Analyse rapport HijackThisFermé

Question

Bonjour,

J'ai envie de me débarasser du virus "au travail! arrêtez de surfer" qui a monopolisé ma page d'accueil et qui fait régulièrement apparaitre une fenêtre sur mon écran "au travail!! ...ce n'est pas un mabraze ici"

Et un autre, c'est d'ailleurs peut être le même, qui semble être sur ma clé usb qui s'appelle "antinul.vbe" et contre lequel avast ne semble rien pouvoir faire.

En lisant quelques post semblables au mien, j'ai télécharger et executer HijackThis dont voici le rapport.

Merci beacoup de m'expliquer ce que je devrais faire maintenant.

Elisa

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:53, on 04/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sensiva\Sensiva.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashQuick.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ElisaD\Local Settings\Temporary Internet Files\Content.IE5\1KWZ5DC5\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PrnStatusMX] C:\Program Files\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Sensiva] C:\Program Files\Sensiva\Sensiva.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

amd64 · Answer

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"


 	O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


 	O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)


 	O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)


coches ces lignes et clic sur ;ficheket
sup le raport sur le bureau
redemare le pc 
refait un scan  et met le nouveau raprt

Utilisateur anonyme · Answer

Salut,

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisit l'option 1

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

elisa-91 · Answer

Merci de ta réponse,

une question néanmoins, ne devrais-je pas également cocher

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer! 

puiqu'il s'agit bien de ce dont je veux me débarasser...

amd64 · Answer

ben si 

desoler de les avoir oublier , mais je suis avec quatre personnes en mm temps sur le site

elisa-91 · Answer

Pas de souci !

Encore un détail : pour refaire un scan après avoir cocher et redémarrer ; dois-je retélécharger Hijackthis ou bien je peux le retrouver qqpart sur mon pc et le relancer?

Merci
Elisa

amd64 · Answer

tu aurras le racourci sur le bureau puisque tu l'a deja telecharger

donc comme n'importe quel prog ; double clic dessus

elisa-91 · Answer

Et bien non, je n'ai pas de raccourci sur mon bureau peut-être parce que je l'ai directement éxecuter après l'avoir télécharger sans l'enregistrer...?

question un peu hors sujet je te l'accorde et surement basique mais importante pour la suite,

merci de ta réactivité, c'est un plaisir !

amd64 · Answer

??
regarde dans ;demarer tout les progs
tu doit l'avoir puisque tu l'a installer

elisa-91 · Answer

Non rien dans "tous les programmes"
si je fais une recherche "hijackthis" je trouve
1cookie
et quelquechose dans C:\WINDOWS\Prefetch et ça s'appelle HIJACKTHIS[1].EXE-...


enfin bref, tu comprendras que tt cela ne me parle pas beaucoup mais quoi qu'il en soit je me dis que je pourrais le relétécharger pour refaire le scan...

Elisa

Utilisateur anonyme · Answer

Salut,

Désoler de l'intrusion.

@ELISA:

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisit l'option 1

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Utilisateur anonyme · Answer

Re,

"a la racine du disque" veut dire:

Tu clic sur poste de travail ou "ordinateur",ensuite clic droit sur ton disque dur ,ensuite tu déroule et la tu "explore" et normalement tu devrait le trouver.

@+

elisa-91 · Answer

Youhouu,

ça a marché !! enfin en tout cas je peux de nouveau choisir ma page d'accueil
merci merci !

bon voici le rapport usbfix

A présent qu'est ce que je fais ?

 

-------------- UsbFix V2.413.2 ---------------

* User : ElisaD - ELISA
* Outils mis a jours le 01/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 21:11:02 le 04/12/2008
* Windows Xp - Internet Explorer 6.0.2900.2180 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\DOCUME~1\ElisaD\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

G: - Lecteur amovible

 
+- Contenu de l'autorun : G:\autorun.inf  

[autorun]
open=wscript.exe antinul.vbe
shell\open=Open
shell\open\Command=wscript.exe antinul.vbe


--------------- [ Lecteur C ] ---------------- 

C: - Lecteur fixe


+- Listing des fichiers présents :

[21/04/2007 19:19][---hs----] C:\AUTOEXEC.BAT   
[23/02/2007 11:49][-rahs----] C:\NTDETECT.COM   
[23/02/2007 11:55][-rahs----] C:\boot.ini   
[23/02/2007 11:12][--a------] C:\FSC-DeskUpdate.txt   
[23/02/2007 11:12][--a------] C:\UsbFix.txt   
[23/02/2007 10:58][--a------] C:\CONFIG.SYS   
[23/02/2007 10:58][--a------] C:\IO.SYS   
[23/02/2007 10:58][--a------] C:\MSDOS.SYS   
[23/02/2007 10:58][--a------] C:\pagefile.sys   

--------------- [ Lecteur D ] ---------------- 

D: - Lecteur fixe


+- Listing des fichiers présents :

[19/08/2004 16:10][--a------] D:\setupSNK.exe   

--------------- [ Lecteur G ] ---------------- 

G: - Lecteur amovible


+- Listing des fichiers présents :

[04/12/2008 21:11][-rahs----] G:\autorun.inf   
[04/12/2008 19:47][-rahs----] G:\antinul.vbe   
  
--------------- [ Registre / Startup ] ----------------   
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe"
  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
  
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
   Tok-Cirrhatus=
   WhenUSave="C:\Program Files\Save\Save.exe"
   WOOKIT=C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
   Sensiva=C:\Program Files\Sensiva\Sensiva.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   VTTimer=VTTimer.exe
   VTTrayp=VTtrayp.exe
   SoundMan=SOUNDMAN.EXE
   avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
   QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
   iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
   HP Software Update=C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
   <NO NAME>=
   PrnStatusMX=C:\Program Files\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL=
   Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI=
   NoChange=1
   Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS=
   Installed=1
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{41ee1751-9cf7-11dc-8616-00c0a8b9ee8a}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8e241c73-f976-11db-8572-00140b0701df}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a113e724-c208-11dc-8636-00c0a8b9ee8a}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a113e724-c208-11dc-8636-00c0a8b9ee8a}\Shell\open\Command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8bbca76-ccf0-11db-8514-00140b0701df}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e16f4ef6-280e-11dc-85b8-00c0a8b9ee8a}\Shell\AutoRun\command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
Supprimé ! - [03/10/2008 18:19][-rahs----] C:\WINDOWS\system32\antinul.vbe    
G:\autorun.inf ~> fichier appelé : "G:\wscript.exe antinul.vbe" ( absent ! )  
Supprimé ! - [23/02/2007 11:09][d--------] C:\fsc.tmp    
Supprimé ! - [04/12/2008 21:11][-rahs----] G:\autorun.inf    
Supprimé ! - [04/12/2008 19:47][-rahs----] G:\antinul.vbe    
Supprimé ! - [08/03/2008 14:48][dr-hs----] G:\Recycler\Recycler    
  
--------------- [ Resumé ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[21/04/2007 19:19][---hs----] C:\AUTOEXEC.BAT   
[23/02/2007 11:49][-rahs----] C:\NTDETECT.COM   
[23/02/2007 11:55][-rahs----] C:\boot.ini   
[19/08/2004 16:10][--a------] D:\setupSNK.exe   
 
--------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

Re,

Fait ceci maintenant STP.

-Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

- Mets le à jour

---
- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

@+

elisa-91 · Answer

Ok je vais faire ça mais c'est quoi Malwarebyte? grosso modo ça servira à quoi?

Merci
Elisa

Utilisateur anonyme · Answer

Re,


Sa va servir a finir le nettoyage "en gros" de ton pc.

Ensuite tu referas un rapport hijackthis pour contrôler cela.

@+

elisa-91 · Answer

ok ok !

bon j'ai installé malwarebyte, par contre "échec de la mise à jour", il me demande si mon pare feu est paramétrer pour autoriser malwarebyte à accéder à internet...?

qu'en penses-tu?

elisa-91 · Answer

Je peux lancer l'examen complet sans le mettre à jour?

Utilisateur anonyme · Answer

Re,

non tu doit le mettre à jour ,mais normalement au chargement il ce fait tout seul si tu n'as pas toucher au réglage.

Met fait le quand même au cas où.

@+

elisa-91 · Answer

oui effectvement il a essayé de leur faire tt seul lors du chargement mais ça a échoué 

et maintenant quand je l'ouvre et que je vais sur "mise à jour" il réessaie et une fenetre s'affiche : 
"echec de la mise à jour. Verrifiez que vous êtes connecté à Internet et que votre pare feu est paramétré pour autoriser malwarebyte's anti malware à accéder à internet.

donc quand tu me dit "fais le quand même au cas où"
tu veux dite :
- la mise jour (et dans ce cas là comment?)
- ou l'examen complet même sans mise à jour?

Merci bcp !

Utilisateur anonyme · Answer

Re,

Bon 

Quel version tu as de marquer?=>normalement c'est la 1.31.

@+

elisa-91 · Answer

Comment savoir de quelle version il s'agit?
Question bête je le sens bien...mais je ne vois pas

Merci

elisa-91 · Answer

Ah si ça y est !

Oui c 1.31

Qu'en dis-tu?

Utilisateur anonyme · Answer

Re,

Fait le scan complet de ton pc.STP.

merci.

@+

elisa-91 · Answer

voilà je viens de changer un truc sur l'onglet "mise à jour" il était possible de choisir "le site miroir de mise à jour", il y avait deux possibilités, j'ai changé pour mettre la deuxième et ça a fonctionné.

Succès de la mise à jour donc.

Je lance l'examen complet.

Merci

elisa-91 · Answer

Ca y est le scan est terminé, j'ai supprimé les infections et ci-dessous le rapport.

Sinon au redémarrage mon PC a affiché une fenetre dont l'intitulé était " Windows Script Host" et qui disait "Impossible de trouver le fichier script C:\WINDOWS\system32\antinul.vbe"

Que penses-tu de ça?

J'espere que tu es encore là...
En tt cas merci pour tout car jusqu'ici tout s'est super bien passé, tu m'a variment bcp aidé !!

Elisa

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1460
Windows 5.1.2600 Service Pack 2

04/12/2008 22:48:30
mbam-log-2008-12-04 (22-48-30).txt

Type de recherche: Examen complet (C:\|D:\|E:\|G:\|)
Eléments examinés: 93620
Temps écoulé: 41 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Windows XP Home-Pro-2003 SP2 Crack\KeyGen.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Program Files\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\save.db (Adware.WhenUSave) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re,

Fait un nouveau log hijackthis après avoir redémarrer normalement ton pc.

@+

elisa-91 · Answer

un "log hijackthis" ça signifie que je télécharge hijackthis j'execute et je 'envoie le rapport...?

Utilisateur anonyme · Answer

Re,

Tu la déjà hijackthis tu fait un rapport comme la première fois que tu l'utiliserais.

@+

elisa-91 · Answer

ok,

sauf que je ne sais pas où hijackthis s'est enregistré quand je l'ai téléchargé tt à l'heure, il n'est ni sur mon bureau, ni dans "tous les programmes"...
tout à l'heure je l'ai drectement éxecuter sans l'enregrister qqpart

je peux le retélécharger et recommencer non?

merci

Utilisateur anonyme · Answer

Re,

Fait ceci et après retélécharge le:

Télécharge toolscleaner sur ton Bureau : 

toolscleaner

* Double-clique sur ToolsCleaner2.exe et laisse le travailler 

* Clique sur Recherche et laisse le scan se terminer. 

* Clique sur Suppression pour finaliser. 

* Tu peux, si tu le souhaites, te servir des Options facultatives. 

* Clique sur Quitter, pour que le rapport puisse se créer. 

* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


@+

elisa-91 · Answer

Voici le rapport :

maintenant je redémarre et je retélécharge hijackthis c'est ça??

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\UsbFix.txt: trouvé !
C:\Documents and Settings\ElisaD\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\ElisaD\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Documents and Settings\ElisaD\Recent\UsbFix.lnk: trouvé !
C:\Documents and Settings\ElisaD\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\ElisaD\Bureau\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !


Fichiers temporaires nettoyés !
Corbeille vidée!
---------------------------------
-->- Suppression: 
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\ElisaD\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Documents and Settings\ElisaD\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\ElisaD\Bureau\UsbFix.lnk: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\Documents and Settings\ElisaD\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !

Utilisateur anonyme · Answer

Re,

Oui te redonne le lien:

télécharge hijackthis
->  enregistre la cible sous .... "le bureau" 

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse 

->Tuto hijackthis(Merci à Balltrap34)

@+

elisa-91 · Answer

Le rapport hijackthis est ci-dessous,

je viens de redémarrer (avt de lancer hijckthis) et maintenant au démarrage j'ai une fenetre qui apparait, je dois cliquer ok pour qu'elle disparaisse et ça dit
"windows script host"
"impossible de trouver le fichier script C:\WINDOWS\system32\antinul.vbe"

qu'est ce que c'est ? que puis-je faire?

Merci merci !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:53, on 04/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sensiva\Sensiva.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PrnStatusMX] C:\Program Files\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Sensiva] C:\Program Files\Sensiva\Sensiva.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Utilisateur anonyme · Answer

Re,

Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

Ensuite clique sur "Fix checked"

Et refait un hijackthis.

merci.

Utilisateur anonyme · Answer

Re,

Alors tu fixe cette ligne suivante:

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" 

Ensuite tu fait ceci STP:

installe NAVILOG1


Remarque concernant la détection de Navilog1 par certains programmes de sécurités :

Certains fichiers de Navilog1.exe peuvent être considérés comme dangereux et donc supprimés ou neutralisés par certains programmes de sécurités. Ce sont des faux positifs et dans certains cas, vous serez amener à désactiver votre protection le temps du téléchargement/utilisation de Navilog1.
/ !\ Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement. / !\

Utilisateurs de Windows Vista :

* Afin que Navilog1 puisse fonctionner correctement, il est recommandé de désactiver l'UAC pendant l'utilisation de Navilog1 (Installation, Utilisation). N'oubliez pas dès l'utilisation de Navilog1 terminé à réactiver l'UAC sur votre Ordinateur.
comment faire pour désactiver l'UAC

* A chaque fois que vous êtes amené à exécuter Navilog1.bat ou Navilog1.exe pour l'installation, ne double-cliquez pas sur le fichier ou raccourci mais faites un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".

Le lancement de l'installation de Navilog1 se fait en exécutant Navilog1.exe

(Si vous avez téléchargé navilog1.zip, Veuillez auparavant décompresser ce fichier)

Une fois l'installation terminé, pour lancer le fix :

- en utilisant le raccourci crée sur le bureau : Navilog1
- Via le poste de travail, en exécutant le fichier Navilog1.bat se trouvant dans %program files%Navilog1

Après le choix de la langue et les messages d'avertissement, le menu s'affiche.

Faite le choix 1

Effectue la vérification du système à la recherche de l'adware. Un scan avec catchme de GMER est également éffectué pour Windows XP. Cette analyse peut durer une dizaine de minutes. Patientez alors jusqu'au message «Analyse terminée le ....». Appuyez sur une touche comme demandé et le bloc note va souvrir , Enregistrez-le sur votre disque. Puis Ouvrez-le et Copiez-Collez l'intégralité de ce rapport sur le forum qui vous l'auras demandé.

(si le bloc-note ne s'ouvre pas : Rendez-vous dans votre poste de travail, à la racine du disque C vous trouverez le rapport sous le nom de fixnavi.txt)

Attention : Ne lancez-pas la partie désinfection (choix 2, 3 ou 4) sans l'avis/accord express de l'Helper qui vous as pris en charge sur le forum d'aide ou vous aurez exposer votre problème.

Utilisateur anonyme · Answer

Re, Laiise tomber en fait . Fixe la ligne =>O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" Et fait ceci a la place: > Fais un scan en ligne avec Kaspersky : Kaspersky N.B. : Le scan ne marche que sous Internet Explorer. - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire. - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. - On va te demander de télécharger un contrôle active x, accepte . - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer. - Poste le rapport qui sera généré stp. (clique sur puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension). S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : clic ici Rappel : le scan est à faire sous Internet Explorer Tuto ici si problème NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers"). @+

elisa-91 · Answer

a quoi servirait ce nouveau scan?

Avec avast ça marcherai pas?

J'ai l'impression d'avoir déja pas mal avancé depuis le début, qu'en penses-tu?
j'ai l'impression d'avoir réglé le pb et j'irai bien dormir  :-)

Selon toi, que reste-t-il à faire et pourquoi?

Merci
Elisa

Utilisateur anonyme · Answer

Re,

As tu fixer la ligne?

Ensuite le scan diras si oui ou non c bon.

Ensuite te dirais quoi faire pour finir.

On peut continuer et finir demain.

@+

Utilisateur anonyme · Answer

Re,

Oui serait présent et fidèle au poste.

@+

Analyse rapport HijackThis

39 réponses

Discussions similaires

Newsletters