Résolu : Aide Analyse Rapport hijackthis

[Gof]

Bonsoir noctoresse

 

Bon, désinstalle ton Windows Registry Repair Pro, il y a d'autres nettoyeurs beaucoup plus fiables et moins ambigus. Désinstalle le par le Panneau Ajout/Suppression de programmes.

 

Ensuite, télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Attention ce script est adapté à ce cas particulier, ne pas l'utiliser sur d'autres systèmes (pour les lecteurs).
  

[noctoresse]

Deuxième rapport ComboFix :

 

ComboFix 08-07-27.5 - PLS-FOS 2008-07-30 0:38:35.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.265 [GMT 2:00]

Endroit: C:\Documents and Settings\PLS-FOS\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\PLS-FOS\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\SET51.tmp

C:\WINDOWS\SET54.tmp

C:\WINDOWS\SET60.tmp

C:\WINDOWS\system32\beep.sys

C:\WINDOWS\system32\dllcache\winlogon.exe

C:\WINDOWS\system32\g42.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\3B Software

C:\Program Files\3B Software\Registry Repair Pro\backup\Undo_2008_7_25 15_41.reg

C:\Program Files\3B Software\Registry Repair Pro\backup\Undo_2008_7_25 15_56.reg

C:\Program Files\3B Software\Registry Repair Pro\backup\Undo_2008_7_25 18_33.reg

C:\Program Files\3B Software\Registry Repair Pro\backup\Undo_2008_7_28 12_37.reg

C:\Program Files\3B Software\Registry Repair Pro\RegistryRepairPro.log

C:\Temp

C:\WINDOWS\SET51.tmp

C:\WINDOWS\SET54.tmp

C:\WINDOWS\SET60.tmp

C:\WINDOWS\system32\6358

C:\WINDOWS\system32\6358\~!16674p.spt

C:\WINDOWS\system32\beep.sys

C:\WINDOWS\system32\carH18

C:\WINDOWS\system32\carH18\carH182328.exe

C:\WINDOWS\system32\dapi

C:\WINDOWS\system32\dllcache\winlogon.exe

C:\WINDOWS\system32\g42.exe

C:\WINDOWS\system32\IP3

C:\WINDOWS\system32\kBin02

C:\WINDOWS\system32\ole

C:\WINDOWS\system32\olixds18

C:\WINDOWS\system32\ver

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-29 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-29 16:48 . 2008-07-29 16:48 <REP> d-------- C:\Documents and Settings\PLS-FOS\Application Data\AdobeUM

2008-07-29 15:35 . 2008-07-29 15:47 <REP> d-------- C:\fixwareout

2008-07-29 15:17 . 2008-07-29 15:32 <REP> d-------- C:\Program Files\Navilog1

2008-07-29 15:13 . 2008-07-29 15:27 1,984 --a------ C:\WINDOWS\system32\tmp.reg

2008-07-28 22:32 . 2008-07-29 23:17 591,904 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-07-28 22:32 . 2008-07-29 23:17 7,136 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-07-28 22:29 . 2008-07-28 22:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-07-28 22:29 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe

2008-07-28 22:29 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll

2008-07-28 22:29 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll

2008-07-28 22:29 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll

2008-07-28 22:29 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll

2008-07-28 16:27 . 2006-03-09 18:20 <REP> d--h----- C:\Documents and Settings\PLS-FOS\Voisinage réseau

2008-07-28 16:27 . 2006-03-09 18:20 <REP> d--h----- C:\Documents and Settings\PLS-FOS\Voisinage d'impression

2008-07-28 16:27 . 2008-07-28 11:57 <REP> d--h----- C:\Documents and Settings\PLS-FOS\Modèles

2008-07-28 16:27 . 2008-07-29 17:22 <REP> dr------- C:\Documents and Settings\PLS-FOS\Mes documents

2008-07-28 16:27 . 2006-03-09 18:20 <REP> dr------- C:\Documents and Settings\PLS-FOS\Menu Démarrer

2008-07-28 16:27 . 2008-07-28 22:20 <REP> dr------- C:\Documents and Settings\PLS-FOS\Favoris

2008-07-28 16:27 . 2008-07-30 00:38 <REP> d-------- C:\Documents and Settings\PLS-FOS\Bureau

2008-07-28 16:27 . 2008-07-29 17:32 <REP> d-------- C:\Documents and Settings\PLS-FOS

2008-07-28 16:19 . 2008-07-28 16:20 <REP> d-------- C:\WINDOWS\system32\NtmsData

2008-07-28 16:18 . 2008-07-28 16:18 <REP> d-------- C:\Documents and Settings\LocalService\Bureau

2008-07-28 14:57 . 2008-07-28 22:33 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2008-07-28 14:56 . 2008-07-28 14:56 <REP> d-------- C:\Program Files\Zone Labs

2008-07-28 14:55 . 2008-07-30 00:35 <REP> d-------- C:\WINDOWS\Internet Logs

2008-07-28 14:04 . 2008-07-28 14:04 <REP> d-------- C:\Program Files\Alwil Software

2008-07-28 13:20 . 2008-07-28 13:20 <REP> d-------- C:\Program Files\Trend Micro

2008-07-28 12:25 . 2008-07-28 12:25 1,374 --a------ C:\WINDOWS\system32\wpa.bak

2008-07-28 12:15 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

2008-07-28 12:14 . 2004-08-05 14:00 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\smtpsnap.dll

2008-07-28 12:12 . 2008-07-28 12:12 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

2008-07-28 12:12 . 2008-07-28 12:12 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

2008-07-28 12:12 . 2008-07-28 12:12 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

2008-07-28 12:12 . 2008-07-28 12:12 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

2008-07-28 12:12 . 2008-07-28 12:12 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

2008-07-28 12:12 . 2008-07-28 12:12 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

2008-07-25 16:05 . 2008-07-25 16:05 230 --a------ C:\WINDOWS\system32\spupdsvc.inf

2008-07-25 16:02 . 2006-11-17 20:28 66,048 --a------ C:\WINDOWS\ieResetIcons.exe

2008-07-25 14:30 . 2008-07-25 14:30 0 --a------ C:\WINDOWS\nsreg.dat

2008-07-25 13:22 . 2008-07-25 13:22 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll.install_backup

2008-07-23 07:32 . 2008-07-23 07:32 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\SAMSUNG

2008-07-04 14:26 . 2008-07-04 14:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc

2008-07-04 14:25 . 2008-07-04 14:25 <REP> d-------- C:\Program Files\VLC

2008-07-04 14:23 . 2008-07-04 14:23 9,730,075 --a------ C:\Program Files\vlc-0.8.6f-win32.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-29 15:32 91,648 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp

2008-07-28 20:40 --------- d-----w C:\Program Files\Java

2008-07-25 14:18 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-07-25 14:13 --------- d-----w C:\Program Files\Altiris

2008-07-25 07:07 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM

2008-07-18 15:31 --------- d-----w C:\Program Files\Google

2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll

2008-05-30 14:25 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\ntr

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"SetRefresh"="C:\Program Files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-06 15:22 524800]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-14 12:52 413696]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]

 

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

Calc.exe [2006-03-30 15:23:31 471040]

 

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Deewoo.lnk]

 

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^DW_Start.lnk]

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{67-73-31-1B-DW}

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\srmclean]

--a------ 2001-07-24 23:34 36864 C:\cpqs\scom\srmclean.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\StubInstaller.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]

S0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys []

S1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys []

S2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys []

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-30 00:40:46

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-07-30 0:42:01

ComboFix-quarantined-files.txt 2008-07-29 22:41:57

ComboFix2.txt 2008-07-29 21:26:52

ComboFix3.txt 2008-07-28 11:46:43

 

Pre-Run: 42,515,046,400 octets libres

Post-Run: 42,500,182,016 octets libres

 

150 --- E O F --- 2008-07-29 15:32:26

[Gof]

Re

 

Télécharge 1.reg sur ton bureau.

Double-clique dessus, et accepte la fusion.

Cela sera très rapide.

Supprime le fichier 1.reg

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Il devrait trouver pas mal d'éléments, car il détectera sans doute les quarantaines des outils déjà utilisés. Donc, pas de panique

[noctoresse]

Voici le résultat :

 

Malwarebytes' Anti-Malware 1.23

Version de la base de données: 1008

Windows 5.1.2600 Service Pack 2

 

01:03:20 30/07/2008

mbam-log-7-30-2008 (01-03-20).txt

 

Type de recherche: Examen rapide

Eléments examinés: 40635

Temps écoulé: 4 minute(s), 15 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\XXXPlugin (DNS.Hijack) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Gof]

Bonjour noctoresse

 

Eh bien, l'analyse fut beaucoup plus rapide que je n'aurais cru. Je vais te faire désinstaller les outils utilisés, effectuer quelques mises à jour, et confirmer par une dernière analyse en ligne. Comment se comporte le pc ?

 

 

 

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  
• Clique sur Search For Updates
  
• Sélectionne Update Using jucheck.exe puis clique sur Search
  
• Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
  
• Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
  Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

 

 

 

Rends toi dans ton Menu Démarrer > Exécuter et tape :

• combofix /u
  

 

 

Puis, assure toi que les répertoires et fichiers suivants soient supprimés, sinon supprime les :

 

• Sur ton bureau :
  • le fichier combofix.exe si encore présent.
    
  • le fichier "diaghelp.zip" et le répertoire dans lequel tu l'as décompressé.
    
  • le fichier "JavaRa.zip" et le répertoire dans lequel tu l'as décompressé.
    
  • le fichier ou les fichiers "CFScript.txt"
    
  • le fichier 1.reg si encore présent.
    
  • le fichier FixWareout.exe
    
  • Le fichier SmitfraudFix.zip et le répertoire dans lequel tu l'as décompressé.
    

 

 

• Dans les emplacements indiqués, supprime les éléments suivants :
  • C:\upload_moi_PC-FOS.tar.gz <- ce fichier
    
  • C:\QooBox <- ce répertoire si présent
    
  • c:\Diff.exe <- ce fichier
    
  • c:\grep.exe <- ce fichier
    
  • c:\ntbtlog_check.txt <- ce fichier
    
  • c:\reboot.cmd <- ce fichier
    

 

 

 

Rends toi dans ton Panneau de configuration > Ajout/Suppression de programmes afin de désinstaller les versions obsolètes de ces programmes. Ils introduisent des vulnérabilités dans ton système qui pourraient être exploités sur l'internet. Certains programmes ont été désinstallés par l'exécution des outils, les faire supprimer par ce panneau permettra d'ôter les lignes obsolètes (puisque les programmes sont déja désinstallés) du panneau :

• Adobe Reader 6.0
  
• Navilog1
  
• HijackThis 2.0.2 si tu le souhaites.
  

 

Vide ta corbeille.

 

 

Rends toi sur le(s) lien(s) suivant(s) afin de télécharger des versions à jour des programmes que je t'ai fait désinstaller :

• Adobe Reader : http://www.adobe.com/fr/products/acrobat/readstep2.html
  
• Les autres produits désinstallés et nécessitant une réinstallation l'ont été automatiquement (JAVA).
  

 

 

 

Consulte ce lien afin de te rendre compte de la nécessité d'installer une version d'internet explorer à jour :

IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? de Malekal Morte

• Tu pourras télécharger la dernière version ici :

http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

 

 

Voilà les mises à jour impératives à faire, et les manipulations de désinstallation et suppression des outils utilisés. Lorsque tu auras fait tout cela, effectue une analyse en ligne comme indiqué ci-dessous :

 

 

Télécharge ATF Cleaner par Atribune.

• Déconnecte toi et ferme ton navigateur.
  
• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

 

Fais un scan en ligne Kaspersky avec Internet Explorer :

• Clique sur
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

 

AIDE : Configurer le contrôle des ActiveX

 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Pendant l'analyse en ligne, je t'invite à un peu de lecture :

 

Comme LimeWire est présent sur le pc : d'une part, les logiciels de P2P (parfois) mais surtout l'utilisation que l'on en a (majorité des cas) sont les principaux vecteurs d'infection ! Quelques topics pour t'en convaincre :

• Liste de clients P2P infectés
  
• le P2P et ses conséquences et Le crack et ses conséquences par Tesgaz
  
• Le danger des cracks par Malekal morte
  
• Point législation
  

 

 

A bientôt avec le rapport de l'analyse en ligne ; indique moi si tu as pu tout effectuer sans soucis, et comment va le PC.

[noctoresse]

Bonjour,

Je vois que j'ai du boulot pour ce soir !

Hiers soir j'ai refais un deuxième scan minutieux avec Malwarebytes' Anti-Malware, il a bien trouvé quelques fichiers en quarantaine.

Les autres, je les avais déjà viré car je pars du principe que si un programme n'arrive pas à réparer les défauts, je ne vois pas l'intérêt

de conserver ces fichiers en quarantaine.

D'une manière générale le PC est assez stable depuis depuis le début de ton aide :

- à priori pas de processus inutiles dans le gestionnaire de taches,

- peu de services au démarrage dans msconfig.

 

Comment supprimer les services pour éviter de rester en démarrage sélectif avec ces services déactivés ?

Quid de SetRefresh (Compaq), de Srmclean.exe et MDM ?

Je ne sais pas si la liste services proposés dans l'onlet service est correcte !

 

Pour info ce PC n'est pas le mien et je ne pouvais pas me permettre de redémarrer à zéro (formatage + installation de XP).

Je vais demander au proriétaire si je peux virer LimeWire.

 

Ou en est-on de la bataille AVAST vs ANTIVIR? Pour ma part je n'est jamais eu de soucis avec Avast associé à ZoneAlarm.

 

A bientôt.

[Gof]

Re noctoresse

 

J'attends le résultat de ton analyse en ligne, et je réponds à toutes tes questions en même temps

[noctoresse]

Alors voici le résultat des courses, il me parait bon.

 

Le rapport Java :

 

JavaRa 1.10 Removal Log.

 

Report follows after line.

 

------------------------------------

 

The JavaRa removal process was started on Wed Jul 30 17:20:05 2008

 

Found and removed: C:\Program Files\Java\j2re1.4.2_01

 

Found and removed: C:\Program Files\Java\jre1.5.0_08

 

Found and removed: C:\Program Files\Java\jre1.6.0_03

 

Found and removed: C:\Program Files\Java\jre1.6.0_05

 

Found and removed: C:\Windows\Installer\{7148F0A8-6813-11D6-A77B-00B0D0142010}

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.4

 

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03

 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_05

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_05

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_05

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_08

 

Found and removed: SOFTWARE\Classes\JavaPlugin.150_08

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_08

 

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150080}

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBB}

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBB}

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}

 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}

 

Found and removed: SOFTWARE\Classes\JavaPlugin.160_03

 

Found and removed: SOFTWARE\Classes\JavaPlugin.160_05

 

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160050}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510008

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610003

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610005

 

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510008

 

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610003

 

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610005

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7148F0A8-6813-11D6-A77B-00B0D0142010}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\23B06123E6D18D74FA6711404FCAC1B8

 

------------------------------------

 

Finished reporting.

 

 

 

Le rapport Kaspersky :

 

 

 

KASPERSKY ON-LINE SCANNER REPORT

 

Wednesday, July 30, 2008 10:37:55 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 30/07/2008

Enregistrements dans la base antivirus Kaspersky : 1029644

 

 

 

 

 

Paramètres d'analyse Analyser avec la base antivirus suivante étendue

 

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse

 

Poste de travail

C:\

 

Statistiques de l'analyse

 

Total d'objets analysés 92995

Nombre de virus trouvés 0

Nombre d'objets infectés 0

Nombre d'objets suspects 0

 

Durée de l'analyse 01:54:17

 

Nom de l'objet infecté Nom du virus Dernière action

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\Cookies\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\Cookies\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\Local Settings\Historique\History.IE5\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\Local Settings\Historique\History.IE5\MSHist012008073020080731\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\Local Settings\Temporary Internet Files\Content.IE5\index.dat

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\NTUSER.DAT

L'objet est verrouillé

ignoré

 

C:\Documents and Settings\PLS-FOS\ntuser.dat.LOG

L'objet est verrouillé

ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat

L'objet est verrouillé

ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db

L'objet est verrouillé

ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log

L'objet est verrouillé

ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Internet Logs\fwdbglog.txt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Internet Logs\fwpktlog.txt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Internet Logs\IAMDB.RDB

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Internet Logs\PC-FOS.ldb

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Internet Logs\tvDebug.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\SchedLgU.Txt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb

L'objet est verrouillé

ignoré

 

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb

L'objet est verrouillé

ignoré

 

C:\WINDOWS\SoftwareDistribution\EventCache\{1EE1AED8-3493-4A59-995D-F4B3E94CFADA}.bin

L'objet est verrouillé

ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\Sti_Trace.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\CatRoot2\edb.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\CatRoot2\tmp.edb

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\Antivirus.Evt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\default

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\DEFAULT.LOG

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\Internet.evt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\sam

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\SAM.LOG

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\security

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\software

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\SOFTWARE.LOG

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\system

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\config\SYSTEM.LOG

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\drivers\fidbox.dat

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\drivers\fidbox.idx

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\h323log.txt

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

L'objet est verrouillé

ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

L'objet est verrouillé

ignoré

 

C:\WINDOWS\temp\Perflib_Perfdata_708.dat

L'objet est verrouillé

ignoré

 

C:\WINDOWS\temp\ZLT01b59.TMP

L'objet est verrouillé

ignoré

 

C:\WINDOWS\temp\ZLT04471.TMP

L'objet est verrouillé

ignoré

 

C:\WINDOWS\wiadebug.log

L'objet est verrouillé

ignoré

 

C:\WINDOWS\wiaservc.log

L'objet est verrouillé

ignoré

 

Analyse terminée.

[noctoresse]

Nouvelles questions !

 

J'envisage d'utiliser Mozilla à la place de IE7.

Est-il moins vulnérable aux attaques ?

Si la réponse est OUI, suis je obligé de mettre à jour IE puisque à priori on ne peut pas le supprimer.

 

Est-il recommandé d'utiliser régulièrement un nettoyeur de base de registre?

Lequel me conseilles tu, simple à utiliser et en français si possible ?

 

ENCORE MERCI POUR TOUTE TON AIDE

[Gof]

Bonsoir noctoresse

 

Le rapport d'analyse en ligne est propre. Bon boulot

 

Tes questions.

 

Comment supprimer les services pour éviter de rester en démarrage sélectif avec ces services déactivés ?

En suivant ces indications, tu peux les désactiver complètement :

Va dans Démarrer > Exécuter et tape Services.msc puis OK

• Choisis le mode "Etendu" (onglets inférieurs)
  
• Grâce à la barre de défilement (à droite) recherche le service suivant:
  

• Nom du service
  

• Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
  
• Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
  
• Puis déroule le Type de Démarrage pour le modifier en Désactivé
  
• Cliquer sur Appliquer puis OK
  
• Ferme la fenêtre.
  

Si tu désires les supprimer définitivement, il est plus propre de désinstaller l'application associée via ton Panneau de configuration>Ajout/Suppression de programmes.

 

Quid de SetRefresh (Compaq), de Srmclean.exe et MDM ?

Srmclean.exe ->installe et exécute SoundMax SoftPaq

MDM ->Le processus mdm.exe (mdm signifiant Machine Debug Manager) est un processus générique de Windows NT/2000/XP servant à déboguer les applications. Ce service est destiné aux utilisateurs avancés ou aux développeurs et est installé par l'éditeur de scripts Microsoft fourni avec Microsoft Office.

SetRefresh -> http://www.sysinfo.org/startuplist.php?filter=SetRefresh

 

Ou en est-on de la bataille AVAST vs ANTIVIR? Pour ma part je n'est jamais eu de soucis avec Avast associé à ZoneAlarm.

On en est au même point. Toujours une réactivité longuette aux infections remontées. Comme sue le sujet proposé par Malekal morte,

J'ai Avast! depuis deux ans et j'ai jamais eu de prb :

Voila une des réactions qui fait qu'on "refourgue" Avast! a ses amis.

On en déduit qu'Avast! est un bon antivirus car aucune infection, c'est déjà assez réducteur. Si on ne met pas son ordinateur en péril, je veux dire par là :

-- télécharger des cracks ou visiter des sites de cracks

-- télécharger des cracks et autres fichiers non sûr sur les réseaux P2P

-- visiter des sites ponographiques.

Alors on ne risque absolument rien, c'est pourquoi on peut avoir n'importe quel antivirus... on aura aucune infection. Beaucoup d'internautes ne savent pas comment les infections s'installent sur leur ordinateur, s'ils n'ont pas été infecté ou si leur antivirus détecte un virus une fois l'an, ils en déduisent que leur antivirus est performant.

Le sujet Avast! VS Antivir et une mise à jour Avast! VS Antivir VS AVG 8.

 

 

J'envisage d'utiliser Mozilla à la place de IE7.

Est-il moins vulnérable aux attaques ?

Si la réponse est OUI, suis je obligé de mettre à jour IE puisque à priori on ne peut pas le supprimer.

Tout est relatif depuis l'apparition de IE7. Avec IE6 il n'y avait pas d'ambiguïtés. Ce qui fait la force de Fiirefox est la gestion des modules complémentaires (avec des extensions telles que Noscript, AdBlock, etc.) qui permettent de désactiver beaucoup d'éléments dérangeants sur les pages Web, voire malicieux sur certains sites.

 

En tout las cas, il est recommandé de continuer à effectuer les mises à jour de IE en parallèle.

 

Est-il recommandé d'utiliser régulièrement un nettoyeur de base de registre?

Il y a les partisans du Oui, et ceux du Non. ^^ J'estime qu'un nettoyage BDR est le bienvenue suite la désinstallation d'un logiciel, pour en ôter d'éventuels restes non pris en charge par l'outil de désinstallation natif. Mais les "nettoyages BDR d'optimisation" ne me semblent pas très utiles.

 

En nettoyeur, tu as l'embarras du choix, qui ne regarde que toi (JV16 en version gratuite, CCleaner, EasyCleaner, etc). Ils sont tous disponibles sur Zebulon.

 

 

 

A mon tour je vais te demander un service, je vais te demander de rapporter ton infection sur Malware Complaints.

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

Dans ton cas, le sujet "autres infections" sera le plus approprié. Tu as été infecté par divers rogues (de type Smitfraud), du Navipromo et des variantes Vundo.

 

 

 

Pense à changer le titre et y rajouter " Résolu" stp. Pour cela, clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".

 

 

As-tu d'autres questions ?