Tom's Guide > Forum > Sécurité - Virus > probleme de ver,voila mon scan hijackthis

probleme de ver,voila mon scan hijackthis

Forum Sécurité - Virus : probleme de ver,voila mon scan hijackthis

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
rod06   04-08-2005 à 01:25:22

salut je suis nouveau et jai ete infecte par un ver (j'ai un fichier msgfix qui m'a été signalé par spybot) on m'a dit de faire un scan avec hijackthis et de demander de l'aide sur le forum donc voila si quelqu'un ve bien m'aider voila mon scan:


Logfile of HijackThis v1.99.1
Scan saved at 01:06:22, on 04/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\LVComsX.exe
C:\WINNT\system32\MS-DOS.PIF
C:\Program Files\MSN Messenger\msnmsgr.exe
E:\Download\emule\emule.exe
C:\Program Files\Winamp\Winamp.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\System32\PSEXESVC.EXE
C:\WINNT\system32\dhcp\csrss.exe
C:\WINNT\system32\dhcp\updater.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Sxcasdwqas] C:\WINNT\SYSTEM32\parady.exe
O4 - HKLM\..\Run: [Missya] imissyou.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\RunServices: [Missya] imissyou.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Missya] imissyou.exe
O4 - HKCU\..\Run: [Login Screen Saver] login.scr
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINNT\System32\PSEXESVC.EXE
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

merci de votre aide

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
leitho   04-08-2005 à 01:46:27
- 0 +

Bonsoir et :bienvenue:,

1) Télécharge CCleaner : ici

2) Télécharge Stinger : ici et enregistre le sur le burreau

3) Télécharge A²Free : ici, install le puis met le à jour (nécéssite un enregistrement gratuit en ligne pour obtenir la clé d'activation)


4) Redémarre en mode sans échec, fait attention tu n'as pas accès à internet. Note bien se qu'il faut faire ou fait un copier coller.

Pour redémarrer en mode sans échec :

Démarre l'ordinateur, une fois le chargement du bios terminé, tapote sur la touche F8 ou F5 jusqu'à l'affichage des options de démarrage, avec les touches de ton curseur (les flèches de ton clavier), selectionne le mode sans échec et appuye sur entrée.

Ne pas selectionner le mode sans échec avec prise en charge réseau.


5) Lance et exécute ses programmes :

- Lance Stinger, fai un scan et supprime tous se qu'il te trouve, copie/colle le rapport dans le bloc note,
- Lance a²Free, supprime tous se qu'il te trouve, copie/colle le rapport dans le bloc note,
- Enregistre sous le bloc note.


6) Lance un scan HijackThis et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [Sxcasdwqas] C:\WINNT\SYSTEM32\parady.exe
O4 - HKLM\..\Run: [Missya] imissyou.exe
O4 - HKLM\..\RunServices: [Missya] imissyou.exe
O4 - HKCU\..\Run: [Missya] imissyou.exe
O4 - HKCU\..\Run: [Login Screen Saver] login.scr
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Ferme toutes les fenêtres, sauf le logiciel HijackThis et clique sur Fix checked


7) Assure toi l'acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Active la case : Afficher les fichiers et dossiers cachés,
Désactive la case : Masquer les extensions des fichiers dont le type est connu,
Désactiver la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.


8) Recherche et supprime les fichiers et ou dossiers incriminés (si tu les trouves) :

C:\WINNT\system32\msgfix.exe
C:\WINNT\System32\PSEXESVC.EXE
C:\WINNT\system32\dhcp\updater.exe
C:\WINNT\system32\dhcp\csrss.exe
C:\WINNT\SYSTEM32\parady.exe

EDIT : C:\WINNT\system32\MS-DOS.PIF


9) Assure toi de ne plus avoir acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Désactive la case : Afficher les fichiers et dossiers cachés,
Active la case : Masquer les extensions des fichiers dont le type est connu,
Active la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.


10) Lance CCleaner :

Clique sur analyser, puis sur lancer le nétoyage.


11) Redémarre normalement et :

- Va faire un scan en ligne avec panda ici

- Poste ici une autre analyse hijackthis avec le rapport de a²Free et le rapport avec panda + celui de stinger.

Répondre à leitho
chercheur_   04-08-2005 à 01:55:18
- 0 +

Bonsoir

EDIT Bonsoir leitho, on s'est croisé.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Trojan Hunter
http://www.misec.net/products/TrojanHunter.exe
C'est une version Free limitée dans le temps
Il n'est pas utile d'activer sa fonction résident

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [Sxcasdwqas] C:\WINNT\SYSTEM32\parady.exe
O4 - HKLM\..\Run: [Missya] imissyou.exe
O4 - HKLM\..\RunServices: [Missya] imissyou.exe
O4 - HKCU\..\Run: [Missya] imissyou.exe
O4 - HKCU\..\Run: [Login Screen Saver] login.scr
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINNT\system32\MS-DOS.PIF
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\dhcp\csrss.exe
C:\WINNT\system32\dhcp\updater.exe
C:\WINNT\SYSTEM32\parady.exe
imissyou.exe
login.scr
Pour ces deux derniers, fais une recherche sur l'ordinateur. Probblement dans C:\WINNT\system32

6 Lance et exécute Trojan Hunter.

6 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

8 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Répondre à chercheur_
rod06   04-08-2005 à 02:33:15
- 0 +

bon ben je viens de suivre les instructions de leitho et voila ce que ca donne:

Logfile of HijackThis v1.99.1
Scan saved at 02:31:43, on 04/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\LVComsX.exe
E:\Logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE (file missing)
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

merci de votre aide

Répondre à rod06
okin@IDN   04-08-2005 à 02:38:21
- 0 +

Va a la pharmacie si tu as un probleme de Ver....
















Ok jesort

Répondre à okin@IDN
leitho   04-08-2005 à 02:40:16
- 0 +

Ton log est propre. Plus rien a signaler pour nous, plus de problème aparant avec ton pc ?

Répondre à leitho
rod06   04-08-2005 à 02:46:28
- 0 +

merci de votre aide
Sinon pour les autres problemes j'ai quelques reset intempestifs irreguliers et plutot rares et il m'est arrive 2 fois un vidage de la mémoire physique,c'est tout.
Encore merci pour votre aide

Répondre à rod06
leitho   04-08-2005 à 02:55:23
- 0 +

Pour ton problème, s'est un peu normal, s'est quand tu as très mal redémarrer, ou qu'il y a eu une erreur système... Les raisons sont nombreuses. Mais si le problème persiste dans les temps qui viennent, poste un nouveau topic en expliquant ton problème.

:topicclos:

Répondre à leitho
rod06   04-08-2005 à 03:05:05
- 0 +

ok jy penserai si ca persiste
merci et bonne nuit a toi

Répondre à rod06
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > probleme de ver,voila mon scan hijackthis
Aller à :

Il y a 2242 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,486 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens