Malwares Invisibles et Récalcitrants

[Nadashakti]

Bonjour à Toutes et Tous

 

Tout d’abord merci à tous ceux et toutes celles qui œuvrent dans l’ombre bénévolement pour répondre à tous ceux qui, comme moi, ne sont pas des pros et « pataugent » souvent face à la complexité de l’informatique d’aujourd’hui.

 

J’en viens à mon soucis :

 

Sans être un ultra sécuritaire je fais attention et possède pas mal d’outils de protection :

Anti-Virus Avira

Firewall Windows

Antispy Spybot, Malwarebytes et spyware doctor.

 

Je passe régulièrement Ccleaner et un Utilitaire Advanced systemCare et je maintient à jour tous ces logiciels.

 

Et bien malgré tout cela et sans surfer sur des sites « bizarres » mon pc fait l’objet d’une infection que je n’arrive pas à trouver ni à éradiquer. Peut être une faute d’inattention est elle à l’origine de l’infection ? Possible après tout.

 

Je ne peux aujourd’hui plus accéder à Windows Update et sur Opera et Firefox s’affichent régulièrement des pages de codes ou des sites sans aucune action de ma part.

 

J’ai tenté de passer mes outils en « mode sans echec » sans succès.

 

Quelqu’un pourrait il analyser mon hijackthis et me recommander une action ?

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:32:14, on 17/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Application Updater\ApplicationUpdater.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

C:\Program Files\POST-NET\Post-Net.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Eve\Bureau\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:4582

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O4 -

[pear]

Bonjour,

Votre rapport incomplet montre cependant une infection.

 

 

Téléchargez AD-Remover( de Cyrildu17 / C_XX ) sur le bureau

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

 

 

 

Téléchargez cet outil de diagnostic.

 

Téléchargez Random's system information tool (RSIT) par random/random et sauvegardez-le sur le Bureau.

 

Double-cliquez sur RSIT.exe afin de lancer RSIT.

* Cliquez Continue à l'écran Disclaimer.

* Si l'outil HIjackThis (version à jour) n'est pas présent ou détecté sur l'ordinateur, RSIT le télécharge et vous acceptez la licence.

* L'analyse terminée, deux fichiers texte s'ouvriront.:

Poster le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

* Si ces deux rapports n'apparaissent pas, vous les trouverez dans le dossier C:\rsit

Si les rapports sont trop lourds, postez les en plusieurs fois

Modifié le 17 juin 2010 par pear

[Nadashakti]

Merci de votre aide précieuse.

 

J'ai effectué les scan et opérations demandées. En voici les raports:

 

http://www.cijoint.fr/cjlink.php?file=cj20.../cijQud2pnO.txt

http://www.cijoint.fr/cjlink.php?file=cj20.../cijEz0pGwe.txt

http://www.cijoint.fr/cjlink.php?file=cj20.../cijzjdk23w.txt

 

Impossible par contre d'envoyer le rapport LOG.txt

 

je retente

 

Merci

[Nadashakti]

désolé pour la suite, impossible d'effectuer les manip sur cijoint.

 

Voici le dernier rapport (log.txt)

 

Logfile of random's system information tool 1.07 (written by random/random)

Run by Eve at 2010-06-17 11:49:46

Microsoft Windows XP Professionnel Service Pack 3

System drive C: has 3 GB (7%) free of 40 GB

Total RAM: 1535 MB (66% free)

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 11:49:59, on 17/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\POST-NET\Post-Net.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\Documents and Settings\Eve\Bureau\RSIT.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\trend micro\Eve.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:4582

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Post-Net.lnk = C:\Program Files\POST-NET\Post-Net.exe

O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:%

[Nadashakti]

voici la suite (log.txt) que j'ai enfin pu mettre sur cijoint:

 

merci

 

http://www.cijoint.fr/cjlink.php?file=cj20.../cijCYmiFI4.txt

[pear]

Bonsoir,

C'est bon.

 

Vous n'utilisez plus Ad-aware , et c'est bien, mais il faut supprimer ces tâches:

C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job

C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job

C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job

C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

 

 

 

Microsoft Windows XP Professionnel Service Pack 3

System drive C: has 3 GB (7%) free of 40 GB => Seuil critique dépassé

 

Il va falloir faire de la place, sinon sous peu, vous serez bloqué.

Téléchargez CCleaner

et installez le

à l'installation penser à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner.

Lancez le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

 

*Dans la section "Options" situé dans la marge gauche,aller dans "Avancé" et décocher "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".

Dans la section "Nettoyeur"

* Cocher toutes les cases dans la marge gauche pour Internet Explorer et Windows Explorer

Faites de même pour Système sauf les 2 dernières

Dans Avancé, ne cochez que les 3 dernières.

* Cliquer sur Analyse

* Le scan, qui peut prendre un peu de temps si c'est la première fois.

* Une fois le scan terminé, cliquer sur Lancer le Nettoyage

Evitez d'utiliser le nettoyage du Régistre qui pour vous faire gagner quelques microsecondes risque de déstabiliser votre systême

 

Pour gagner de la place:

 

Le plus rentable:

 

Déplacer Mes Documents:

 

Déplacer les fichiers temporaires:

 

pour Internet Explorer,voyez dans ses options.

 

pour ce qui est des fichier TMP de maniere générale,

Il y a une variable d'environement:

Click droit sur le post de travail->Propriété->Avancé->Variable d'environnement.

et remplacer c:\temp et tmp par E:\temp E:\tmp si vous choisissez la partition E:

 

Déplacer le swap

, mais seulement sur un autre disque.

Une autre partition du même disque serait sans intérêt.

 

Certains déplacent aussi le program files.

C'est très risqué et source de disfonctionnements

Le principal problème est qu'en cas de réinstallation de Xp, il faut tout recommencer, et de plus certains programmes font la grimace.

Ceci dit , c'est possible, même si cela ne sert pas à grand chose.

Voyez là, et lisez les commentaires:

http://www.generation-nt.com/astuces/comme...des-programmes/

 

SoftwareDistribution

Il existe dans le dossier %systemroot% (C:\windows par défaut) un sous

dossier "SoftwareDistribution" qui contient tous les fichiers de mises à

jour automatiques de Windows, que ce soit à l'aide de Windows Update ou d'un

serveur W SUS (en entreprise).

Ces fichiers, une fois la MAJ effectuée, ne servent plus à rien, mais par

contre au bout d'un moment occupent une place phénoménale!

 

Donc on peut récupérer beaucoup de place en supprimant les fichiers devenus

inutiles.

Mais bien sûr il ne faut pas faire n'importe quoi, et certains fichiers ne

sont pas supprimables par défaut car ils sont en cours d'utilisation par le

service WUAUSERV (Windows Update).

 

Les manips (préconisées par MS) sont (pour info) les suivantes, afin de

vider "proprement" ce dossier et sans "injurebox", :

==

- stopper momentanément le service "Windows Update"

par la commande

 

cmd /k net stop wuauserv

- ouvrir le dossier %systemroot%\SoftwareDistribution\DataStore

 

- supprimer le contenu du sous-dossier "Logs"

 

- supprimer le fichier "DataStore.edb" (gros fichier!)

Cela signifie que l'HISTORIQUE des "Windows Update"

sera effacé (on peut vivre sans !!!)

 

- ouvrir le dossier %systemroot%\SoftwareDistribution\Download

et supprimer TOUT son contenu.

 

- vider la corbeille si nécessaire

 

- redémarrer "Windows Update" par la commande

cmd /k net start wuauserv

[Nadashakti]

merci pour tous ces conseils. Je m'y attelle et je vous tiens au jus.

Amts

Nada