demande d'analyse hijackthisFermé

Question

Bonjour Madame, Monsieur,
Ayant beaucoup de problème de connexion, bug, écran qui se fige et bloque au démarrage.
J'ai fais un scan avec hijackthis si une personne bien aimable peux me donner un coup de main sur ce qu'il y a un fixer car, j'ai fais un test de mon rapport sur le site hijackthis.de/fr, le rapport a l'air beaucoup compromis. Si besoin de renseignement qui pourrais faire avancée le schmilbliq.
merki.



Configuration: Windows 7 / Firefox 3.6.12

jfkpresident · Answer

Bonsoir,

Tout d'abord évite de passer les rapports Hijackthis sur le site HijackDe ...Il y a énormément de faux-positifs alors tu risquerais de virer des fichiers légitimes .

   Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

delco95 · Answer

bonsoir
Je te joint le lien http://www.cijoint.fr/cjlink.php?file=cj201003/cijxxxxxx.xyz.
pourquoi ne pas faire un copier coller.
J'ai mon antivirus kaspersky qui a réagi sur l'appliquation potentiellement dangereuse j'ai donc choisi l'option autoriser mets bloquer les opérations malveillante.

jfkpresident · Answer

Le fichier n'est pas accessible ,réitere l'operation .

Pas de copier/coller pour la simple et bonne raison que le rapport est beaucoup trop long .

delco95 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijEKAO24f.txt

jfkpresident · Answer

Aucunes infections visibles sur ton rapport ..Par contre beaucoup de logiciels P2P (ce qui pourrait expliquer une éventuelle infection ..)

Je vois que tu as également utiliser MsnCleaner ,pour quelle raison ?

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers :

C:\Windows\system32\drivers\virtualnet.sys  
C:\Users\meto\Desktop\sound\EmuPMX_PCDrv_US_2_30_00_BETA.exe  

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

delco95 · Answer

J'ai passer un coup de msncleaner en mode sans echec pensant avoir involontairement ouvert un mail sur hotmail, mets j'ai trouver bizarre que le scan dure 2 seconde. J'ai fais scan avec infecteoupas.com il m'a trouver 2 trojan mets la je suis pas chez moi je te contacte vers 9h si tu est la bien sur.

jfkpresident · Answer

je te contacte vers 9h si tu est la bien sur.

Pas de soucis ;)

delco95 · Answer

La je bloque quand je recherche les fichier en passant par démarrer c:\windows\systeme32 enfin bref je trouve les fichiers que tu me signales. Par contre quand j'essaye avec parcourir sur virustotal aucun moyen de mettre la main dessus j'ai même essayer avec kaspersky scanner qui est dans le même principe. J'ai afficher les dossier cacher et décocher masquer les extension don les fichiers son connu. J'ai pu seulement scanner un fichier que www.infecteoupas.com m'a signaler comme menace.c:\windows\syswow64\iedfix.c.exe. si cela ne te dérange pas de me donner ton avis.
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
IEDFix.C.exe
Submission date:
2010-10-31 20:50:58 (UTC)
Current status:
finished
Result:
2 /42 (4.8%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3 	2010.11.01.00 	2010.10.31 	-
AntiVir 	7.10.13.75 	2010.10.31 	-
Antiy-AVL 	2.0.3.7 	2010.10.31 	-
Authentium 	5.2.0.5 	2010.10.31 	-
Avast 	4.8.1351.0 	2010.10.31 	-
Avast5 	5.0.594.0 	2010.10.31 	-
AVG 	9.0.0.851 	2010.10.31 	-
BitDefender 	7.2 	2010.10.31 	-
CAT-QuickHeal 	11.00 	2010.10.26 	-
ClamAV 	0.96.2.0-git 	2010.10.31 	-
Comodo 	6576 	2010.10.31 	-
DrWeb 	5.0.2.03300 	2010.10.31 	-
Emsisoft 	5.0.0.50 	2010.10.31 	-
eTrust-Vet 	36.1.7943 	2010.10.29 	-
F-Prot 	4.6.2.117 	2010.10.31 	-
F-Secure 	9.0.16160.0 	2010.10.31 	-
Fortinet 	4.2.249.0 	2010.10.31 	-
GData 	21 	2010.10.31 	-
Ikarus 	T3.1.1.90.0 	2010.10.31 	-
Jiangmin 	13.0.900 	2010.10.31 	Hoax.Renos.ee
K7AntiVirus 	9.67.2865 	2010.10.29 	-
Kaspersky 	7.0.0.125 	2010.10.31 	-
McAfee 	5.400.0.1158 	2010.10.31 	-
McAfee-GW-Edition 	2010.1C 	2010.10.31 	-
Microsoft 	1.6301 	2010.10.31 	-
NOD32 	5580 	2010.10.31 	-
Norman 	6.06.10 	2010.10.31 	-
nProtect 	2010-10-31.01 	2010.10.31 	-
Panda 	10.0.2.7 	2010.10.31 	Application/IEDefender
PCTools 	7.0.3.5 	2010.10.31 	-
Prevx 	3.0 	2010.10.31 	-
Rising 	22.71.03.02 	2010.10.29 	-
Sophos 	4.59.0 	2010.10.31 	-
Sunbelt 	7180 	2010.10.31 	-
SUPERAntiSpyware 	4.40.0.1006 	2010.10.31 	-
Symantec 	20101.2.0.161 	2010.10.31 	-
TheHacker 	6.7.0.1.074 	2010.10.31 	-
TrendMicro 	9.120.0.1004 	2010.10.31 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.10.31 	-
VBA32 	3.12.14.1 	2010.10.29 	-
ViRobot 	2010.10.30.4121 	2010.10.31 	-
VirusBuster 	12.70.14.0 	2010.10.31 	-
Additional information
Show all
MD5   : 9769ab38cb77c9914c25b8141a2a3fbe
SHA1  : ca02a39e467582d40af16003dae1b64db038e79a
SHA256: 7237b3e0c9a5560d505e0aa8ae558f35b70bc34be08dfb17ff97480b3951622c
ssdeep: 1536:x2XbU/gOHJi72/3X3nYyj7vwAVVMbWY3pcyZYoP/Vg2TstwSY6USkaYY:x2ISE3nD7vwuS
WY3pHpG24twSY6U5aYY
File size : 82944 bytes
First seen: 2008-11-30 23:51:55
Last seen : 2010-10-31 20:50:58
Magic: PE32 executable for MS Windows (console) Intel 80386 32-bit
TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: S_Ri.URZ
copyright....:
product......: IEDFix.C
description..: IEDFix.C
original name: IEDFix.C.exe
internal name: IEDFix.C
file version.:
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: -
packers (F-Prot): UPX
packers (Kaspersky): PE_Patch.UPX, UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x509A0
timedatestamp....: 0x493174AD (Sat Nov 29 16:58:21 2008)
machinetype......: 0x14C (Intel I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x3C000, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x3D000, 0x14000, 0x13C00, 7.91, 960bb7b2696ff501065477f9e56fbcc7
.rsrc, 0x51000, 0x1000, 0x600, 2.79, 105d3eb19d82424dd0d20d0966609973
CWSandbox:
http://research.sunbelt-software.com/...
ExifTool:
file metadata
CharacterSet: Windows, Latin1
CodeSize: 81920
CompanyName: S!Ri.URZ
EntryPoint: 0x509a0
FileDescription: IEDFix.C
FileFlagsMask: 0x0000
FileOS: Unknown (0)
FileSize: 81 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion:
FileVersionNumber: 1.12.0.0
ImageVersion: 1.0
InitializedDataSize: 4096
InternalName: IEDFix.C
LanguageCode: English (U.S.)
LegalCopyright:
LegalTrademarks:
LinkerVersion: 2.56
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OriginalFilename: IEDFix.C.exe
PEType: PE32
ProductName: IEDFix.C
ProductVersion:
ProductVersionNumber: 1.12.0.0
Subsystem: Windows command line
SubsystemVersion: 4.0
TimeStamp: 2008:11:29 17:58:21+01:00
UninitializedDataSize: 245760

VT Community

2

    User:
    Anonymous
    Reputation:
    1 credits
    Comment date:
    2010-10-20 10:21:23 (UTC)
    Can someone confirm this is safe this is supposed to help in removing spyware but it does nothing for me
    now its detected as a threat 

cordialement

jfkpresident · Answer

La je bloque quand je recherche les fichier en passant par démarrer c:\windows\systeme32 enfin bref je trouve les fichiers que tu me signales. Par contre quand j'essaye avec parcourir sur virustotal aucun moyen de mettre la main dessus 

Quand tu clique sur "parcourir" il faut que tu ouvre "ordinateur" puis "C:\" ....etc

delco95 · Answer

salut jfkpresident, 
Quand tu clique sur "parcourir" il faut que tu ouvre "ordinateur" puis "C:\" ....etc. 
justement c'est bien là le problème car ceux que tu me dis la je l'ai fais je suis pas un as de l'informatique mets j'ai quand même quelques base. Le prend pas mal surtout c juste pour être clair entre nous. quand je clique sur parcourir>démarrer>ordinateur>C:\Windows\system32\drivers\virtualnet.sys 
j'obtiens maximum 5 fichiers. 
C:\Users\meto\Desktop\sound\EmuPMX_PCDrv_US_2_30_00_BETA.exe .pareil pour cette ligne là. 
J'ai même pour te dire que le dossier document and setting a disparue. 
jfkpresident surtout j'espere que tu ne le prend pas mal car ton aide mets utile et je sais que tu es bien au dessus de moi. 
voilà. Si tu as une autre solution je suis là pareil si tu as besoin de renseignement. Sinon por le fichier iedfix.c.exe
cordialement

jfkpresident · Answer

iedfix.c.exe  est un faux positif ,rien de plus .

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

delco95 · Answer

pour C:\Users\meto\Desktop\sound\EmuPMX_PCDrv_US_2_30_00_BETA.exe 
Maximum size exceeded: you have tried to upload a file which is larger than 20MB. Je te joint le rapport de malwarebytes  mets il n'a rien trouver .

jfkpresident · Answer

J'attend donc le rapport de MBAM .

delco95 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5134

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17/11/2010 14:14:03
mbam-log-2010-11-17 (14-14-03).txt

Type d'examen: Examen complet (A:\|C:\|D:\|)
Elément(s) analysé(s): 238303
Temps écoulé: 24 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jfkpresident · Answer

Peux tu maintenant relancer ZhpDiag en cochant la case 082 avant de lancer le scan puis copie/colle (a l'aide de cijoint ) le rapport créé.

delco95 · Answer

Voilà le fichier http://www.cijoint.fr/cjlink.php?file=cj201011/cijgNPuV6J.txt 
J'ai installer l'antivirus de microsoft security essentiel a la place de kaspersky internet security 2011 pour voir si lui aussi bloquer pour faire une analise complête et ces bien le cas aussi. 
Quand je clique sur ordinateur puis mon disque dur il y a  9  type de fichier extention de l'appliquation (DLL): 
- install.res.1041.DLL 
msdia80.dll 
puis je supprimer. 
J'ai des alerte de mon par-feu appliquation en cause svchost.exe port 64198 qui apparament ne demande REDIRECTION d'acces internet est ce une infection pour me renvoyer sur de fausse pages.J'ai sur www.docmemo.com fais test processus qui reste dans le doute.. Et aussi une fenêtre de pubs intempestives qui reviens sans cesse avec comme navigateur firefox.

jfkpresident · Answer

C'est quoi ça ? 

 C:\Users\meto\Downloads\Diskeeper 2010 Pro Premier v14.0.900 64-bit\crack	ab.dat     

Comment veux tu ne pas etre infecté si tu télécharge des cracks ........:(

delco95 · Answer

ok donc tu me conseil de le supprimer, en tous cas a chaque fois que j'installe un logiciel je prends toujours soin de passer un coup de kaspersky internet security.
diskipper n'est pas installer. Donc on avance ou ont en reste là.
merci

jfkpresident · Answer

Diskeeper existe en téléchargement gratuit alors pourquoi installé un crack qui est surement infecté ??

Supprimes les cracks téléchargés puis fait ceci :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

delco95 · Answer

COMBOFIX n'est pas compatible avec windows 7 64bit.

jfkpresident · Answer

Exact ......désolé :(

Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l'outil est sur l'onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.

Demande d'analyse hijackthis

21 réponses

Discussions similaires

Newsletters