[Résolu] Analyse HijackThis (lié à PnkBstrA)

[Cirthie]

Bonjour,

 

J'ai je pense éradiqué PnkBstrA de mon pc, mais j'avoue avoir des doutes. J'aimerai si quelqu'un avait un peu de temps à me consacrer qu'il vérifie que mon log hijackthis soit correct et qu'il n'y ait rien de nuisible sur mon ordinateur. De la même façon je remarque que j'ai pas mal de services qui sont en file missing et 2 fichier inconnu en section o10

 

je suis sur windows 7 pro.

 

Merci de votre aide.

(log hijack effacé)

Modifié le 8 octobre 2011 par Cirthie

[lance_yien]

Bonjour Cirthie,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

 

Ne t'inquiètes pas pour les résultats de HijackThis parce qu'il n'est plus capable de traiter les dernières versions de Windows et sa Base de données n'est plus à jour pour détecter les dernières infections.

 

>>> ZHPDiag/ Analyse: Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.

Double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.

Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (En cas de blocage sur O80, cliquez sur le tournevis pour le décocher).

Un rapport ZHPDiag.txt sera généré et sauvegardé automatiquement sur le Bureau.

Ne pas le poster directement ici car souvent trop long pour les limites du forum mais

Aller sur le site : cjoint.com

Cliquer sur Parcourir, chercher le fichier et cliquer dessus. Cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

[Cirthie]

Bonjour Lance merci de ton aide.

 

Voici le lien vers le fichier : Lien CJoint.com 3JinaIxZRgl

[lance_yien]

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

 

O42 - Logiciel: Plants vs. Zombies - (.PopCap.) [HKLM] -- Steam App 3590

[HKCU\Software\SteamPopCap]

O43 - CFD: 01/05/2010 - 15:30:08 - [25] ----D- C:\ProgramData\PopCap Games

[HKCU\Software\SteamPopCap]

C:\ProgramData\PopCap Games

O4 - Global Startup: C:\Users\Cirth\Desktop\Media Player Classic - Home Cinema x64.lnk . (...) -- C:\Program Files (x86)\Media Player Classic - Home Cinema\mpc-hc64.exe (.not file.)

O43 - CFD: 23/07/2011 - 02:13:00 - [0] ----D- C:\Users\Cirth\AppData\Local\Motosftemp

O43 - CFD: 02/06/2011 - 22:14:34 - [0] ----D- C:\Users\Cirth\AppData\Local\{614C836F-3BD7-4CC2-B4C7-90A82DC99C82}

O87 - FAEL: "{4610F97F-4384-4AF5-89D9-761F0680C1D6}" |In - Public - P6 - TRUE | .(...) -- E:\Steam\steamapps\common\guns of icarus\GunsOfIcarusWindows.exe (.not file.)

O87 - FAEL: "{67361E07-57E4-47D9-9E1F-75EFF44B133A}" |In - Public - P17 - TRUE | .(...) -- E:\Steam\steamapps\common\guns of icarus\GunsOfIcarusWindows.exe (.not file.)

O87 - FAEL: "{F743D543-E571-4AA1-95A6-9FA4A4A2931F}" |In - Private - P6 - TRUE | .(...) -- E:\Steam\steamapps\common\dungeon siege iii - demo\Dungeon Siege III.exe (.not file.)

O87 - FAEL: "{855625DA-DB1F-4F75-B4CC-6523678C96BE}" |In - Private - P17 - TRUE | .(...) -- E:\Steam\steamapps\common\dungeon siege iii - demo\Dungeon Siege III.exe (.not file.)

O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM] -- Teamspeak 2 RC2_is1

O43 - CFD: 05/01/2010 - 21:44:38 - [35329] ----D- C:\Users\Cirth\AppData\Roaming\teamspeak2

O43 - CFD: 05/01/2010 - 21:44:34 - [7772919] ----D- C:\Program Files (x86)\Teamspeak2_RC2

C:\Users\Cirth\AppData\Roaming\teamspeak2

Lancer ZHPFix (raccourci sur le Bureau ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].

Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].

Fermer toutes les applications et autres fenêtres en cours désactive (y compris Internet) et désactiver tous les programmes de protection (antivirus, pare-feu et antispyware).

Enfin, clique sur le bouton [Nettoyer] et laisser faire. Redémarrer le PC pour finir le nettoyage si demandé.

Copier/ coller le contenu du rapport qui s'ouvre dans la prochaine réponse. Ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt.

 

 

>>> Utiliser SecurityCheck: Télécharger, sur le Bureau Security Check (par screen317) depuis ici ou ici.

Fermer toutes les fenêtres et applications ouvertes et cliquer-droit sur SecurityCheck.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.

Le Rapport "checkup.txt" s'ouvre à la fin.

Copier/ coller son contenu dans la même prochaine réponse

 

 

>>> Rapports demandés:

• ZHPFixReport.tx
• checkup.txt

Comment va cette machine? Autres symptômes à vérifier?

[Cirthie]

Apparemment c'est clean, ça me m'a rien détecté. La machine va bien j'étais surtout inquiet qu'un malware ait pu passer vu que j'avais repéré pnkbstra qui me semblait fort suspect.

 

Results of screen317's Security Check version 0.99.21

Windows 7 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Kaspersky Internet Security 2011

King's Bounty: Armored Princess

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

HijackThis 2.0.2

TuneUp Utilities 2011

TuneUp Utilities Language Pack (fr-FR)

Java 6 Update 26

Out of date Java installed!

Adobe Flash Player 11.0.1.152

Mozilla Firefox (7.0.1)

Mozilla Thunderbird (3.0.) Thunderbird Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Kaspersky Lab Kaspersky Internet Security 2011 avp.exe

``````````End of Log````````````

 

Rapport de ZHPFix 1.12.3363 par Nicolas Coolman, Update du 05/10/2011

Fichier d'export Registre :

Run by Cirth at 08/10/2011 16:02:00

Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

ABSENT Software Key: Steam App 3590

ABSENT Software Key: Teamspeak 2 RC2_is1

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKCU\Software\SteamPopCap

 

========== Valeur(s) du Registre ==========

SUPPRIME {4610F97F-4384-4AF5-89D9-761F0680C1D6}

SUPPRIME {67361E07-57E4-47D9-9E1F-75EFF44B133A}

SUPPRIME {F743D543-E571-4AA1-95A6-9FA4A4A2931F}

SUPPRIME {855625DA-DB1F-4F75-B4CC-6523678C96BE}

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\ProgramData\PopCap Games

SUPPRIME Folder: C:\Users\Cirth\AppData\Local\Motosftemp

SUPPRIME Folder: C:\Users\Cirth\AppData\Local\{614C836F-3BD7-4CC2-B4C7-90A82DC99C82}

SUPPRIME Folder: C:\Users\Cirth\AppData\Roaming\teamspeak2

SUPPRIME Folder: C:\Program Files (x86)\Teamspeak2_RC2

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\programdata\popcap games

SUPPRIME File: c:\users\cirth\desktop\media player classic - home cinema x64.lnk

ABSENT File: c:\program files (x86)\media player classic - home cinema\mpc-hc64.exe

ABSENT Folder/File: c:\users\cirth\appdata\roaming\teamspeak2

 

 

========== Récapitulatif ==========

1 : Clé(s) du Registre

4 : Valeur(s) du Registre

5 : Dossier(s)

4 : Fichier(s)

2 : Logiciel(s)

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 08/10/2011 16:02:00 [1595]

[lance_yien]

C'est Ok pour moi aussi

 

>>> Mises à jour: Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC.

Les versions des programmes suivants ne sont pas à jour. Suivre les indications pour chacun pour corriger le problème.

• Java: Utiliser, IMPÉRATIVEMENT, Internet Explorer pour téléchargez (sur le Bureau) la dernière version qui correspond à votre Système d'exploitation (32 ou 64 bits): Téléchargements Java pour tous les systèmes d'exploitation.
   
  
  

  
   
  Avant l'installation il est important de commencer par supprimer TOUTES les anciennes versions dans votre machine parce qu'elles peuvent contenir des vulnérabilités de sécurité:
  Cliquer sur "Démarrer" => "Panneau de configuration" => "Ajout/ Suppression de Programmes".
  Chercher, dans la liste les lignes concernant Java (J2SE Runtime Environment.... ) et repérables avec cette icône .
  Sélectionner une ligne à la fois et cliquer sur Modifier/ Supprimer.
  Quand il n'y en a plus, fermer tout et installer la nouvelle version en cliquant sur le fichier que vous avez téléchargé.
   
  

• Mozilla Thunderbird: Installer la dernière version depuis ICI

 

>>> Supprimer les utilitaires:

- ZHP peut être désinstallé depuis Ajout/ Suppression de programme.

- Pour supprimer les autres utilitaires et leur rapports (sur le Bureau et/ou à la racine de la partition système), cliquer-droit dessus => "Supprimer".

 

 

Quelques suggestion pour t'aider à prendre soin de ta machine (ignorer les points déjà traités ou ne s'appliquant pas à ton système.

 

 

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Ordinateur" => "Propriétés" => "Protection Système". Cliquer sur le nom de la partition système (généralement C:) puis sur "Configurer" => "Supprimer" => "Continuer" (pour confirmer).

Cliquer sur "Fermer" puis "OK" => "OK" et attendre un moment.

Retourner dans "Protection système" et cliquer sur la même partition => "Configurer" et sélectionner "Restaurer les paramètres système et les versions précédentes des fichiers". Cliquer sur "OK" => "OK" et fermer la fenêtre.

Redémarrer le PC. Un nouveau point de restauration sera créé automatiquement.

 

 

>>> Optimiser Windows:

 

• Il y a toujours des programmes qui se lancent inutilement en même temps que Windows.
  Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.
  Fermer toutes les applications et autres fenêtres en cours et double-cliquer sur StartUpLite.exe Vista W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique. Sélectionner les entrées affichées et cliquer sur "Continue" (à moins que vous vouliez en garder).
  S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.
  On peut, aussi, utiliser CCleaner pour gérer l'activité de ces processus:
  Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner un processus marqué "Oui" et cliquer sur le bouton "Désactiver".
  Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas d'incidences apparentes (réactiver le processus si nécessaire).
  
• Utiliser PureRa pour compléter le nettoyage du DD avec CCleaner.

 

>>> Protéger/ Sécuriser: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware.

• Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - Windows XP: Cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heur où le PC est allumé.
  - Windows Vista/W7: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.
  
• Installer PSI de Secunia pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit et peut s'installer en même temps qu'autre antispyware. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) contre les "vers" (Autorun worms) avec USBFix ou Autorun Protector. Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.
  
• Nettoyer (CCleaner) et dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

 

>>> ÉVITER ABSOLUMENT:

• Crack et Cie: Un peu de lecture sur tout ce qui tourne autour de ces programmes: Warez ; Crack ; keygen.
  - Elle est finie l'époque où les cracks sont là juste pour aider ceux qui n'ont pas les moyens de se payer un tel ou tel programme et/ou c'était un signe de rébellion contre ces concepteurs trop avides...
  La nouvelle orientation est de se faire de l'agent facile en vendant des programmes qui "font tout" ou des barres d'outil qui "cherchent et trouvent tout".
  En fait, ils installent au mieux un spyware ou un adware qui tracent les habitudes de l'utilisateur pour lui afficher des pubs ciblées et au pire un rogue ou un rootkit qui peut aller jusqu'à bloquer une machine ou la rendre complètement inutilisable.
  - A noter que les "plus bénins" de ces cracks, ceux qui vous permettent d'installer un programme sans créer de problèmes apparents, mettent votre machine en danger parce que tout programme illégal ne reçoit pas de mises à jour et est donc porteur de vulnérabilités facilement exploitables par les pirates pour s'ouvrir des portes dérobées et disposer de tout ce qu'il veulent dans votre machine.
  Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, on peut éviter de courir tout risque inutile en renonçant à l'utilisation de ce type de programmes.
   
  
• Réseaux/Programmes P2P: Tout ce qui est lié aux applications type P2P/ Torrent est devenu de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
  Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles.
  C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes ce qui signifie qu'il y en a qui le sont mais,
  - Qui sait avec certitude lequel est bon et lequel est dangereux?
  - Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
  - En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
  Prendre la sage décision de désinstaller et ne plus utiliser tout programme de ce type.

 

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur les boutons "Modifier" => "Utiliser l'éditeur complet".

 

Bonne chance!

[Cirthie]

Merci pour tout

thunderbird c'est bizarre parceque je suis en version 7 et qu'il m'affiche la version 3 oO le java j'avais mis à jour

Modifié le 8 octobre 2011 par Cirthie

[lance_yien]

... c'est bizarre parceque je suis en version 7

Tu confonds pas avec celle de Firefox?

Modifié le 8 octobre 2011 par lance_yien

[Cirthie]

ben non c'est la même version pour les deux en fait (thunderbird et firefox)