Sujet Précédent Sujet Suivant

[virus] W32/Autorun aha ?

Résolu/Fermé
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 - 14 mars 2008 à 09:54
 Utilisateur anonyme - 14 mars 2008 à 16:27
Bonjour,
Mon ordinateur ordi1 et ma clé USB sont infectés par un virus. Cette infection m'est venue par la clé USB d'un collègue dont l'ordinateur et la clé sont également infectés.
Configuration de ordi1 : Windows XP Pro SP2, utilisé avec un compte administrateur. Pas d'antivirus (je me sers d'un autre ordinateur, ordi2, pour aller sur Internet).
Configuration de ordi2 : Windows XP Pro SP2, utilisé avec un compte administrateur. Antivirus F-Secure Antivirus for Workstations, version inconnue, mise à jour automatique tous les matins depuis le serveur central.
Symptômes sur ordi1 : toutes les extensions de fichiers ont disparu. Impossible de les remettre. Chaque tentative (panneau de configuration et registre) se solde par un retour automatique à la configuration "Masquer les extensiosn de fichier dont le type est connu".
Symptômes sur ordi2 : aucun.
Symptômes sur ma clé USB branchée sur ordi2 : F-Secure détecte un antiprogramme dessus. Rapport d'analyse de la clé USB (elle s'appelle F) : :

//<RAPPORT D'ANALYSE F-SECURE DE LA CLE USB>
Rapport d'analyse
vendredi 14 mars 2008 09:35:25 - 09:36:37
Nom de l'ordinateur: ordi1
Type d'analyse: Analyse de la cible
Cible : F:\
--------------------------------------------------------------------------------
Résultat: 1 antiprogramme(s) détecté(s)
Worm.Win32.AutoRun.aha (virus)
F:\Recycled\INFO.EXE Action : renommé
--------------------------------------------------------------------------------
Statistiques
Analysés:
Fichiers: 728
Non analysés: 0
Résultat:
Virus: 1
Spyware: 0
Eléments suspects: 0
Programme à risque: 0
Actions:
Nettoyés: 0
Renommés: 1
Supprimés: 0
Quarantaine: 0
Echec: 0
Secteurs d'amorçage:
Analysés: 1
Infectés: 0
Eléments suspects: 0
Nettoyés: 0
--------------------------------------------------------------------------------
Options
Version des définitions:
Virus: 2008-03-14_02
Spyware: 2008-03-14_02
Moteurs d'analyse :
F-Secure AVP: 7.00.171, 2008-03-14
F-Secure Libra: 2.04.01, 2008-03-13
F-Secure Orion: 1.02.37, 2008-03-14
F-Secure Draco: 1.00.35, 2008-02-13
Options d'analyse :
Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Analyser le contenu des archives
Exclus :
Spyware (exclus par l'administrateur): PSWTool.Win32.GetPass RemoteAdmin.Win32.RAdmin RemoteAdmin.Win32.WinVNC
Actions:
Virus: Nettoyer les fichiers infectés
Spyware: Interroger après analyse
//<FIN DU RAPPORT D'ANALYSE F-SECURE DE LA CLE USB>

Il n'y a pas de dossier Recycled sur ma clé, ou du moins n'est-il pas browsé.
J'ai téléchargé hier l'utilitaire de désinfection de W32/autorun Worm Removal 1.0 sur Internet depuis softpedia.com, , et je l'ai utilisé sur ordi1 et sur ma clé. De plus, j'ai trouvé sur viruslist.com une suite de symptômes et de manips à faire quand on est infecté par W32/autorun aha, mais je n'avais pas les symptômes que ce site décrivait (fichiers supplémentaires, clés registre modifiées, etc).
Je pense que je suis infectée par un virus que mon antivirus n'arrive pas à identifier. J'ai téléchargé HiJackThis et j'ai édité un rapport de ordi1 ce matin. Le voilà :

//<RAPPORT HIJACKTHIS 0011 DE ORDI1>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:25:36, on 14/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IBM\Updater\jre\bin\javaw.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cherbourg:8080/mantis/login_page.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=System
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WellPhone DirectSync - ScheduleSync] C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = HomeLand
O17 - HKLM\Software\..\Telephony: DomainName = HomeLand
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = HomeLand
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = HomeLand
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
A voir également:

4 réponses

Réponse 1 / 4
Utilisateur anonyme
14 mars 2008 à 09:58
pourquoi ne pas mettre tout simplement un antivirus sur ton autre pc?
c'est pas compliqueé en plus il y en a qui sont gratuits
0
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
14 mars 2008 à 10:08
Parce que je ne peux pas mettre ordi1 sur Internet. Télécharger un antivirus, par exemple AVG Free Edition, ne me servira à rien parce que je ne téléchargerai pas les bases de données virales en même temps. Les bases de données virales sont téléchargées par l'antivirus en allant sur Internet. Je ne pourrai pas mettre mon PC sur Internet et donc je ne pourrai pas télécharger les bases de données virales. Autrement dit, je ne pourrai pas me servir de l'antivirus sur ordi1.
Marie
0
Utilisateur anonyme > jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011
14 mars 2008 à 10:10
pourquoi ne pas mettre tout simplement ordi 1 sur internet?
c'est bete et efficace à ton probleme!!!
0
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2 > Utilisateur anonyme
14 mars 2008 à 10:29
Je ne peux pas. C'est un ordi professionnel et il m'est interdit de le mettre sur Internet.
Marie
0
Utilisateur anonyme > jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011
14 mars 2008 à 16:27
il suffit de supprimer les cle historique de la base de registre et tu pourra te connecter à l'internet sans que personne n'en sache rien!
si non installe l'antivirus et copie la base virale de l'un de tes autres PCs

have a nice day!
0
Réponse 2 / 4
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
14 mars 2008 à 10:10
//<RAPPORT D'ANALYSE HIJACKTHIS 002 DE ORDI1 - MODE SANS ECHEC AVEC PRISE EN CHARGE RESEAU>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:00:30, on 14/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cherbourg:8080/mantis/login_page.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=System
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WellPhone DirectSync - ScheduleSync] C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = HomeLand
O17 - HKLM\Software\..\Telephony: DomainName = HomeLand
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = HomeLand
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = HomeLand
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
0
Réponse 3 / 4
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
14 mars 2008 à 11:37
Le rapport d'analyse de mon rapport d'analyse HiJackThis 002 de ordi 1 en mode sans échec avec prise en charge réseau me donne les résultats suivants :

RAPPORT SPY AND SEEK D'ANALYSE DU LOG HIJACKTHIS 002 DE ORDI 1 EN MODE SANS ECHEC AVEC PRISE EN CHARGE RESEAU

Result Good-Bad Search Hijack This Log File Entry

Bad 0 - 1 What?
SS(4,586) - GS
Comments_(0)
O23 - Service: IBM PSA Access Driver Control(PsaSrv) - Unknown owner -C:\WINDOWS\system32\PsaSrv.exe (file missing)
Unknown 0 - 0 What?
SS(3,545) - GS
Comments_(0)
C:\WINDOWS\System.exe
Unknown 0 - 0 What?
SS(3,553) - GS
Comments_(0)
F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,System
Unknown 0 - 0 What?
SS(3,631) - GS
Comments_(0)
F3 - REG:win.ini: load=System
Unknown 0 - 0 What?
SS(167) - GS
Comments_(0)
O17 - HKLM\Software\..\Telephony: DomainName =HomeLand
Unknown 0 - 0 What?
SS(788) - GS
Comments_(0)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters:Domain = HomeLand
Unknown 0 - 0 What?
SS(788) - GS
Comments_(0)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters:Domain = HomeLand
Unknown 0 - 0 What?
SS(788) - GS
Comments_(0)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters:Domain = HomeLand
Unknown 0 - 0 What?
SS(23) - GS
Comments_(0)
O23 - Service: SymWMI Service (SymWSC) - SymantecCorporation - c:\Program Files\Fichierscommuns\Symantec Shared\Security Center\SymWSC.exe
Unknown 0 - 0 What?
SS(2) - GS
Comments_(0)
O4 - HKLM\..\Run: [WellPhone DirectSync -ScheduleSync] C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
Unknown 0 - 0 What?
SS(12,440) - GS
Comments_(0)
R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Start Page =http://cherbourg:8080/mantis/login_page.php
Good 2 - 0 What?
SS(1,967) - GS
Comments_(0)
C:\Program Files\TrendMicro\HijackThis\HijackThis.exe
Good 1 - 0 What?
SS(1,177) - GS
Comments_(0)
O11 - Options group: [JAVA_IBM] Java (IBM)
Good 7 - 0 What?
SS(45) - GS
Comments_(0)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB}(YInstStarter Class) - C:\ProgramFiles\Yahoo!\Common\yinsthelper.dll
Good 7 - 0 What?
SS(42) - GS
Comments_(0)
O2 - BHO: CNavExtBho Class -{BDF3E430-B101-42AD-A544-FADC6B084872} -C:\Program Files\Norton AntiVirus\NavShExt.dll
Good 1 - 0 What?
SS(117) - GS
Comments_(0)
O2 - BHO: Yahoo! Toolbar Helper -{02478D38-C3F9-4EFB-9B51-7695ECA05670} -C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\yt.dll
Good 1 - 0 What?
SS(6) - GS
Comments_(0)
O23 - Service: IBM Rapid Restore Ultra Service -Unknown owner - C:\Program Files\IBM\IBM RapidRestore Ultra\rrpcsb.exe
Good 1 - 0 What?
SS(45) - GS
Comments_(0)
O23 - Service: SAVScan - Symantec Corporation -C:\Program Files\Norton AntiVirus\SAVScan.exe
Good 1 - 0 What?
SS(18) - GS
Comments_(0)
O23 - Service: ScriptBlocking Service (SBService)- Symantec Corporation -C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
Good 1 - 0 What?
SS(81) - GS
Comments_(0)
O23 - Service: Service Norton AntiVirusAuto-Protect (navapsvc) - Symantec Corporation -C:\Program Files\Norton AntiVirus\navapsvc.exe
Good 1 - 0 What?
SS(53) - GS
Comments_(0)
O23 - Service: Symantec Event Manager (ccEvtMgr) -Symantec Corporation - C:\Program Files\Fichierscommuns\Symantec Shared\ccEvtMgr.exe
Good 1 - 0 What?
SS(33) - GS
Comments_(0)
O23 - Service: Symantec Password Validation(ccPwdSvc) - Symantec Corporation - C:\ProgramFiles\Fichiers communs\SymantecShared\ccPwdSvc.exe
Good 1 - 0 What?
SS(53) - GS
Comments_(0)
O23 - Service: Symantec Settings Manager(ccSetMgr) - Symantec Corporation - C:\ProgramFiles\Fichiers communs\SymantecShared\ccSetMgr.exe
Good 7 - 0 What?
SS(37) - GS
Comments_(0)
O3 - Toolbar: Norton AntiVirus -{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -C:\Program Files\Norton AntiVirus\NavShExt.dll
Good 1 - 0 What?
SS(677) - GS
Comments_(0)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur defenêtres pop-up -{EF99BD32-C1FB-11D2-892F-0090271D4F88} -C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\yt.dll
Good 1 - 0 What?
SS(2) - GS
Comments_(0)
O4 - HKCU\..\Run: [DrvMon.exe]C:\WINDOWS\system32\DrvMon.exe
Good 1 - 0 What?
SS(11) - GS
Comments_(0)
O4 - HKCU\..\Run: [ibmmessages] C:\ProgramFiles\IBM\Messages By IBM\ibmmessages.exe
Good 1 - 0 What?
SS(56) - GS
Comments_(0)
O4 - HKLM\..\Run: [ccApp] "C:\ProgramFiles\Fichiers communs\Symantec Shared\ccApp.exe"
Good 7 - 0 What?
SS(24) - GS
Comments_(0)
O4 - HKLM\..\Run: [HotKeysCmds]C:\WINDOWS\System32\hkcmd.exe
Good 1 - 0 What?
SS(11) - GS
Comments_(0)
O4 - HKLM\..\Run: [ibmmessages] C:\ProgramFiles\IBM\Messages By IBM\\ibmmessages.exe
Good 1 - 0 What?
SS(2) - GS
Comments_(0)
O4 - HKLM\..\Run: [IBMPRC]C:\IBMTOOLS\UTILS\ibmprc.exe
Good 7 - 0 What?
SS(20) - GS
Comments_(0)
O4 - HKLM\..\Run: [IgfxTray]C:\WINDOWS\System32\igfxtray.exe
Good 1 - 0 What?
SS(799) - GS
Comments_(0)
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
Good 1 - 0 What?
SS(5) - GS
Comments_(0)
O4 - HKLM\..\Run: [UC_Start] C:\ProgramFiles\IBM\Updater\\ucstartup.exe
Good 1 - 0 What?
SS(1,467) - GS
Comments_(0)
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]C:\WINDOWS\system32\CTFMON.EXE (User 'Defaultuser')
Good 1 - 0 What?
SS(4,448) - GS
Comments_(0)
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
Good 1 - 0 What?
SS(10,067) - GS
Comments_(0)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICELOCAL')
Good 1 - 0 What?
SS(9,402) - GS
Comments_(0)
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICERÉSEAU')
Good 1 - 0 What?
SS(554) - GS
Comments_(0)
O9 - Extra 'Tools' menuitem: Console Java (IBM) -{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -C:\WINDOWS\system32\msjava.dll
Good 2 - 0 What?
SS(554) - GS
Comments_(0)
O9 - Extra button: (no name) -{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -C:\WINDOWS\System32\msjava.dll
Good 1 - 0 What?
SS(2,211) - GS
Comments_(0)
R0 - HKCU\Software\Microsoft\InternetExplorer\Toolbar,LinksFolderName = Liens
Good 1 - 0 What?
SS(0) - GS
Comments_(0)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueurde fenêtres pop-up -{EF99BD32-C1FB-11D2-892F-0090271D4F88} -C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\yt.dll

FIN DU RAPPORT SPY AND SEEK D'ANALYSE DU LOG HIJACKTHIS 002 DE ORDI 1 EN MODE SANS ECHEC AVEC PRISE EN CHARGE RESEAU

En gros, 1 bad, 10 unknown et 16 good.
Est-ce que cet outil est fiable ?
Ses indications ne me disent pas quelle est mon infection ni ce que je dois faire. Pouvez-vous m'aider ?
Marie
0
Réponse 4 / 4
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
14 mars 2008 à 13:15
Problème résolu, j'ai fait une restauration du système à avant-hier (infection hier) et le problème (disparition des extensions de fichier) a disparu. Mais il demeure sur le PC de mon colllègue. Je lui ai conseillé de poster son rapport HiJackThis sur le forum.
Marie
0

Discussions similaires

W32 L32: correspondance entre taille US et taille française
efg -
sibel -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
À quoi correspond 32x32 US en taille française pour un jean ?
Alison1958 -
Thordendall -

1 réponse
Commande internet correspondance taille US pour jean homme.
Larkos -
Zabou -

5 réponses
Taille Us - taille française
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses