[Résolu] SOS rapport ComboFix please

[Ecucu]

Bonjour à tous,

 

J'ai fait tout ce qui était possible à mon niveau, mais là, c'est hors de mes compétences !

Quelqu'un aurait-il la gentillesse d'analyser ces rapports s'il vous plait ?

Rapport ComboFix, puis rapport HiJackThis si utile...

 

Merci par avance de me donner un coup de main, merci.

[bernard53]

bonsoir

 

Pas de soucis dans tes rapports

 

dis moi ton XP n'est pas à jour du tout pour IE6

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Change cela s.t.p

 

Sinon quel soucis as tu encore sut on pc?

[Ecucu]

super merci...

j'utilise toujours firefox, jamais InternetExplorer

mais j'imagine que c'est pas un argument sérieux.

 

Alors les symptômes:

un présentiment dabords... je connais mon PC, il ne fait pas la même musique que d'habitude...

Y'a eu lors d'une session internet sur firefox une fenêtre qui a été redirigée,

puis ça a été un écran tout blanc avec une page d'internet explorer qui bug méchamment tout en blanc alors que je n'utilise jamais IE !

Plus tard en relançant le PC, sans rien que je fasse, il repartait tout seul dans son délire de page IE buggée.

Obligé de localiser et retirer manuellement la .dll incriminée, et de l'empêcher de démarrer en modifiant la msconfig.exe

...et puis c'ezt juste à ce moment que je m'apperçois que ma version de Avast a expiré 2 heures plus tôt...

je lance donc une mise à jour et passe à la version 7...

j'ai cru dans un premier temps à un faux antivirus.

J'ai énormément de logiciels qui ne sont pas à jour sur le PC et qui dorment dans un coin...

Dans mes recherches pour éradiquer le mal, j'ai utilisé beaucoup de logiciels pharmaciens du moment...

et j'en ai trouvé des trucs pas cool comme des machinCoolSearch.les castagnettes... et des trucs louches dans les hosts chéplutro le nom...bref... un rogue aussi pourquoi pas ?

Et puis y'a eu aussi cet épisode de combofix téléchargé à partir d'un site comme ici, un site qui vient en aide aux internauts dans la cagade comme moi, et ce fichier une fois lancé a fait une fenêtre Dos de 2 secondes puis plus rien... et aprés ça été une fenêtre type windows qui s'ouvre avec une histoire à dormir debout où il faut que je prenne contact au plus vite avec mon banquier... j'ai tellement eu peur que j'ai fermé illico presto c'te poison et je serais bien incapable de vous dire exactement ce qui était marqué tellement j'ai été rapide dans la panique... j'ai juste cliqué non au lieu de oui pour m'en débarasser...

bon et puis pour couronner le tout, il y a un rapport qui fout les jettons... celui de ZHPdiag que j'ai lancé cet aprés midi en désespoir de cause... c'est franchement pas beau un PC qui tourne depuis 5 ans sans formatage !

IMPRESSIONNANT tout ce que j'ai retrouvé dans ce rapport.

Alors voilà... j'ai le sentiment que mes données personnelles, identifiants, mots de passes, id bancaires ne sont plus en sécurité sur mon firefox... c'est possible ???

donc je spychotte un max et là c'est carrément le PC qui est en quarantaine... j'ai débranché le cable éthernet... et je surf actuellement sur un netbook qui me rend bien service...

je ne sais plus quoi penser de tout ça... rogue, trojans, coolsearchweb, zeroAccess,... usurpation d'identité, consultation de mes Emails à mon insue, récupération de mes identifiants bancaires, scan de mes archives,

je délire ou c'est possible ???????

 

Dans le gestionnaire de tache, j'ai des pics inhabituels à intervalles réguliers...

Y'a deux logs pharmaciens qui me disent que mon spdt.sys déconne.

des lignes trouvées et copiées à partir de rapports d'erreurs trouvés ça et là renvoient à

Des sites évoquant la possibilité d'être piloté de l'extérieur par un virus.

Pendant des sessions sur internet, l'unité centrale se met à mouliner ferme on ne sait pas pourquoi...J

 

Je suis totalement pommé là.

Merci d'être intervenu...

Désolé pour mon message long et brouillon.

[bernard53]

ok mets moi plutôt un rapport Zhpdiag puisque tu l'as installé sur ton pc s.t.p

[Ecucu]

Bonjour,

 

Désolé pour mon retard, pas de PC connecté, pas d'Internet donc.

Je fais un gros bisou à ma voisine qui me prête son Netbook... Sympa Elie, merci !

 

Voilà un Rapport de ZHPDiag de ce matin.

De mon côté... trop long à expliquer... plus tard...

des petits problèmes réglés dans l'ensemble, comme "Windows Installer" H.S... bref...

 

PS : Bernard que veux-tu dire par "pas à jour" ? c'est Mozilla ou XP qui pose un problème de version ?

Modifié le 1 juin 2012 par Dylav
Hébergement d'un rapport volumineux ;o)

[bernard53]

ok fait ceci.

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKLM\Software\Classes\AppID\WMHelper.DLL] => Infection PUP (PUP.BearShare)

[HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]

[HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]

[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]

[HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]

[HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]

O69 - SBI: prefs.js [Administrateur - d5tneq74.default] user_pref("interclue.preferences", "{\"User.buildId\":\"987bcab01b929eb2c07877b224215c92\",\"Security.sites\":{\"surfcanyon.com\":[...]

O69 - SBI: prefs.js [Administrateur - d5tneq74.default] user_pref("interclue.preferences.backup", "{\"User.buildId\":\"987bcab01b929eb2c07877b224215c92\",\"Security.sites\":{\"surfcanyon[...]

O69 - SBI: SearchScopes [HKCU] ${searchCLSID} [DefaultScope] - (@ieframe.dll,-12512) - Bing

[HKLM\Software\Classes\AppID\NCTAudioCompress3.DLL]

[HKLM\Software\Classes\AppID\NCTAudioFormatSettings3.DLL]

[HKLM\Software\Classes\AppID\WMHelper.DLL]

[HKLM\Software\Classes\CLSID\{03F14321-8FED-4CBC-B01A-4B57FC199062}]

[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}]

[HKLM\Software\Classes\CLSID\{2C6F7E96-73BC-47A5-9F51-B67F0BAFE24D}]

[HKLM\Software\Classes\CLSID\{4C58EB04-7B72-4D3D-A36E-66167A99BC31}]

[HKLM\Software\Classes\CLSID\{4EE0B011-604C-47F3-8F2B-39F79640B85E}]

[HKLM\Software\Classes\CLSID\{6BC38BF4-E84D-46E1-920B-42D31AEA617E}]

[HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]

[HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]

[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]

[HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]

[HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]

 

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

 

 

ensuite mets bien à jour Malwarebytes' et fait juste un scan rapide.

Dis moi après comment va ton pc.

[Ecucu]

Merci beaucoup Bernard

Pas le temps de faire la manip maintenant...demain aprés midi aprés le boulot sans faute !

Mais j'ai bien regardé tes lignes et j'y trouve des doublons...

Je suis perfectionniste donc chieur de première !

C'est la fin de la semaine et tu as le droit d'être fatigué toi aussi.

Confirmes-tu l'exactitude de la chronologie des lignes saisies ?

PS: Tu ne m'as pas encore dit pour les versions de XP versus internet explorer

PS2: j'ai oublié de mentionner tout à l'heure qu'il y a pas mal de lignes bleues

dans le dernier rapport, couleur qui n'apparaît pas dans une simple copie de texte.

Cela doit bien avoir son importance ?

 

Rapport demain sans faute

Encore merci pour ton aide

bonne nuit

[Dylav]

Bonsoir Ecucu, salut Bernard !

 

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Ton Windows XP est à jour. C'est d'Internet Explorer que te parle Bernard. Il faut l'upgrader en version 8 (les versions ultérieures ne sont pas supportées par XP). En effet, même si tu n'utilises pas IE au quotidien, tu dois le conserver (donc le mettre à jour), car il est nécessaire pour les mises à jour Microsoft.

 

Nota : j'ai fait héberger tes rapports, qui étaient bien volumineux. Surtout le rapport de ZHPDiag, qui fait régulièrement planter l'affichage des sujets qui le présentent en copier/coller. Il est vrai que Bernard avait oublié de le spécifier…

[Ecucu]

Mes respectueuses saluations à tous !

Bonjour Bernard, bonjour Dylav,

Sûr que c'est mieux sans les kilomètres d'ascenseur ! merci Dylav.

Roger that Dylav... je passe à IE8 dés que je remets un pied sur la toile...

 

 

* Que signifie la couleur bleu de certaines lignes dans le rapport initial de ZHPdiag ?

Bernard, voilà le rapport ZHPfix aprés lui avoir collé tes lignes magiques.

L'opération a pris tout au plus une poignée de secondes pendant lesquelles j'ai vu défiler ma vie

dans le reflet de sa fenêtre active...

...y'a encore l'empreinte de l'étreinte de mes mains sur les accoudoirs du fauteil...

Aprés çà, MisterFixateur y m'a même pas demandé de relancer le PC...

alors je l'ai fait pour lui, histoire de le soulager un peu dans sa tache.

voilà, PC relancé...

Pas de mise à jour possible de Malwarebytes de mon côté... je m'interdis internet jusqu'à nouvel ordre.

Je lance donc un scan rapide avec ma version vieile de 9 jours... rien, RAS, zéro partout...

Je lance maintenant un scan long... j'attends... c'est long... dans un prochain post sûrement...

 

A noter: Je n'ai pas vraiment l'impression que Malwarebytes ait contribué à repérer quoique ce soit même mis à jour durant la vingtaine d'utilisation que j'en ai fait ces derniers jours... rapport VIDES à chaque fois !!!

De ce fait, que penser de ce nouveau rapport vide ???

Il a dû jouer sans aucun doute un rôle décisif au tout début, il y 15 jours...

Alors là, le rapport, il était salé de chez salé !

Si j'arrive à remettre la main dessus, je vous le collerai histoire de rigoler un peu.

Donc pour en revenir à nos octets,

Bernard, voilà le rapport ZHPfix aprés lui avoir collé tes lignes magiques:

 

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre :

Run by Administrateur at 02/06/2012 16:06:34

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Clé(s) du Registre ==========

ABSENT SearchScopes :BI: SearchScopes [HKCU] ${searchCLSID}

SUPPRIME Key*: HKLM\Software\Classes\AppID\NCTAudioCompress3.DLL

SUPPRIME Key*: HKLM\Software\Classes\AppID\NCTAudioFormatSettings3.DLL

SUPPRIME Key*: HKLM\Software\Classes\AppID\WMHelper.DLL

SUPPRIME Key*: HKLM\Software\Classes\CLSID\{03F14321-8FED-4CBC-B01A-4B57FC199062}

SUPPRIME Key*: HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}

SUPPRIME Key*: HKLM\Software\Classes\CLSID\{2C6F7E96-73BC-47A5-9F51-B67F0BAFE24D}

SUPPRIME Key*: HKLM\Software\Classes\CLSID\{4C58EB04-7B72-4D3D-A36E-66167A99BC31}

SUPPRIME Key*: HKLM\Software\Classes\CLSID\{4EE0B011-604C-47F3-8F2B-39F79640B85E}

SUPPRIME Key*: HKLM\Software\Classes\CLSID\{6BC38BF4-E84D-46E1-920B-42D31AEA617E}

SUPPRIME Key*: HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}

SUPPRIME Key*: HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}

SUPPRIME Key*: HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}

SUPPRIME Key*: HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}

SUPPRIME Key*: HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}

 

========== Valeur(s) du Registre ==========

SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe

SUPPRIME FirewallRaz (DP) : C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Préférences navigateur ==========

ABSENT Mozilla Pref: user_pref("interclue.preferences", "{\"User.buildId\":\"987bcab01b929eb2c07877b224215c92\",\"Security.sites\":{\"surfcanyon.com\":[...]

ABSENT Mozilla Pref: user_pref("interclue.preferences.backup", "{\"User.buildId\":\"987bcab01b929eb2c07877b224215c92\",\"Security.sites\":{\"surfcanyon[...]

 

========== Dossier(s) ==========

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

 

========== Récapitulatif ==========

15 : Clé(s) du Registre

4 : Valeur(s) du Registre

2 : Dossier(s)

2 : Fichier(s)

2 : Préférences navigateur

 

 

End of clean in 00mn 02s

 

 

Y'a encore des trucs louches ?

genre de ce qui doivent partir mais qui veulent pas

et de ce qui doivent rester mais qui sont partis quand même ?

 

Le scan long est toujours en cours... je poste donc sans

 

_over

[bernard53]

bonsoir a tous

merci Dylav pour ces détails complémentaires il est vrai que je signale l'ébergeur quand je demande le scan mais pas fait cette fois

Ecucu très bien pour IE8

Malwarebytes est très bien mais comme tout il ne fait pas toutes les détections. D'ailleurs aucun outils ne sait faire cela.

 

Comment va ton pc cette fois?