[Résolu] HijackThis – process inconnus et comportement bizarre IE

[ZeKlein]

Bonjour à tous,

 

Et merci d'avance pour votre aide.

 

Config : une petite machine Dell P4 avec 1G de mémoire.

 

J'ai plusieurs sujets d'inquiétude sur mon PC :

- McAffee n'a rien trouvé

- IE8 a régulièrement des "sautes d'humeur", il ne marche plus ou m'envoie sur des sites aléatoires, et je dois le réinstaller pour que cela refonctionne

- SVCHOST pompe régulièrement 50% de la CPU, et notament avec un process "Application Policy Service". Ce process est noté comme dangereux par l'analyse auto de HJT.de (mais j'ai lu le post sur la pertinence de cette analyse, alors je ne sais qu'en penser)

- j'ai des process inconnus comme TOR.exe actifs et je n'ai rien trouvé de probabnt dessus sur le net.

- j'ai un 23F.exe repéré dans mon registry par le Startup Control Pannel de Mike Lin (section HKey_Local_Machine all user)comme C:\Programm Files\LP\512D\23F.exe. Dans ce répertoire, pas d'EXE, juste des fichiers tmp

 

Tout cela m'iquiète, en plus de d'être désagréable en faisant ramer mon pc.

C'est grave docteur ? Dois-je reformatter le tout ?

 

Voici le log HJT :

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 11:44:32, on 15/01/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe

C:\Program Files\LogMeIn\x86\RaMaint.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe

C:\Program Files\McAfee\Common Framework\FrameworkService.exe

C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Canon\MyPrinter\BJMyPrt.exe

C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

C:\Program Files\AirPort\APAgent.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trendnet\USBKVM Switcher\USBKVM.exe

C:\Documents and Settings\ZeKlein\Application Data\Dropbox\bin\Dropbox.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\mmc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\McAfee\Common Framework\UdaterUI.exe

C:\Program Files\McAfee\Common Framework\McTray.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:54283

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [AirPort Base Station Agent] "C:\Program Files\AirPort\APAgent.exe"

O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\ZeKlein\Application Data\Dropbox\bin\Dropbox.exe

O4 - Global Startup: USBKVM Switcher.lnk = C:\Program Files\Trendnet\USBKVM Switcher\USBKVM.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138029875198

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Application Policy Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Tor Win32 Service (tor) - Unknown owner - C:\Program Files\Tor\tor.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 9892 bytes

 

 

Merci d'avance de votre aide

Jef

Modifié le 17 janvier 2012 par ZeKlein

[ZeKlein]

PS : je lance en ce moment le téléchargement des mises à jours Windows ...

[lance_yien]

Bonjour ZeKlein,

 

Merci de prendre connaissance de ces recommandations et appliquer ce qu'il y a faire avant de commencer un premier nettoyage avec ZHP.

 

---

Très Important!:

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains outils utilisés peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller" (PAS de raccourcis).
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Héberger les rapports sur cjoint.com. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

- Merci de coller les rapports (quand c'est demandé) directement sans rien y ajouter ni balises de citation, ni de code ni de formatage de texte (gras, italique) c'est déjà assez difficile avec ce que les pirates essaient de camoufler.

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

>>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!

---

 

>>> C'est parti!

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

 

>>> Utiliser Malwarebytes' Anti-Malware (MBAM): Télécharger, sur le Bureau Malware Bytes Anti-Malware depuis ici.

Fermer toutes les applications et fenêtres ouvertes et double-cliquer/cliquer-droit sur mbam-setup.exe => "Exécuter en tant qu'administrateur". Suivre les indications en laissant tout par défaut. Cliquer sur "Terminer" sans rien changer.

- Lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher". Patienter jusqu'à la fin (affichage de "L'examen s'est terminé normalement...") et cliquer sur "OK", pour fermer ce message.

- Cliquer sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet "Rapport/Logs" de la fenêtre principale de "MBAM". Poster son contenu dans la prochaine réponse.

 

 

>>> ZHPDiag/ Analyse: Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.

Pour installer le programme, double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.

Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur la flèche verte pour les mises à jour éventuelles du programme.

Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (en cas de blocage sur O80, cliquer sur le tournevis pour le décocher).

Un rapport "ZHPDiag.txt" sera généré et sauvegardé automatiquement sur le Bureau.

Héberger le rapport et poster son adresse.

[ZeKlein]

Bonjour Lance_yien,

 

Tout d'abord, merci pour ton aide et pour la clarté de tes explications.

 

J'ai procédé aux deux tests, et le premier a été très instructif (9 pb détectés). Je crois comprendre que le second est plus pour voir l'état de la machine. Je t'ai posté les deux rapports dans un rar ici : © CJoint, 2010

 

* Est-ce suffisant ou dois-je procéder à d'autres adaptations (par exemple changer d'antivirus) ?

* Est-ce que la présence de ces cochoneries indique des possibles pb à partir de mon pc (depuis l'utilisation pour balancer des chochoneries jusqu'au vol d'info type CB ...) ?

* Est-ce que tu as une idée de par où j'ai attrappé cela ?

 

Merci encore de ton aide

Jef

[ZeKlein]

Hum ...

Le lien semble brisé. Le revoilà : Lien CJoint.com BApnH7m2tAH

 

Tant que j'y suis : si j'ai une autre machine sur mon réseau, en Window 7, est-ce que je peux vérifier aussi avec MBAM ?

 

%erci

Jef

[lance_yien]

Finis déjà avec cette machine-là.

--

 

Tu as fait n'importe quoi avec les rapports parce que tu n'as pas pris le temps de lire toutes les instructions: Pour chacun, il est indiqué (en rouge) comment le communiquer.

On joue sur,

- Le temps pour résoudre le maximums de problème et traiter un fichier zip nous demande beaucoup plus de temps.

- Et,

- Les permissions du forum pour héberger certains rapports et en coller d'autres directement.

Merci d'y faire attention!

--

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• OTL (par OldTimer) depuis ici ou ici.

Fermer toutes les applications et fenêtres ouvertes et double-cliquer sur OTL.exe, cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.* /90

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /90

%systemroot%\Tasks\*.job

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).

Les héberger et poster leurs adresses dans une nouvelle réponse, chacun à part.

[ZeKlein]

Lance_yien,

 

Désolé pour le zip, je croyais que cela allait faciliter les choses. Bon, j'ai relu tes instructions, j'espère que cela va le faire ce coup ci ...

 

Voici le lien sur le premier rapport : Lien CJoint.com BApt3qlYrjp

 

Et celui sur le second : Lien CJoint.com BApubSpJS49

 

Merci encore pour ton aide.

Jef

[lance_yien]

Bonjour,

 

- Pas de problème pour la mise au point!

- Désinstalle depuis Ajout/suppression de programmes "DAEMON Tools Toolbar" et "Tor" (si présents).

--

 

>>> Correction OTL: (Re)brancher (et allumer) tous les médias amovibles disponibles et fermer toutes les applications et fenêtres en cours.

Désactiver les programmes de protection (antivirus etc...) et lancer OTL.

Copier et coller la liste suivante (commençant par :OTL) dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très importants, merci de vérifier).

 

:OTL

PRC - [2011/12/18 23:59:06 | 002,743,310 | ---- | M] () -- C:\Program Files\Tor\tor.exe

SRV - [2011/12/18 23:59:06 | 002,743,310 | ---- | M] () [Auto | Running] -- C:\Program Files\Tor\tor.exe -- (tor)

[2011/12/18 23:59:05 | 000,000,000 | ---D | C] -- C:\Program Files\Tor

IE - HKU\S-1-5-21-3685068502-375031852-3190143389-1009\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKU\S-1-5-21-3685068502-375031852-3190143389-1009\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

O4 - HKU\S-1-5-21-3685068502-375031852-3190143389-1009..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present

O33 - MountPoints2\{21f975be-bb81-11df-8ac1-00123fb57521}\Shell\AutoRun\command - "" = F:\qhbfqx.exe

O33 - MountPoints2\{21f975be-bb81-11df-8ac1-00123fb57521}\Shell\open\Command - "" = F:\qhbfqx.exe

O33 - MountPoints2\{26337d82-060b-11e0-8ad7-00123fb57521}\Shell\AutoRun\command - "" = J:\start.exe

O33 - MountPoints2\{26337d82-060b-11e0-8ad7-00123fb57521}\Shell\iledefrance\command - "" = J:\start.exe

O33 - MountPoints2\{5180bb37-df71-11df-8ac7-00123fb57521}\Shell\AutoRun\command - "" = G:\2u923g01.exe

O33 - MountPoints2\{5180bb37-df71-11df-8ac7-00123fb57521}\Shell\open\Command - "" = G:\2u923g01.exe

O33 - MountPoints2\{719aca5d-e6aa-11de-8a92-00123fb57521}\Shell\Shell00\Command - "" = F:\Start.exe

O33 - MountPoints2\{ebdb85ce-1f60-11e0-8ade-00123fb57521}\Shell\AutoRun\command - "" = F:\trikfx/spomenar.exe

O33 - MountPoints2\{ebdb85ce-1f60-11e0-8ade-00123fb57521}\Shell\explore\command - "" = F:\trikfx/spomenar.exe

O33 - MountPoints2\{ebdb85ce-1f60-11e0-8ade-00123fb57521}\Shell\open\command - "" = F:\trikfx/spomenar.exe

[2011/12/21 11:13:19 | 000,000,865 | ---- | M] () -- C:\known2_64.met

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Program Files\eMule\emule.exe" = C:\Program Files\eMule\emule.exe:*:Enabled:eMule

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"eMule" = -

 

:Services

 

:Files

ipconfig /flushdns /c

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

C:\Program Files\DAEMON Tools Toolbar

C:\Program Files\Tor

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur "Oui".

A la fin un rapport s'ouvre dans le bloc-note. L'héberger et poster son adresse dans une nouvelle réponse. Fermer le rapport et OTL.

 

>>> Autres symptômes à vérifier?

[ZeKlein]

Bonsoir Lance_yien,

 

Voilà le dernier résultat : Lien CJoint.com BAqv22fYNR0

 

Je vois que tu m'as fait désinstaller Daemon Tools Lite. La barre d'outil ie ne sert effectivement à rien, mais j'utilisais pas mal le lecteur virtuel (j'ai rippé tous mes CD, et j'utilise Daemon Tools Lite pour les monter). Alerté, j'ai regardé sur le net et effectivement, c'est plutot controversé comme programme !

 

Du coup, j'ai quelques questions :

- Comme l'outil est pas mal, est-ce que d'après toi, l'install, sans les options "tool bar" est safe ou est-ce un mauvais plan (les deux opinions coexistent on dirait)

- Si c'est ma version qui est mauvaise, où puis-je en charger une safe ?

- Si c'est un outil à proscrire, quelle est ta reco pour le remplacer ?

 

Question subsidiaire : je l'ai mis sur d'autres machines (XP ou W7), sans sa toolbar. Faut-il reprendre tout le process que je viens de faire sur celle-là ou vaut-il mieux les vérifier une par une en recommançant un process guidé pour chaque ? Dans ce post ou dans un nouveau ?

 

Merci d'avance pour tes réponses

Jef

[lance_yien]

Bonsoir Lance_yien,

 

Voilà le dernier résultat : Lien CJoint.com BAqv22fYNR0

 

Je vois que tu m'as fait désinstaller Daemon Tools Lite. La barre d'outil ie ne sert effectivement à rien, mais j'utilisais pas mal le lecteur virtuel (j'ai rippé tous mes CD, et j'utilise Daemon Tools Lite pour les monter). Alerté, j'ai regardé sur le net et effectivement, c'est plutot controversé comme programme !

 

Du coup, j'ai quelques questions :

- Comme l'outil est pas mal, est-ce que d'après toi, l'install, sans les options "tool bar" est safe ou est-ce un mauvais plan (les deux opinions coexistent on dirait)

- Si c'est ma version qui est mauvaise, où puis-je en charger une safe ?

- Si c'est un outil à proscrire, quelle est ta reco pour le remplacer ?

Si tu télécharges les applications/programmes depuis leurs sites officiels ou des sites conseillés par leurs développeurs et que tu fais attention à chaque étape de l'installation, tu peux t'en sortir sans trop de bobos

Réinstalle ton programme quand tu as fini tout ce qui suit.

 

Question subsidiaire : je l'ai mis sur d'autres machines (XP ou W7), sans sa toolbar. Faut-il reprendre tout le process que je viens de faire sur celle-là ou vaut-il mieux les vérifier une par une en recommançant un process guidé pour chaque ?

Si tu n'as pas de problème particulier, je pense que c'est inutile d'y toucher mais tu peux poster pour une vérification pour chacune des machines.

--

 

Si tu n'as plus de soucis avec ta machine voici quelques suggestions pour t'aider à prendre soin de ta machine (ignore les points déjà traités et/ou ceux que tu juges inutiles pour toi ou ne s'appliquant pas à ton système).

 

 

>>> Supprimer ces utilitaires, si (toujours) présents sur ta machine:

• Supprimer ZHPDiag depuis "Ajout/ suppression de programmes.
  
• Lancer OTL et cliquer sur Purge outils. Laisser faire et redémarrer le PC quand c'est demandé.
  
• Pour supprimer les restes des utilitaires et leurs rapports sur le Bureau et/ou à la racine de la partition système, cliquer-droit dessus => "Supprimer".
  

 

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Poste de travail" => "Propriétés" => "Restauration Système". Cocher la case "désactiver..." et cliquer sur "appliquer".

Quand c'est prêt, décocher cette même case => "OK" et redémarrer le PC. Un nouveau point de restauration sera créé automatiquement.

 

 

>>> Protéger/ Sécuriser:

• LA RÈGLE: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware en fonctionnement.
  
• Y a-t-il un Pare-feu dans la machine? Un pare-feu est le 1er rempart contre les intrusions. Les versions du type "_Internet Security" (normalement payantes) incluent tous les éléments nécessaires. Il suffit de vérifier, activer si nécessaire et passer directement au paragraphe suivant.
  - Le pare-feu de Vista (et Windows 7) peut suffire. Ils sont là et autant s'en servir au moins par gain de place et de ressources. Juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui de Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, , Outpost Firewall FREE.
  
• Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - Windows XP: Cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heur où le PC est allumé.
  - Windows Vista/W7: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.
  
• Installer Update Checker pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit et peut s'installer en même temps qu'autre antispyware. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) contre les "vers" (Autorun worms) avec USBFix ou Autorun Protector. Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.

 

>>> Optimiser Windows:

• Il y a toujours des programmes qui se lancent inutilement en même temps que Windows.
  Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.
  Fermer toutes les applications et autres fenêtres en cours et double-cliquer sur StartUpLite.exe Vista W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique. Sélectionner les entrées affichées et cliquer sur "Continue" (à moins que vous vouliez en garder).
  S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.
  On peut, aussi, utiliser CCleaner pour gérer l'activité de ces processus:
  Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner un processus marqué "Oui" et cliquer sur le bouton "Désactiver".
  Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas d'incidences apparentes (réactiver le processus si nécessaire).
  
• Nettoyer avec (CCleaner) et PureRa puis dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

 

>>> ÉVITER ABSOLUMENT:

• Crack et Cie: Un peu de lecture sur tout ce qui tourne autour de ces programmes: Warez ; Crack ; keygen.
  - Elle est finie l'époque où les cracks sont là juste pour aider ceux qui n'ont pas les moyens de se payer un tel ou tel programme et/ou c'était un signe de rébellion contre ces concepteurs trop avides...
  La nouvelle orientation est de se faire de l'agent facile en vendant des programmes qui "font tout" ou des barres d'outil qui "cherchent et trouvent tout".
  En fait, ils installent au mieux un spyware ou un adware qui tracent les habitudes de l'utilisateur pour lui afficher des pubs ciblées et au pire un rogue ou un rootkit qui peut aller jusqu'à bloquer une machine ou la rendre complètement inutilisable.
  - A noter que les "plus bénins" de ces cracks, ceux qui vous permettent d'installer un programme sans créer de problèmes apparents, mettent votre machine en danger parce que tout programme illégal ne reçoit pas de mises à jour et est donc porteur de vulnérabilités facilement exploitables par les pirates pour s'ouvrir des portes dérobées et disposer de tout ce qu'il veulent dans votre machine.
  Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, on peut éviter tout risque de catastrophe pour sa machine et ses documents personnels en désinstallant tout programme illégal déjà installé, en vidant les dossiers qui contiennent ce type de programmes et en restant à l'écart de ce type de programmes..
  
• Réseaux/Programmes P2P:
  - Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
  Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.
  C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont ) mais qui sait avec certitude lequel est bon et lequel est dangereux?.
  - Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
  - En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
  Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.

 

>>> Ajouter Résolu à ton 1er post (mode d'emploi).

 

 

Bonne chance!