encore Au travail

Lolla · le 27 Jan 2009 19:21

J'ai suivi les étapes et le malwarebytes a détecter 3 malware voici le rapport affiché:
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1698
Windows 5.1.2600 Service Pack 2

27/01/2009 19:05:49
mbam-log-2009-01-27 (19-05-44).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 145092
Temps écoulé: 1 hour(s), 21 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:System Volume Information\_restore{A9801E0F-C352-4A29-B595-7ED8B42CB51A}RP44A0017566.exe (Adware.NetPumper) -> No action taken.
C:System Volume Information\_restore{A9801E0F-C352-4A29-B595-7ED8B42CB51A}RP44A0017571.exe (Adware.NetPumper) -> No action taken.
C:Program Files4arabnetwork4arabnetworkToolbarHelper.exe (Adware.NetPumper) -> No action taken.
Merci de m'aider ce virus il m'a vraiment géné!!!!

r@in | b0w · le 27 Jan 2009 19:36

Bonjour.

Tu parles du message quand tu es sur Internet stipulant qu'il faut se mettre au travail?

Si oui, Mbam ne peut rien contre cette vermine.

Tu suis ce tutorial et tu nous postes le rapport.

Pour l'analyse Mbam, tu peux de toute façon tout supprimer sans problème.

Ask to Old Man · le 27 Jan 2009 22:40

Suite erreur de bouton:

lolla a écrit: Posté le: 27 Jan 2009 20:34 Sujet: encore le virus au travail
j'ai suit les étapes que vous m'avez donné mais Aprés l'analyse de HijackThis il y a qq lignes que je peux pas les supprimés. le message suivant s'affiche la modification du registre a été désactivée par votre administrateur. que puisse je faire pour activer la modification de registrer?

r@in | b0w · le 27 Jan 2009 22:41

En fait, ce sont deux erreurs de bouton! Le sujet initial est ici:

http://www.pc-infopratique.com/forum-in ... 42515.html

Edit AtOM:...Vu trop tard !! :-?

Lolla · le 24 Fév 2009 10:48

j'ai suuprimé le virus au travail, mais il me visite encore une fois.
voila mon rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:46:29, on 24/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32wscript.exe
C:WINDOWSsystem32WgaTray.exe
C:WINDOWSExplorer.EXE
C:Program Filesa-squared Freea2service.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSATK0100HControl.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSATK0100ATKOSD.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Au travail !Arrêtez de surfer!
R3 - URLSearchHook: 4arabnetwork Toolbar - {bc3c23f1-29f3-4a1e-8d7e-f365b7524f93} - C:Program Files4arabnetwork b4ara.dll
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32antinul.vbe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:Program FilesGoogleGoogle ToolbarGoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier5.0.926.3450swg.dll
O2 - BHO: 4arabnetwork Toolbar - {bc3c23f1-29f3-4a1e-8d7e-f365b7524f93} - C:Program Files4arabnetwork b4ara.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:Program FilesGoogleGoogle ToolbarComponentfastsearch_219B3E1547538286.dll
O3 - Toolbar: 4arabnetwork Toolbar - {bc3c23f1-29f3-4a1e-8d7e-f365b7524f93} - C:Program Files4arabnetwork b4ara.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:Program FilesGoogleGoogle ToolbarGoogleToolbar.dll
O4 - HKLM..Run: [igfxtray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [igfxhkcmd] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [igfxpers] C:WINDOWSsystem32igfxpers.exe
O4 - HKLM..Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [NeroFilterCheck] C:Program FilesFichiers communsAheadLibNeroCheck.exe
O4 - HKLM..Run: [HControl] C:WINDOWSATK0100HControl.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKCU..Run: [HijackThis startup scan] C:Program FilesTrend MicroHijackThisHijackThis.exe /startupscan
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O4 - HKCU..Run: [deadcurb] C:DOCUME~1ADMINI~1APPLIC~1NURBST~1coalkeep.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..RunOnce: [nLite] %systemroot%inf
lite.cmd (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-20..RunOnce: [nLite] %systemroot%inf
lite.cmd (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUSS-1-5-18..RunOnce: [tscuninstall] %systemroot%system32 scupgrd.exe (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - HKUS.DEFAULT..RunOnce: [tscuninstall] %systemroot%system32 scupgrd.exe (User 'Default user')
O4 - Startup: YahooMessenger.lnk = ?
O4 - Global Startup: .vbs
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~1OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~1OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/ ... 4075980765
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 4074353156
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:Program Filesa-squared Freea2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: Seekeen Service - Unknown owner - C:Documents and SettingsAll UsersApplication DataSeekeenseekeen140.exe (file missing)

--
End of file - 8130 bytes
Merci d'avance!!!

Ask to Old Man · le 24 Fév 2009 10:56

Bonjour,

En premier lieu,méthode à lire & à appliquer !!
En second lieu, être attentif aux sites ou tu navigues,
ainsi que réfléchir un peu avant de cliquer çà & là!!

r@in | b0w · le 24 Fév 2009 19:00

Bonjour.

Je vais t'aider pour cette fois car il y a plusieurs choses.

Tu supprimes les lignes:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32antinul.vbe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKCU..Run: [HijackThis startup scan] C:Program FilesTrend MicroHijackThisHijackThis.exe /startupscan
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

Ensuite, tu suis le tutorial avec la suppression des fichiers infectés avec le fichier .bat.

De plus, tu relances Mbam jusqu'à ce qu'il ne trouve plus rien à supprimer car il reste une légère infection.

encore Au travail

encore Au travail

Sujets similaires

Qui est en ligne