[Résolu] Demande d'analyse HijackThis ainsi que de conseils

[lance_yien]

Bonjour Acrobate,

 

Si tu n"a pas désinstallé ESET, essaie de trouver le rapport manuellement:

- Par clics successifs: C:\Program Files(x86)\ESET\ESET Online Scanner\log.txt

- OU, clic sur "Démarrer" et saisir log.txt dans le champ de recherche.

Si tu dis qu'il a trouvé des choses, il faut qu'on les retrouve pour contrôler et supprimer ce qui est mauvais. Autrement on sera obligé de refaire le scan.

--

 

>>> Correction OTL: (Re)brancher (et allumer) tous les médias amovibles disponibles et fermer toutes les applications et fenêtres en cours.

Désactiver les programmes de protection (antivirus etc...) et lancer OTL.

Copier et coller la liste suivante (commençant par :OTL) dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très importants, merci de vérifier).

 

:OTL

PRC - [2009-08-25 21:06:20 | 000,077,824 | ---- | M] (France Telecom SA) -- C:\Program Files (x86)\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=90a452f30000000000003408049d48ea&tlver=1.4.35.10&affID=107763"

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

O2 - BHO: (IeMonitorBho Class) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - F:\MegaIEMn.dll File not found

O33 - MountPoints2\{bfa56c5f-1204-11e1-b21c-1c6f65c06866}\Shell - "" = AutoRun

O33 - MountPoints2\{bfa56c5f-1204-11e1-b21c-1c6f65c06866}\Shell\AutoRun\command - "" = I:\AutoRunCardDetector.exe

 

:Services

 

:Reg

 

:Files

ipconfig /flushdns /c

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur "Oui".

A la fin un rapport s'ouvre dans le bloc-note. Copier et le coller son contenu dans une nouvelle réponse. Fermer le rapport et OTL.

[Acrobate]

Bonsoir Lance

 

BOn ben j'ai re scanné 6H40 mais pas de log, je te mets 2 lien de ce que j'ai [/b]

 

Lien CJoint.com AKCv7BpsaF7

 

Lien CJoint.com AKCv73LlwH4

 

LA PAGE ie de scan est toujours ouverte et j'ai quand même la liste des fichiers je ne ferme pas pour le moment !!

 

J'ai recherché manuellement log.txt je ne trouve pas je passe quand même la correction OLT dans la soirée et je poste le rapport.

 

 

======================================

ici ce que j'ai copié de ESET : http://cjoint.com/?AKCwjfpnYL9

======================================

 

arghhh j'ai passé OLT, il a redémarré le pc j'ai perdu la page ie avec le scan eset pas grave

 

rapport OLT :

User: Administrator

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56475 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Hervé

->Temp folder emptied: 6285729 bytes

->Temporary Internet Files folder emptied: 739538016 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 188242511 bytes

->Google Chrome cache emptied: 6184421 bytes

->Flash cache emptied: 67063 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 151676959 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes

RecycleBin emptied: 6530987 bytes

 

Total Files Cleaned = 1 048,00 mb

 

 

[EMPTYFLASH]

 

User: Administrator

 

User: All Users

 

User: Default

->Flash cache emptied: 0 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: Hervé

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.31.0 log created on 11282011_221222

 

Files\Folders moved on Reboot...

C:\Users\Hervé\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\Hervé\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.

C:\Users\Hervé\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

 

Registry entries deleted on Reboot...

 

 

Bonne soirée à toi

 

HH

 

PS : "Edit" Mardi 29, passage de Malwerebytes

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8267

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

2011-11-29 09:52:32

mbam-log-2011-11-29 (09-52-32).txt

 

Type d'examen: Examen complet (C:\|E:\|F:\|H:\|)

Elément(s) analysé(s): 566883

Temps écoulé: 23 minute(s), 27 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\ZHP\quarantine\PCtuto.DIR\updatepctuto\autoupdater.exe (Trojan.Eorezo) -> Quarantined and deleted successfully.

h:\program files\macromedia mx crack valide\macromedia studio 8\macromedia.fireworks.mx.2004.7.0.crack-rev.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Modifié le 29 novembre 2011 par Acrobate

[lance_yien]

Bonjour,

 

Tu as eu des problème de formatage de texte et de couleur? laisse tout par défaut pour nous aider à vous aider stp! Relis la note "Très important!" dans mon 1er message.

--

 

On supprime les éléments de ESET avec OTL

 

>>> Correction OTL: (Re)brancher (et allumer) tous les médias amovibles disponibles et fermer toutes les applications et fenêtres en cours.

Désactiver les programmes de protection (antivirus etc...) et lancer OTL.

Copier et coller la liste suivante (commençant par :OTL) dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très importants, merci de vérifier).

 

:OTL

 

:Files

ipconfig /flushdns /c

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

 

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\upgrade[1].cab

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\upgrade[1].cab

F:\Firefox\extensions\{6AA54174-C9E8-4B07-95A0-0FBC19CBE64C}\chrome\basicscan.jar

H:\Bureaupc1-082011\Bureau10022011\bureau\PROG_Utiles\SECURITE.rar

H:\Bureaupc1-082011\Bureau10022011\bureau\PROG_Utiles\Kit MSN09 + Msg+Live + Polygamy\MsgPlusLive-481.exe

H:\Mes documents\Téléchargements\SoftonicDownloader_pour_msn-messenger-polygamy.exe

H:\Mes documents\Téléchargements\WinAircrackPack.rar

I:\HH\adobe\ad5.5\crack\keygen CORE.exe

I:\HH\adobe\SkZ-Master_Collection_CS5\SkZ-Master_Collection_CS5.iso

I:\HH\Bureaupc1-082011\Bureau10022011\bureau\PROG_Utiles\SECURITE.rar

I:\HH\Bureaupc1-082011\Bureau10022011\bureau\PROG_Utiles\Kit MSN09 + Msg+Live + Polygamy\MsgPlusLive-481.exe

I:\HH\pc1\Mes documents\Téléchargements\SoftonicDownloader_pour_msn-messenger-polygamy.exe

I:\HH\pc1\Mes documents\Téléchargements\WinAircrackPack.rar une variante probable de Win32/TrojanDownloader.Agent.BXZGKNA cheval de troie

I:\RECYCLER\S-1-5-21-1220945662-2111687655-682003330-1004\Dl10\C\Medion\securité\combofix

I:\sauvepc1\E\Nouveau dossier\C\Medion\securité\combofix\ComboFix.exe

I:\sauvepc1\hh\Téléchargements\SoftonicDownloader_for_microsoft-net-framework.exe

I:\sauvepc1\hh\Téléchargements\SoftonicDownloader_pour_net-framework-detector.exe

 

:Services

 

:Reg

 

:Commands

[EMPTYTEMP]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur "Oui".

A la fin un rapport s'ouvre dans le bloc-note. Copier et le coller son contenu dans une nouvelle réponse. Fermer le rapport et OTL.

 

Quand c'est fait je te suggère de vider les dossiers en rouge (dans la liste) parce qu'ils peuvent contenir d'autres bestioles.

Tu peux refaire tes sauvegardes quand tout sera propre.

 

>>> Autres symptômes à vérifier avant de conclure?

[Acrobate]

Oh dsl oui pour les couleur, un bug ^^

 

Bon alors, mon à changé de lettre de I:/ il est devenu j:/, pkoi ? ce qui fait que certain dossier n'ont pu être viré par OTL mais, sur ce disque il y avait de vieux docs et cochoneries que j'ai nettoyées et ce que OTL n'a putrouver je l'ai enlevé à la main pour ceux qui étaient visibles et pour un qui ne l'était pas j'ai changé la lettre et ai repassé OTL.

 

Ci joint,

 

1 un screen de la poubelle où je n'avais gardé que les choses qu'OTL n'a pas trouvé. POubelle vidée depuis

 

2 . Txt le 1er où je n'ai touché à rien et où j'ai remarqué que le HDD était passé en J:

 

3 un .txt où je change la lettre dans une ligne car cochonnerie n'était pas visible......

 

Je sais un peu brouillon tout ça mais la plupart des docs reprises du vieux pc et des récup du boulot (surtout les crack) sont virés !!

J'accuse le grand mais c'est moi qui a bien pourri la machine quand j'ai ramené ces logiciels Hum !!!!!!

 

Comme quoi

 

Les not found sur C: là je ne capte pas ???? (sur la première passe de OTL)

 

J'ai toujours des micro coupures (on dira ça) du navigateur et idem fait un courrier word que ce soit logiciel ou navigateur ça décroche au bout de quelques secondes puis je dois recliquer dans la fenêtre pour continuer d'écrire...

 

1 => Lien CJoint.com AKDqKA5Q1sX

2 => Lien CJoint.com AKDqK59oHf1

3 => Lien CJoint.com AKDqOg3gTvS

[lance_yien]

Re,

 

Pour le changement de lettre des lecteurs, je ne peux pas le savoir.

OTL n ne vide rien et ne vire rien si on ne lui demande pas et c'est tant mieux. Dans la dernière correction il devait virer des fichiers/dossiers signalés par ESET comme nuisibles et que toi et moi lui avons demandé de faire.

Si un fichier/ dossier n'est plus à l'endroit indiqué pour une raison quelconque, il le signale par "not found"

Je lui ai demandé, par exemple, de supprimer le fichiers temporaires dans le dossier Windows avec la ligne C:\Windows\*.tmp" mais je ne sais pas si ton dossier contient des fichiers de ce type ou pas. C'est donc pour le cas où.

--

 

Pour les "micro coupures..." je n'ai pas de solution à te proposer. Essaie plusieurs navigateurs et vois ce que ça donne mais ça peut venir de ta connexion.

Enfin et vu qu'il n'y a pas/plus de problème(s) côté infection, je te laisse voir dans l'une de ces sections: Optimisation/ Hardware/ Software. Ils sauront te guider au mieux pour le reste.

Pour en finir ici, voici quelques suggestions pour t'aider à prendre soin de ta machine (ignore les points déjà traités et/ou ceux que tu juges inutiles pour toi ou ne s'appliquant pas à ton système).

 

 

>>> Supprimer les utilitaires, si (toujours) présents sur ta machine:

• Supprimer ZHPDiag depuis "Ajout/ suppression de programmes.
  
• Pour désinstaller ESET, cliquer sur "Démarrer" => "Exécuter" et saisir (ou copier/coller):
  %programfiles(x86)%\\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe
  Cliquer sur OK et redémarrer la machine.
  
• Lancer OTL et cliquer sur Purge outils. Laisser faire et redémarrer le PC quand c'est demandé. ComboFix et et ses fichiers/dossiers seront supprimé en même temps.
  
• Pour supprimer les autres utilitaires et leurs rapports, s'il en reste sur le Bureau et/ou à la racine de la partition système, cliquer-droit dessus => "Supprimer".
  

 

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Ordinateur" => "Propriétés" => "Protection Système". Cliquer sur le nom de la partition système (généralement C:) puis sur "Configurer" => "Supprimer" => "Continuer" (pour confirmer).

Cliquer sur "Fermer" puis "OK" => "OK" et attendre un moment.

Retourner dans "Protection système" et cliquer sur la même partition => "Configurer" et sélectionner "Restaurer les paramètres système et les versions précédentes des fichiers". Cliquer sur "OK" => "OK" et fermer la fenêtre.

Redémarrer le PC. Un nouveau point de restauration sera créé automatiquement.

 

 

>>> Protéger/ Sécuriser:

• LA RÈGLE: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware en fonctionnement.
  
• Y a-t-il un Pare-feu dans la machine? Un pare-feu est le 1er rempart contre les intrusions. Les versions du type "_Internet Security" (normalement payantes) incluent tous les éléments nécessaires. Il suffit de vérifier, activer si nécessaire et passer directement au paragraphe suivant.
  - Le pare-feu de Vista (et Windows 7) peut suffire. Ils sont là et autant s'en servir au moins par gain de place et de ressources. Juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui de Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, , Outpost Firewall FREE.
  
• Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - Windows XP: Cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heur où le PC est allumé.
  - Windows Vista/W7: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.
  
• Installer Update Checker pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit et peut s'installer en même temps qu'autre antispyware. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) contre les "vers" (Autorun worms) avec USBFix ou Autorun Protector. Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.

 

>>> Optimiser Windows:

 

• Il y a toujours des programmes qui se lancent inutilement en même temps que Windows.
  Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.
  Fermer toutes les applications et autres fenêtres en cours et double-cliquer sur StartUpLite.exe Vista W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique. Sélectionner les entrées affichées et cliquer sur "Continue" (à moins que vous vouliez en garder).
  S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.
  On peut, aussi, utiliser CCleaner pour gérer l'activité de ces processus:
  Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner un processus marqué "Oui" et cliquer sur le bouton "Désactiver".
  Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas d'incidences apparentes (réactiver le processus si nécessaire).
  
• Nettoyer avec (CCleaner) et PureRa puis dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

 

>>> ÉVITER ABSOLUMENT:

• Crack et Cie: Un peu de lecture sur tout ce qui tourne autour de ces programmes: Warez ; Crack ; keygen.
  - Elle est finie l'époque où les cracks sont là juste pour aider ceux qui n'ont pas les moyens de se payer un tel ou tel programme et/ou c'était un signe de rébellion contre ces concepteurs trop avides...
  La nouvelle orientation est de se faire de l'agent facile en vendant des programmes qui "font tout" ou des barres d'outil qui "cherchent et trouvent tout".
  En fait, ils installent au mieux un spyware ou un adware qui tracent les habitudes de l'utilisateur pour lui afficher des pubs ciblées et au pire un rogue ou un rootkit qui peut aller jusqu'à bloquer une machine ou la rendre complètement inutilisable.
  - A noter que les "plus bénins" de ces cracks, ceux qui vous permettent d'installer un programme sans créer de problèmes apparents, mettent votre machine en danger parce que tout programme illégal ne reçoit pas de mises à jour et est donc porteur de vulnérabilités facilement exploitables par les pirates pour s'ouvrir des portes dérobées et disposer de tout ce qu'il veulent dans votre machine.
  Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, on peut éviter tout risque de catastrophe pour sa machine et ses documents personnels en désinstallant tout programme illégal déjà installé, en vidant les dossiers qui contiennent ce type de programmes et en restant à l'écart de ce type de programmes..
  
• Réseaux/Programmes P2P:
  - Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
  Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.
  C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont ) mais qui sait avec certitude lequel est bon et lequel est dangereux?.
  - Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
  - En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
  Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur les boutons "Modifier" => "Utiliser l'éditeur complet".

 

Bonne chance!

[Acrobate]

Bonjour Lance,

 

POur le changement de lettre rien de grave, j'ai peut être inversé les positions dezs lecteurs amovible et il me semble que je n'avais pas mis le HDD USB 3.0 sur un port 3.0 enfin le principal est fait et je t'en remercie.

Merci pour ton aide et ta patience, je suis d'accord pour tout ce que tu as inséré sur les P2P, les crack etc, normalement je ne pratique pas ce genre de choses et j'ai vu qu'il y en avait qui dataient de 2007 et que j'ai rapatrié sur le nouveau pc mais aussi pour un certain nombre de log il est vrai que ça m'arrangeait de les avoir pour bosser à la maison ce que je n'avais pas bien intégré et ils viennnent de collègues mais bon le log de P2P est dégagé et n'ai plus besoin de rien niveau log en général j'achète enfin personne (particulier)ne peut acheter CATIA non plus (logiciel Dassault) et ayant bossé dessus pas mal d'année il me sert pour la conception 3D mais les autres le vais les acquérir par la voie normale comme j'ai tjs fait !

 

J'ai ajouté résolu, je vais maintenant effectuer les dernières opérations et aller faire un tour dans la section optimisation, mon vieux pc va passer au formatage car il est tjs compé"titif mais trop de partitions dont une de récup qui ne sert plus !

 

POur celui ci je te remercie encore, tous les cracck sont virés et je vais mettre un pass dessus que je le retrouve propre quand je pars plusieurs jours mais je pernse que là c'est moi qui avait infecté ce pc via le transfert de vieilles données de l'ancien pc et ce que j'ai ramené du taf (une certaine creative suite que tu as pu déceler).

 

Bonne journée et encore merci pour ton aide et surtout d'avoir accepté de reprendre le dossier que j'avais laissé traîné en longueur n'étant pas là !

 

Cordialement,

 

Hervé

[lance_yien]

Au plaisir!