Tom's Guide > Forum > Sécurité - Virus > Hijackthis, que faut il faire apres l'analyse? (résolu)

Hijackthis, que faut il faire apres l'analyse? (résolu)

Forum Sécurité - Virus : Hijackthis, que faut il faire apres l'analyse? (résolu)

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
teambug   17-06-2009 à 12:04:59

Bonjour a tous, je vous explique mon probleme, un de mes potes ma passé son dd externe pour que je lui passe des fichiers (sauf que cet abruti avait un virus dessus) et j'ai choppé hacked by godzilla.
Bon jusque la pas de probleme j'utilise hijackthis je trouve mes deux ligne du rapport qui montre mon probleme mais apres je sais plus que faire, faut il que je fasse "fise checked" qui reviend donc a "fixer" les cases cochés?
fixer veut dire que je pourrai supprimer les fichier en question ?

je poste le rapport mais bon je pense deja savoir quelle sont les deux ligne a checker.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:44, on 17/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\JEREMY\Bureau\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://secure.ubi.com/login/editus [...] gistration
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.c [...] ab_srl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 2192645578
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8160 bytes



voila merci d'avance :)


Message édité par teambug le 17-06-2009 à 13:12:15
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Destrio5   17-06-2009 à 12:05:56
- 1 +

Bonjour,

  • Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.
  • Lance l'installation avec les paramètres par défaut.
  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur le raccourci UsbFix sur ton Bureau.
  • Choisis l'option 1 (Recherche).
  • Laisse travailler l'outil.
  • Poste le rapport UsbFix.txt.


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Répondre à Destrio5
teambug   17-06-2009 à 12:15:53
- 0 +

je veux pas installer de programme suplementaire, un executable qui modifie rien sur le pc suffira. Je sais qu'il existe un "hacked by godzilla remover tools" mais aucun lien que j'ai trouvé n'est valide.
De plus je peux supprimer les fichier en question a la main mais en lisant dans le rapport hijackthis, j'ai vu qu'il s'etait planqué dans des endroit un peu dingo.
Donc deja si je fais fix checked je devrai pouvoir les supprimer a la main si j'ai bien compris. mais par contre hijackthis ne semble pas scanner ma seconde partition et ca pose probleme, pasque du coup j'aurrai beau supprimer ca reviendra.

edit: bon tenpis je fais ta methode mais bon faudrait penser a une methode sans programme a installer.


Message édité par teambug le 17-06-2009 à 12:28:59
Répondre à teambug
teambug   17-06-2009 à 12:29:33
- 0 +

Voila le rapport:


############################## [ UsbFix V3.032 ]

# User : JEREMY (Administrateurs) # JEREMY-060B3F5C
# Update on 15/06/09 by Chiquitine29
# Start at: 12:28:08 | 17/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Processeur Intel Pentium III Xeon
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : BitDefender 8 Professional Plus 7.2 [ Enabled | Updated ]
# FW : BitDefender 8 Professional Plus[ Enabled ]7.2

# C:\ # Disque fixe local # 97,65 Go (10,95 Go free) # NTFS
# D:\ # Disque fixe local # 200,43 Go (58,14 Go free) [P2 200 Go] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
HKCU_Main: "Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"
HKCU_Main: "Start Page Redirect Cache_TIMESTAMP"=hex:7a,b3,0a,48,3b,ec,c9,01
HKCU_Main: "Start Page Redirect Cache AcceptLangs"="fr"
HKCU_Main: "Window Title"="Hacked by Godzilla"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="JEREMY"
HKLM_logon: "AltDefaultUserName"="JEREMY"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
HKLM_Run: NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
HKLM_Run: BDMCon=C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
HKLM_Run: BDOESRV=C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
HKLM_Run: BDNewsAgent=C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
HKLM_Run: BDSwitchAgent=C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM_Run: KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
HKLM_Run: MS32DLL=C:\WINDOWS\MS32DLL.dll.vbs
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background

################## [ Fichiers # Dossiers infectieux ]

Présent ! C:\WINDOWS\MS32DLL.dll.vbs
Présent ! C:\DOCUME~1\JEREMY\LOCALS~1\Temp\eauninstall.exe
Présent ! C:\MS32DLL.dll.vbs
Présent ! C:\autorun.inf
Présent ! D:\MS32DLL.dll.vbs
Présent ! D:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "ms32dll"

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{1310ffea-f432-11dd-a9ed-00235481be74}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{ca63b955-e3fb-11dd-b1a2-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{ca63b956-e3fb-11dd-b1a2-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{e0899c42-5aa9-11de-8945-00235481be74}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.032 ! ]



Edit: si je fais "fix checked" avec hijacthis, ca va supprimer les clé en question dans la base de registre et je pourrai supprimer les fichiers a la main, ou alors je peux directement supprimer la clé a la main etc.. vu que le rapport du logiciel que tu ma fais telecharger a l'air assez complet.


Message édité par teambug le 17-06-2009 à 12:37:07
Répondre à teambug
Destrio5   17-06-2009 à 12:38:12
- 1 +

  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
  • Choisis l'option 2 (Suppression).
  • Ton Bureau disparaîtra et le PC redémarrera.
  • Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
  • Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Répondre à Destrio5
teambug   17-06-2009 à 12:49:38
- 0 +

############################## [ UsbFix V3.032 ]

# User : JEREMY (Administrateurs) # JEREMY-060B3F5C
# Update on 15/06/09 by Chiquitine29
# Start at: 12:40:32 | 17/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Processeur Intel Pentium III Xeon
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : BitDefender 8 Professional Plus 7.2 [ Enabled | Updated ]
# FW : BitDefender 8 Professional Plus[ Enabled ]7.2

# C:\ # Disque fixe local # 97,65 Go (10,95 Go free) # NTFS
# D:\ # Disque fixe local # 200,43 Go (58,14 Go free) [P2 200 Go] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Supprimé ! C:\WINDOWS\MS32DLL.dll.vbs
Supprimé ! C:\DOCUME~1\JEREMY\LOCALS~1\Temp\eauninstall.exe
Supprimé ! C:\MS32DLL.dll.vbs
Supprimé ! C:\autorun.inf
Supprimé ! D:\MS32DLL.dll.vbs
Supprimé ! D:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "ms32dll"

################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1310ffea-f432-11dd-a9ed-00235481be74}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e0899c42-5aa9-11de-8945-00235481be74}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[16/01/2009 19:52|--a------|0] - C:\AUTOEXEC.BAT
[16/01/2009 19:48|---hs----|216] - C:\boot.ini
[02/03/2006 14:00|-rahs----|4952] - C:\Bootfont.bin
[16/01/2009 19:52|--a------|0] - C:\CONFIG.SYS
[26/01/2009 21:29|--a------|199] - C:\DARE.INI
[16/01/2009 19:52|-rahs----|0] - C:\IO.SYS
[16/01/2009 19:52|-rahs----|0] - C:\MSDOS.SYS
[02/03/2006 14:00|-rahs----|47564] - C:\NTDETECT.COM
[17/01/2009 15:09|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[17/06/2009 12:40|--a------|3385] - C:\UsbFix.txt
[09/03/2009 14:46|--a------|26596640] - D:\AdbeRdr90_fr_FR.exe
[20/01/2005 16:33|--a------|2348757] - D:\cl‚ bit defender.rtf
[26/12/2007 23:08|--a------|17757496] - D:\DivXBundle.exe
[17/01/2009 12:19|--a------|1842024] - D:\Installation_WLMessenger2009.exe

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

PS: pour le moment ca a l'air d'avoir marché mais bon il reste des merdouille, par exemple il n'y a plus marqué internet explorer lorsque que je le lance.

Comment je peux faire pour remettre cette clé "HKCU_Main: "Window Title"="Hacked by Godzilla"" et mettre "internet explorer" a la place de "hacked by godzilla"?


Message édité par teambug le 17-06-2009 à 12:55:57
Répondre à teambug
Destrio5   17-06-2009 à 12:59:06
- 1 +

  • Désinstalle UsbFix.


  • Menu Démarrer > Exécuter > Tape regedit et valide. L'éditeur de registre va s'ouvrir.
  • Navigue avec les + et les - jusqu'à la clé :


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main


  • Clique successivement sur Fichier puis sur Exporter et enregistre le fichier à un endroit que tu connais (le Bureau par exemple).
  • Ferme le registre.
  • Clique droit sur le fichier que tu as enregistré et choisis Modifier.
  • Le Bloc-notes s'ouvre avec le contenu de la clé.
  • Copie-le dans ta réponse.

Répondre à Destrio5
teambug   17-06-2009 à 13:02:22
- 0 +

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoUpdateCheck"=dword:00000001
"NoJITSetup"=dword:00000001
"Disable Script Debugger"="yes"
"Show_ChannelBand"="No"
"Anchor Underline"="yes"
"Cache_Update_Frequency"="Once_Per_Session"
"Display Inline Images"="yes"
"Do404Search"=hex:01,00,00,00
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Save_Session_History_On_Exit"="no"
"Show_FullURL"="no"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes"
"Show_URLToolBar"="yes"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Use_DlgBox_Colors"="yes"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Use_Combobox_DlgBox_Colors_Complete"="7"
"Use_Combobox_DlgBox_Colors_Failed"="1"
"Use_Combobox_DlgBox_Colors_Error"="16"
"FullScreen"="no"
"Window_Placement"=hex:2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,1d,00,00,00,1d,00,00,00,3d,03,00,00,57,02,00,\
00
"XMLHTTP"=dword:00000001
"UseClearType"="yes"
"AlwaysShowMenus"=dword:00000001
"Play_Background_Sounds"="yes"
"Play_Animations"="yes"
"SearchDefaultBranded"=dword:00000001
"CompatibilityFlags"=dword:00000000
"SearchMigrated"=dword:00000001
"Use FormSuggest"="yes"
"NotifyDownloadComplete"="yes"
"Save Directory"="C:\\Documents and Settings\\JEREMY\\Mes documents\\Ecole\\"
"Enable Browser Extensions"="yes"
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"IE8RunOnceLastShown"=dword:00000001
"IE8RunOnceLastShown_TIMESTAMP"=hex:22,07,ac,56,16,b1,c9,01
"IE8RunOncePerInstallCompleted"=dword:00000001
"IE8RunOnceCompletionTime"=hex:04,06,1d,6e,16,b1,c9,01
"IE8TourShown"=dword:00000001
"IE8TourShownTime"=hex:04,06,1d,6e,16,b1,c9,01
"Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"
"Start Page Redirect Cache_TIMESTAMP"=hex:7a,b3,0a,48,3b,ec,c9,01
"Start Page Redirect Cache AcceptLangs"="fr"
"Window Title"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
"LOCALMACHINE_CD_UNLOCK"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\WindowsSearch]
"Version"="04.00.6001.503"
"User Favorites Path"="file:///C:\\Documents and Settings\\JEREMY\\Favoris\\"
"UpgradeTime"=hex:58,cc,ea,79,39,ef,c9,01
"ConfiguredScopes"=dword:00000005
"LastCrawl"=hex:2a,40,dc,72,2c,ef,c9,01


ps:
-j'ai deja remis "Internet explorer" et remis dans le registre.
-dans la logique des chose ca a du supprimer d'autre information de ce genre, tu saurais pas lesquelles, pasque je suis vraiment deg, j'avais un windows tout propre et la ca ma foutu le bordel :s


Message édité par teambug le 17-06-2009 à 13:06:42
Répondre à teambug
Destrio5   17-06-2009 à 13:06:56
- 1 +

Citation :

"Window Title"=""


--> Supprime cette valeur.

Répondre à Destrio5
teambug   17-06-2009 à 13:07:59
- 0 +

je la supprime? pasqu'en mettant Internet explorer entre les guillemet ca marche aussi.
Bon je vais essayer comme tu dis, merci pour tous t'es un As ;)

Edit: j'ai fais comme tu dis et ca me remet windows title etc... quand je reexporte pour verifier, il semblerai donc que ca remete par default, niquel ca fonctionne donc :)
si jamais il y a d'autre truck dans ce genre a faire et que tu sais lesquelles dis moi le.

Encore merci ;)


Message édité par teambug le 17-06-2009 à 13:11:15
Répondre à teambug
Destrio5   17-06-2009 à 13:27:01
- 0 +

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.


  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Répondre à Destrio5
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Hijackthis, que faut il faire apres l'analyse? (résolu)
Aller à :

Il y a 336 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,255 secondes
Liens