désinfection d'un pc portable

[loupatoche33]

Je voudrais optimiser l'ordi de ma femme.

 

J'ai fait un premier nettoyag par ATF-CLEANER ET MALWAREBYTE

 

ET APRES ?

[Apollo]

Re,

 

Poste le rapport de MBAM stp; il est sous l'onget rapports/logs dans l'interface de MBAM (le dernier de la liste).

 

Fais ensuite ceci:

 

Télécharge HijackThisV2 dans un nouveau dossier créé sur C:\ nomme-le HJT.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

 

@++

[loupatoche33]

VOICI LES 2 RAPPORTS

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3826

Windows 6.0.6000

Internet Explorer 7.0.6000.16982

 

05/03/2010 17:52:29

mbam-log-2010-03-05 (17-52-29).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 238115

Temps écoulé: 1 hour(s), 12 minute(s), 13 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 9

Fichier(s) infecté(s): 7

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Users\nathalie\AppData\Roaming\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\db (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\dwld (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\report (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\res1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Program Files\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Program Files\ShoppingReport\cs (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Program Files\Video ActiveX Access (Trojan.Zlob) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\Config.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\db\Aliases.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\db\Sites.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\dwld\WhiteList.xip (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\report\aggr_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\report\send_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Users\nathalie\AppData\Roaming\ShoppingReport\cs\res1\WhiteList.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.

 

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:38:02, on 05/03/2010

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16982)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE

C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE

C:\Windows\system32\igfxext.exe

C:\Windows\system32\igfxsrvc.exe

C:\Users\nathalie\AppData\Local\Temp\RtkBtMnt.exe

C:\Windows\system32\taskeng.exe

C:\Windows\System32\mobsync.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Toolbar\wltuser.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10d.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [AROReminder] C:\Program Files\Advanced Registry Optimizer\ARO.exe -rem

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Empowering Technology Launcher.lnk = ?

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - (no file)

O13 - Gopher Prefix:

O20 - AppInit_DLLs: eNetHook.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 8000 bytes

[Apollo]

Re,

 

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA/7: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - (no file)

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

******************

Si tu veux, on peut vérifier la protection contre les infections par supports amovibles comme on l'a fait pour toi, sauf évidement si tu l'as déjà fait avec USBFIX.

 

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

 

Connecte tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc.

 

Comment désactiver les protections résidentes

 

Télécharge USBFix de C_XX & El Desaparecido sur ton Bureau.

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Double-clique pour l'exécuter.

 

Double-clique sur le raccourci pour exécuter l'outil

Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

 

Ensuite:

 

Sélectionne 1 puis laisse l'outil travailler

Poste le rapport stp.

 

@++

[loupatoche33]

VOICI LE RAPPORT

 

 

############################## | UsbFix V6.098 |

 

User : nathalie (Administrateurs) # PC-DE-NATHALIE

Update on 03/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 21:20:23 | 05/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Genuine Intel® CPU T2080 @ 1.73GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16982

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

AV : Kaspersky Internet Security 7.0.0.123 [ Enabled | Updated ]

FW : Kaspersky Internet Security[ Enabled ]7.0.0.123

 

C:\ -> Disque fixe local # 33,51 Go (1,62 Go free) [ACER] # NTFS

D:\ -> Disque fixe local # 33,21 Go (31,66 Go free) [DATA] # NTFS

 

################## | Elements infectieux |

 

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné !

 

################## | ! Fin du rapport # UsbFix V6.098 ! |

[Apollo]

Bien! Comme il n'est pas infecté, on va lui faire directement la piqûre

 

Vaccination des lecteurs et supports amovibles.

Brancher tous les supports amovibles.

Relance USBFIX et choisis cette fois l'option 3. Valide par Enter

 

La désinstallation d'USBFIX se fera avec l'option 6.

 

Après ça, on verra pour les mises à jour et la sécurisation.

 

@++

[loupatoche33]

############################## | UsbFix V6.098 |

 

User : nathalie (Administrateurs) # PC-DE-NATHALIE

Update on 03/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 21:34:51 | 05/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

VOICI LE RAPPORT

 

Par contre, une petite question le disque C n'a plus que 1,3 Go de libre mais je ne sais pas ce que je peux enlever

 

peux-tu m'aider ?

 

 

Genuine Intel® CPU T2080 @ 1.73GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16982

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

AV : Kaspersky Internet Security 7.0.0.123 [ Enabled | Updated ]

FW : Kaspersky Internet Security[ Enabled ]7.0.0.123

 

C:\ -> Disque fixe local # 33,51 Go (1,61 Go free) [ACER] # NTFS

D:\ -> Disque fixe local # 33,21 Go (31,66 Go free) [DATA] # NTFS

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | ! Fin du rapport # UsbFix V6.098 ! |

[Apollo]

C'est en effet très peu, trop peu; le seuil critique a largement été dépassé.

 

La seule solution pour le moment, serait de déplacer certains gros répertoires comme ceux de la musique, ou de films, bref ce qui prend beaucoup de place, sur la deuxième partition. (mais pas de répertoires système!).

 

L'idéal serait d'ajouter un disque dur plus vaste et d'y installer Vista, d'autant que celui-ci n'a pas encore ses packs installés!

 

Dans le rapport d'usbfix, je vois des traces de Kaspersky; il a été désinstallé? Si oui, il reste des traces et si cette suite n'est plus active, il faut la désinstaller correctement avec ceci:

 

Désinstaller Kaspersky 6, 7, 2009, 2010: KavKisRemover10.zip

 

Enregistrer sur le bureau/décompresser.

 

Exécuter, taper le code et laisser travailler l'outil de nettoyage.

 

Redémarrer le pc après pour que le tool termine le nettoyage.

 

Si tu le souhaites, quand on aura terminé ici, je te dirigerai vers une personne qui pourra beaucoup mieux t'aider en termes de systèmes, surtout pour Vista.

 

@++

[loupatoche33]

Quand je clique sur le fichier zIP IL ME DIT APPLICATION INTROUVALE

[Apollo]

Attends voir,

 

je vais regarder dans mes outils perso de Kaspersky et je t'hébergerai le bon.

 

Faudra que je change le lien moi

 

@tte.