 2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software 2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner 2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp 2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate 2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter 2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound 2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound 2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper 2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll 2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster 2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP 2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu 2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu 2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers 2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative 2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork 2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM 2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock 2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM 2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache 2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager 2008-07-01 12:08 --------- d--h--r C:\Program Files namfler 2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP 2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe 2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll 2008-05-30 15:05 23,040 ----a-w C: meditor.exe 2008-05-30 15:05 17,920 ----a-w C: mevents.exe 2008-05-30 15:04 89,600 ----a-w C: nuninst.exe 2008-05-30 15:04 826,880 ----a-w C: ealprod.exe 2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll 2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll 2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll 2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys . [code]

----a-w         3,136,483 2008-05-30 14:17:54  C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe

/code ------- Sigcheck ------- 08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe 08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe 08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe 06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe 08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360] "MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184] "Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296] "BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480] "tsnp325"="C:\WINDOWS snp325.exe" [04/21/2007 09:36 AM 270336] "SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\WBSrv] 03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= msaud32_divx.acm "VIDC.YV12"= yv12vfw.dll "msacm.ac3filter"= ac3filter.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [08/17/2008 03:01 PM] S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}] \Shell\AutoRun\command - F:\RavMon.exe \Shell\explore\Command - F:\RavMon.exe -e \Shell\open\Command - F:\RavMon.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-19 13:29:23 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\SYSTEM32\WDFMGR.EXE C:\WINDOWS\SYSTEM32\WSCNTFY.EXE C:\WINDOWS\SYSTEM32\WGATRAY.EXE C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE . ************************************************************************** . Temps d'accomplissement: 08/19/2008 13:30:53 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-19 11:30:46 ComboFix3.txt 2008-08-18 20:07:12 ComboFix2.txt 2008-08-18 20:16:24 Pre-Run: 8,586,657,792 octets libres Post-Run: 8,643,837,952 octets libres 154 --- E O F --- 2008-07-10 22:31:41 NB : il n y avait pas ça Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. et mon bureau n'a pas disparu merci d'avance

verni29 · Answer

1) le dossier que je te t'"indique est un dossier caché.
Fais appraitre sur ton PC les fichiers et dossiers cachés :
Poste de trvail --> Outils --> Options des dossiers --> Affichage des dossiers cachés.

C:\Program Files\rnamfler 

Peux-tu me dire ce qu'il  y a dans ce dossier ?

2) Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

A+

meryam-2009 · Answer

voilà ce qu'il y a dans ce fichier  rnamfler  


stream.rep , 
radprlib.dll
naomf (l'éxécutable) 

en attendant, je vais faire ce que vous m'avez demandé . 

merci

meryam-2009 · Answer

merci d'avance

verni29 · Answer

As-tu terminé le scan Kaspersky ?

meryam-2009 · Answer

j'essaye de poster le rapport mais ça ne poste pas, je ne sais pas pkoi, ?????

meryam-2009 · Answer

c'est bizzar et je ne comprend pas pkoi,??? j'essyae depuis le matin, tt les autres messages se postent trés normale, mais ce rapport ne veux pas pkoi ????

verni29 · Answer

Tu me l'envoies par messagerie ( clique sur mon nom --> messagerie privé ).
Je le posterais sur le forum.

A+

verni29 · Answer

ceci suffira pour le rapport :

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, August 19, 2008 7:00:24 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 19/08/2008
Enregistrements dans la base antivirus Kaspersky : 988994
------------------------------------------------------------­-------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 41958
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:19:02 

Aucun virus ( tout comme avec malwarebytes ). Nickel.
Vérifie pour ton problème de fenêtre d'erreur.

Tu me postes un dernier rapport Hijackthis.

A+

meryam-2009 · Answer

le voilà , 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:49:12, on 19-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS	snp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS	snp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [wrna3ls] C:\Program Filesnamfler
aomf.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

verni29 · Answer

1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) 
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime     
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     
 O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe     
 O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif 
 O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg 

Tu choisis l'option " Fixchecked" en bas de la page.

2) On va tout de même analyser le répertoire sur lequel j'ai un doute .

C:\Program Filesnamfler
aomf.exe

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

3) Il faudra qu'on discute protections d'un PC.
Tu n'as aucune protection actuellement.
Tu prends des risques énormes.

A+

meryam-2009 · Answer

pour 

1/---> déja fait, c'est bon, j'ai supprimé les cases demandés

2/--> voilà le rapport , aprés l'analyse du fichier suspecté 

Fichier naomf.exe reçu le 2008.08.10 07:50:38 (CET)
Situation actuelle: terminé 

Résultat: 5/36 (13.89%)
 Formaté Impression des résultats  
Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.8.9.0 2008.08.08 - 
AntiVir 7.8.1.19 2008.08.09 - 
Authentium 5.1.0.4 2008.08.10 - 
Avast 4.8.1195.0 2008.08.09 - 
AVG 8.0.0.156 2008.08.09 - 
BitDefender 7.2 2008.08.10 - 
CAT-QuickHeal 9.50 2008.08.08 - 
ClamAV 0.93.1 2008.08.09 - 
DrWeb 4.44.0.09170 2008.08.09 - 
eSafe 7.0.17.0 2008.08.07 - 
eTrust-Vet 31.6.6021 2008.08.08 - 
Ewido 4.0 2008.08.09 - 
F-Prot 4.4.4.56 2008.08.10 - 
F-Secure 7.60.13501.0 2008.08.10 - 
Fortinet 3.14.0.0 2008.08.10 - 
GData 2.0.7306.1023 2008.08.10 - 
Ikarus T3.1.1.34.0 2008.08.10 Trojan.Win32.Agent.ajz 
K7AntiVirus 7.10.408 2008.08.09 - 
Kaspersky 7.0.0.125 2008.08.10 - 
McAfee 5357 2008.08.08 - 
Microsoft 1.3807 2008.08.09 Worm:Win32/Banpravo.A 
NOD32v2 3343 2008.08.10 - 
Norman 5.80.02 2008.08.08 - 
Panda 9.0.0.4 2008.08.09 Suspicious file 
PCTools 4.4.2.0 2008.08.09 - 
Prevx1 V2 2008.08.10 - 
Rising 20.56.41.00 2008.08.08 - 
Sophos 4.32.0 2008.08.10 Sus/UnkPacker 
Sunbelt 3.1.1538.1 2008.08.09 - 
Symantec 10 2008.08.10 - 
TheHacker 6.2.96.395 2008.08.08 - 
TrendMicro 8.700.0.1004 2008.08.08 - 
VBA32 3.12.8.3 2008.08.09 - 
ViRobot 2008.8.8.1329 2008.08.08 - 
VirusBuster 4.5.11.0 2008.08.09 - 
Webwasher-Gateway 6.6.2 2008.08.09 Virus.Win32.FileInfector.gen (suspicious) 
Information additionnelle 
File size: 1253448 bytes 
MD5...: edbab1bd1ced1ab1429f79f1463b3952 
SHA1..: d23148030ce1c2ea1ec02713b99b8866ed67986f 
SHA256: e5e01902c85bd9c9237fdf75b6b10e0047c3e5a2d961fb993623855f9d3d0282 
SHA512: f37382a0056405e03e33e5623fc0f0418c74c778cf84f855d05ae4e21de72cf7
04d748747b8655f5a4177d4ccdbf1eeb6bf878ffa8ca38c5135e8930c263162e 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x537060
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x100670 0x100800 7.99 e2d27507f172fb228d13afffa02250f0
DATA 0x102000 0x10790 0x10800 7.87 2012faab89f38f41fd5b9553fdd5c3d8
BSS 0x113000 0xe4d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x114000 0x2a06 0x2c00 7.97 df3b3160ce2e34c804f05ae059fd13c0
.tls 0x117000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x118000 0x18 0x200 7.75 da72c30eee50a2ce98b3d1871524055c
.reloc 0x119000 0x10ad0 0x10c00 6.50 286d962bfcf904b879710f077edf87a7
.rsrc 0x12a000 0xc800 0xc800 6.49 fb06a4df4dd5e41fa2adede940fe335e
Jc 0x137000 0x2000 0xa48 7.47 274e2a51bcfacbe3a30921f8458f9cdc

( 1 imports ) 
> kernel32.dll: LoadLibraryA, GetProcAddress

( 0 exports ) 
 
packers (Kaspersky): Yoda 
packers (F-Prot): Yoda 


3--> que dois-je faire??? les anti-virus se périment rapidemant ??????????????

verni29 · Answer

1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. 
 http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 


 C:\Program Files\rnamfler\

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) Tu dis que les antivirus se périmment rapidemment.
C'est faux, ils se mettent à jour régulièrement.
Et il faut absoilument que tu ais un antivirus, un antispyware et un parefeu.

Le plus réactif ( parmi les antivirus gratuits ) est Antivir.
C'est le plus côté actuellement. Il est en anglais amis la version française va bientôt sortir.
Installe le .

tuto antivir : 
https://www.malekal.com/avira-free-security-antivirus-gratuit/ 

pare-feu gratuits :

Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/

- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4

- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/

Antispywares :

AVG anti spyware: 
http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware 

Spybot :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ ( avec le tea timer )

Installe ces trois types de protections.

A+

meryam-2009 · Answer

donc, 
dans un pc , il faut que ces trois types de protections soient présentes 

merci énormement, mais est-ce qu'il est facile d'apprendre comment lire ces rapports,???? 

merci

verni29 · Answer

Compliqué non.
Tu regardes ce qui est infecté ou pas.

Il y a trois types d'action avec les antivirus quand ils détectent une infection :
- le fichier est supprimé
- le fichier est ignoré
- le fichier ne peut être supprimé, il est mis en quarantaine ( il faut alors vider la quarantaine ).

lance un scan complet avec Antivir ( quand tu l'auras installé ) et poste le .
on l'interprétera ensemble.

A+

meryam-2009 · Answer

bonjour 

voilà le rapport de antivir 


Avira AntiVir Personal
Report file date: 20 août, 2008  10:22

Scanning for 1563949 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic

Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Normally booted
Username:         xp


Version information:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12/08/2008 11:46:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26/06/2008 08:57:54
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26/05/2008 07:56:42
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:20
LUKERES.DLL   : 8.1.4.0        12033 Bytes  26/05/2008 07:58:54
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24/06/2008 13:54:16
ANTIVIR2.VDF  : 7.0.6.10     2587136 Bytes  14/08/2008 07:52:58
ANTIVIR3.VDF  : 7.0.6.41      179200 Bytes  20/08/2008 07:53:04
Engineversion : 8.1.1.23  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  09/07/2008 08:46:52
AESCRIPT.DLL  : 8.1.0.68      315770 Bytes  20/08/2008 07:53:48
AESCN.DLL     : 8.1.0.23      119156 Bytes  20/08/2008 07:53:44
AERDL.DLL     : 8.1.0.20      418165 Bytes  09/07/2008 08:46:52
AEPACK.DLL    : 8.1.2.1       364917 Bytes  20/08/2008 07:53:42
AEOFFICE.DLL  : 8.1.0.22      192890 Bytes  20/08/2008 07:53:36
AEHEUR.DLL    : 8.1.0.50     1388918 Bytes  20/08/2008 07:53:34
AEHELP.DLL    : 8.1.0.15      115063 Bytes  09/07/2008 08:46:52
AEGEN.DLL     : 8.1.0.36      315764 Bytes  20/08/2008 07:53:16
AEEMU.DLL     : 8.1.0.7       430452 Bytes  20/08/2008 07:53:12
AECORE.DLL    : 8.1.1.8       172406 Bytes  20/08/2008 07:53:08
AEBB.DLL      : 8.1.0.1        53617 Bytes  24/04/2008 08:50:42
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:06
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:02
AVREP.DLL     : 8.0.0.2        98344 Bytes  20/08/2008 07:53:04
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:42
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:24
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:50
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:04
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:42
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:12
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12/06/2008 13:48:08
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27/06/2008 13:34:38

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, A:, E:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 20 août, 2008  10:22

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'AcroRd32.exe' - '1' Module(s) have been scanned
Scan process 'Ymsgr_tray.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'RocketDock.exe' - '1' Module(s) have been scanned
Scan process 'FreeRAM.exe' - '1' Module(s) have been scanned
Scan process 'MSNMSGR.EXE' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'TSNP325.EXE' - '1' Module(s) have been scanned
Scan process 'CTFMON.EXE' - '1' Module(s) have been scanned
Scan process 'FixCamera.exe' - '1' Module(s) have been scanned
Scan process 'EXPLORER.EXE' - '1' Module(s) have been scanned
Scan process 'WgaTray.exe' - '1' Module(s) have been scanned
Scan process 'WSCNTFY.EXE' - '1' Module(s) have been scanned
Scan process 'ALG.EXE' - '1' Module(s) have been scanned
Scan process 'WDFMGR.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
35 processes with 35 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!
Boot sector 'D:\'
    [INFO]      No virus was found!
Boot sector 'A:\'
    [INFO]      In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '59' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\PAGEFILE.SYS
    [WARNING]   The file could not be opened!
C:\hiberfil.sys
    [WARNING]   The file could not be opened!
Begin scan in 'D:\'
Begin scan in 'A:\'
Search path A:\ could not be opened!
System error [21]: Le périphérique n'est pas prêt.
Begin scan in 'E:\'
Search path E:\ could not be opened!
System error [21]: Le périphérique n'est pas prêt.


End of the scan: 20 août, 2008  10:56
Used time: 34:59 Minute(s)

The scan has been done completely.

   4168 Scanning directories
 185948 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 185946 Files not concerned
   1410 Archives were scanned
      2 Warnings
      0 Notes

... on pourra peut-etre en discuter ????
merci

verni29 · Answer

La fin du rapport :

4168 Scanning directories
185948 Files were scanned
0 viruses and/or unwanted programs were found --> nombre de virus = 0
0 Files were classified as suspicious:
0 files were deleted     |
0 files were repaired    | les options lorsqu'il y a un fichier de détecté  ( delete, repair, move to quaranatine
0 files were moved to quarantine --> le nombre de fichiers mis en quarantaine ( il faut la vider
0 files were renamed
2 Files cannot be scanned ( regarde plus haut dans le rapport : C:\PAGEFILE.SYS  et C:\hiberfil.sys )
185946 Files not concerned
1410 Archives were scanned
2 Warnings  --> Le nombre d'ALERTES ( message te prévenant d'un intrusion )
0 Notes 

Il n'y a pas de virus de détectés.

As-tu tout installé ?
Il reste alors à te donner les dernières consignes.

A+

meryam-2009 · Answer

normalement, j'ai installé

AVG , ANTIVIR  ; SUNBELT , 

quelles sont ces derniérs consignes ????

verni29 · Answer

1) On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

Si l’écran ne réapparait pas, tape sur les touches Ctrl + Alt + Supp. Ceci ouvre le gestionnaire de taches.
Dans l’onglet Processus, clique sur le menu Fichier, puis Executer et tape Explorer. Valide.

2) Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

3) Les points de restauration : 

- Panneau de configuration --> Système --> Restauration du système 
cocher " Désactiver la restauration .... " 
Ceci va supprimer les points de restauration existants et infectés 

- Tu vas recréer un point de restauration propre. 
Pour recréer un point de restauration : 
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système 
Choisis "Créer un point de restauration". Suis les invites.

Après tout ca, ton PC devrait être propre et protégé. 
Si tu as le moindre problème, poste un message.

pourrais-tu mettre le sujet comme résolu ?

@+

meryam-2009 · Answer

oui, d'accord, merci énormement ,

meryam-2009 · Answer

bonjour, 
j'ai cru que le problème a fini , mais maintenat le PC ne se ferme plus, 

arreter le système ---> arreter ---> enregistrement de vos paramétres --> fermeture de WIndows, et ça bloque ici, 
il reste comme ça, 

que dois-je faire ????

verni29 · Answer

C'est la 1ere fois ? depuis quand cela arrive-t-il ?

Quand ton Pc est bloqué, reste appuyer sur le bouton de démarrage jusqu'à extinction du PC.

Rallume ton PC et choisis le mode sans échec à l'invite suivante.
Choisis ton compte puis redémarre normalement ton PC à partir du mode sans échec :
arrêter --> Redémarrer
Tu devrais revenir sous windows.

Tu vas faire deux choses :
Demarrer --> Accessoires --> Outils système
- scandisk pour réparer les erreurs du DD
- défragmentation

A+

Rapport HijackThis

29 réponses

Votre réponse

Discussions similaires

Newsletters