Demande d'analyse Hijack

[Malekal_morte]

Copie / colle les lignes suivantes dans bloc notes : (sans le quote)

 

cd %systemdrive%\

If not exist lsafiles MkDir lsafiles

regedit /a /e lsafiles\1.txt HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Safeboot\Minimal

regedit /a /e lsafiles\2.txt HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Safeboot\Minimal

regedit /a /e lsafiles\3.txt HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Safeboot\Network

regedit /a /e lsafiles\4.txt HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Safeboot\Network

regedit /a /e lsafiles\5.txt HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot\Minimal

regedit /e /a lsafiles\6.txt HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot\Network

Copy lsafiles\*.txt = %systemdrive%\lsa.txt

rmdir /s /q lsafiles

Notepad %systemdrive%\lsa.txt

del /q %systemdrive%\lsa.txt

 

 

Sauver sur le Bureau comme inspect.bat.

Type: Tous les fichiers (not as a text document or it wont work).

Nom: inspect.bat

 

Double clic inspect.bat . Le bloc note ouvre lsa.txt. Copier/coller dans post. Ferme le bloc-notes et le fichier sera effacé.

 

_____

 

 

 

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

 

Scan en ligne avec Kaspersky :

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.

- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Scan le poste de travail

- Copie/colle le rapport du scan ici

 

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[lolo77]

Nom: inspect.bat

REGEDIT4

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot\Minimal]

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot\Minimal\WebrootSpySweeperService]

@="Service"

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot\Network]

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot\Network\WebrootSpySweeperService]

@="Service"

_____

 

Scan en ligne avec Kaspersky :

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Sunday, April 22, 2007 9:31:58 AM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 22/04/2007

Enregistrements dans la base antivirus Kaspersky : 300278

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Zones critiques:

C:\WINDOWS

C:\DOCUME~1\Karine\LOCALS~1\Temp\

 

Statistiques de l'analyse:

Total d'objets analysés: 14286

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:16:16

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{A8E2AD38-3AAB-44A6-AB1A-CAFF55C2BAE7}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\dtscsi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd9485.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcafee_1aonwvtxudFzm9u L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcafee_cadpVYjz9OBjccL L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcafee_NkRsZZm5mv1fgKg L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcmsc_ko5CatuUZhLcJgd L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcmsc_LBKHauqbZQsEcd8 L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcmsc_ssvUN6uPptgDFZI L'objet est verrouillé ignoré

C:\WINDOWS\Temp\mcmsc_uocwWUL7PIpN5HE L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_b5c.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_bITMoRyPt0Mhf9F L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_f0tqjZHsfdoghUK L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_iuahlUDwoSFEB3y L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_LNaWPSmVuZ92cUt L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_OzX4b74Ilxwcaq0 L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_YqwhrnxT5IjKDTo L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\DOCUME~1\Karine\LOCALS~1\Temp\tmp000030c9\tmp00000000 L'objet est verrouillé ignoré

C:\DOCUME~1\Karine\LOCALS~1\Temp\WCESLog.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

 

 

scan en ligne avec Panda :

 

Incident Status Location

 

Adware:adware/statblaster Not disinfected Windows Registry

Modifié le 22 avril 2007 par lolo77

[Malekal_morte]

Télécharge sur ton bureau : http://www.malekal.com/download/SafeBoot.reg

Double-clic dessus et accepte l'inscription des données.

 

Essaye de redémarrer en mode sans échec en tapotant sur la touche F8 avant le logo de Windows.

!! Ne redémarre pas en mode sans echec en activant SafeBoot dans msconfig !!

 

Pour ton pare-feu, je pense que tu parles de celui de MacAfee.

Tu as eu une infection Baggle.

Ce dernier supprime des éléments de l'antivirus, as-tu tenté de réinstaller MacAfee ?

[lolo77]

j'ai editer mon post precedent (kaspersky)

bit defender n'a rien trouvé...

 

Télécharge sur ton bureau : http://www.malekal.com/download/SafeBoot.reg

Double-clic dessus et accepte l'inscription des données.

=> ok

 

Essaye de redémarrer en mode sans échec en tapotant sur la touche F8 avant le logo de Windows.

!! Ne redémarre pas en mode sans echec en activant SafeBoot dans msconfig !!

=> toujkours l'ecran bleu au demarrage en mode sans echec !!!!

 

Pour ton pare-feu, je pense que tu parles de celui de MacAfee.

Tu as eu une infection Baggle.

Ce dernier supprime des éléments de l'antivirus, as-tu tenté de réinstaller MacAfee ?

=> je vais le faire....

 

je repasse un coup spy sweeper...

[lolo77]

je repasse un coup spy sweeper...

=> trouve toujours adware :

hotbar/zango

suchspur

 

que fais je ?

[Malekal_morte]

Bha tu peux les supprimer mais ce sont des adwares..

c'est rien du tout..

 

Réinstalle MacAfee..

[lolo77]

comment les supprime-t-on ?

=> ok, base de registre, avec mes gros doigts.....

 

Réinstalle MacAfee..=OK

Modifié le 22 avril 2007 par lolo77

[lolo77]

je me pose une question "bête" :

 

quand on redemarre en "mode sans echec", seulement certains drivers de base sont chargés,

 

Pour un PC utilisant un driver (iastor : intel matrix storage) pour disque sata, de ne pas pouvoir demarrer ?

 

Dans quels fichiers sont definis les drivers à charger ? est-ce modifiable ?

Modifié le 22 avril 2007 par lolo77

[Malekal_morte]

Yep il doit être necessaire.

 

Télécharge et lance ce tool : http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe

Il devrait recréer la clef SafeBoot à partir d'un point de restauration.

 

Un rapport va être généré poste le ici.

 

Ca donne quoi pour le firewall ?

[lolo77]

résultat :

 

No usable backups found. The entry has to be manually reconstructed

 

mais je m'y attendais...j'avais arreté la surveillance des disques lors de nettoyage et fais le menge dans tout ce qui pouvait contenir de M.....

 

La suite Mcafee a été désinstallée et réinstallée cela a l'air normal.