[Résolu] Infection PC - Log HijackThis

[ttave94]

Bonsoir,

 

Comme promis, voici le log de pc3 : Lien CJoint.com BFqsT3I94iW

 

Bonne soirée

 

Merci.

[pear]

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

[HKCU\Software\mc] => Infection MagicControl (Possible)

O43 - CFD: 22/11/2008 - 15:49:16 - [0.063] ----D C:\Program Files\RKFree => Infection Keylog (Keylogger.Logixoft)

[HKLM\Software\Classes\imside1egate.application.1] => Infection BT (Adware.BHO)

[HKLM\Software\Classes\setup.player] => Infection BT (Spyware.MarketScore)

[HKLM\Software\Classes\setup.player.2k2] => Infection BT (Spyware.MarketScore)

[HKLM\Software\Classes\TypeLib\{04006843-5199-4CE4-B3CD-8092CC91706E}] => Infection BT (Adware.BHO)

[HKLM\Software\Classes\Interface\{E9BBD270-4B87-4EE2-912F-6635674986C0}] => Infection BT (Adware.BHO)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}] => Infection BT (AskSBar.Adw)

C:\Program Files\rkfree => Infection Keylog (Keylogger.Logixoft)

O4 - HKUS\S-1-5-18\..\Run: [browserChoice] . (.Microsoft Corporation - Choix de navigateur .) -- C:\WINDOWS\system32\browserchoice.exe

O4 - HKUS\S-1-5-18\..\Run: [browserChoice] . (.Microsoft Corporation - Choix de navigateur .) -- C:\WINDOWS\system32\browserchoice.exe

O43 - CFD: 21/11/2008 - 10:36:38 - [3.851] ----D C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O51 - MPSK:{13fae4bf-d207-11db-bf38-0003c97f4fbe}\AutoRun\command. (...) -- F:\.pspware\PSPWareLauncher.exe (.not file.) => Fichier absent

O51 - MPSK:{13fae4d8-d207-11db-bf38-0003c97f4fbe}\AutoRun\command. (...) -- F:\.pspware\PSPWareLauncher.exe (.not file.) => Fichier absent

O51 - MPSK:{a8d18d25-f26a-11dc-adf0-0003c97f4fbe}\AutoRun\command. (...) -- C:\WINDOWS\system32\winsys3.exe (.not file.) => Fichier absent

O18 - Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} . (...) -- => Toolbar.Crawler

[HKCU\Software\CToolbar] => Toolbar.Crawler

[HKLM\Software\AskSBar] => Toolbar.Ask

[HKLM\Software\CToolbar] => Toolbar.Crawler

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\Crawler] => Toolbar.Crawler

[HKLM\Software\Classes\Interface\{01C78433-6FDF-4E5A-A82D-B535C32E03DF}] => Toolbar.Crawler

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}] => Toolbar.Ask

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}] => Toolbar.Crawler

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}] => Toolbar.Ask

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}] => Toolbar.Ask

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] => Toolbar.AskTBar

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] => Toolbar.AskTBar

[HKLM\Software\Classes\Interface\{41349826-5C7F-4BF0-8279-5DAF1DE6E9AE}] => Toolbar.Crawler

[HKLM\Software\Classes\TypeLib\{506F578A-91E1-46CE-830F-E2F4268E9966}] => Toolbar.Crawler

[HKLM\Software\Classes\Interface\{604EA016-1EDE-41E6-A23E-76CF8F2A4808}] => Toolbar.Crawler

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}] => Toolbar.SweetIM

[HKLM\Software\Classes\Interface\{B3BA5582-79A9-464D-A7FA-711C5888C6E9}] => Toolbar.Crawler

[HKLM\Software\Classes\TypeLib\{E79BB61D-7F1A-41DF-8AD0-402795E3B566}] => Toolbar.Crawler

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa}] => Toolbar.Deenero

[HKCU\Software\CToolbar] => Toolbar.Crawler

[HKLM\Software\CToolbar] => Toolbar.Crawler

 

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

 

 

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

2)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

3)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

4)Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[ttave94]

Bonjour,

 

Ci- joints :

rapports nettoyage zhp et adwcleaner:

 

Lien CJoint.com BFquLndTFct

Lien CJoint.com BFrj5aLzmek

 

J'exécuterai mbam et vous ferai parvenir le rapport

 

Merci,

Bon dimanche

[ttave94]

Désolé, par ailleurs,je n'arrive plus à exécuter zhpdiag (version du 24/05/2012), le message est :

 

Erreur systeme : code 5 accès refusé

 

Merci pour l'aide.

[pear]

Je ne vois pas ce qui expliquerait le problème Zhpdiag, mais vous povez le remplacer par Otl:

 

Télécharger OTL sur le bureau

Double cliquer sur l'icône

 

 

Si la protection en temps réel de Malwarebytes Anti-Malware est activée..

Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

 

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Cochez]----------------->Tous les utilisateurs (scan all users)

Sous Rapport (output)

Cliquez ----------------------------->Rapport Standard (Standard Output)

Sous Régistre Standard(Standard Registry) cocher Tous(All)

Cochez------------------------------> Lop check et Purity check

 

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse

une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[ttave94]

Bonsoir,

 

Liens rapports OTL :

 

Lien CJoint.com BFruCh5E3E9

Lien CJoint.com BFruDoSq8in

 

Merci,

Bonne soirée.

[pear]

Relancez Otl

 

Sous Custom scan Files ou Personnalisation

Copiez Collez

:Otl

IE - HKLM\..\URLSearchHook: {a65e491f-a436-4952-b49a-b24ed99a0f67} - No CLSID value found

IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found

FF - prefs.js..browser.startup.homepage: "http://allssearch.com/"'>http://allssearch.com/"

FF - prefs.js..keyword.URL: "http://allssearch.com/resultats.html?q=&oq=&aq=f&aqi=g10e1&aql=1&gs_sm=12&gs_upl=1089l1089l0l3340l1l1l0l0l0l0l83l83l1l1l0&gs_l=partner.12..0l10j34.1089l1089l0l3340l1l1l0l0l0l0l83l83l1l1l0.gsnos%2Cn%3D13.1."

FF - user.js..browser.startup.homepage: "http://allssearch.com/" => ZHPHosts Black List

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files (x86)\RelevantKnowledge

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_257.dll File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

[2011/02/20 22:25:34 | 000,001,747 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ejxp9lqi.default\searchplugins\ask.uk.xml

O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.

O2 - BHO: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.

O18:64bit: - Protocol\Handler\livecall - No CLSID value found

O18:64bit: - Protocol\Handler\ms-help - No CLSID value found

O18:64bit: - Protocol\Handler\msnim - No CLSID value found

O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found

O18:64bit: - Protocol\Handler\skype4com - No CLSID value found

O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found

21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Secunia PSI Tray.lnk - - File not found

MsConfig:64bit - StartUpReg: DriverScanner - hkey= - key= - File not found

MsConfig:64bit - StartUpReg: SunJavaUpdateSched - hkey= - key= - File not found

MsConfig:64bit - State: "startup" - Reg Error: Key error.

MsConfig:64bit - State: "bootini" - Reg Error: Key error.

MsConfig:64bit - State: "services" - Reg Error: Key error.

2012/06/17 19:12:42 | 000,000,380 | ---- | M] () -- C:\Windows\tasks\Registry Reviver64-User-Startup.job

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

[purity]

[emptytemp]

[resethosts]

-------->Cliquer Runfix ou Correction

 

OTL redémarrera le système automatiquement.

Postez le rapport.

 

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller UsbFix (après la désinfection)

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

[ttave94]

Bonjour,

 

J'ai, je crois fait une erreur lorsque je vous ai dit :

 

"Désolé, par ailleurs,je n'arrive plus à exécuter zhpdiag (version du 24/05/2012), le message est :Erreur systeme : code 5 accès refusé"

 

CAR je ne vous ai pas précisé sur quel pc j'avais cette erreur !! (étant donné que j'avais demandé d'analyser mes 3 pc avec zhpdiag)

 

En effet :pc1 est sous windows 7, pc2 et 3 sous xp

 

J'avais donc cette erreur sur pc1 (le premier pc sur lequel j'ai exécuté zhpdiag, et donc celui sur lequel j'ai aussi exécuté OTL), aviez-vous bien compris cela ?? car j'imagine que les lignes à copier dans perconnalisation sont différentes sous xp et w7 ?, en tout cas pc1 fonctionne normalement !!

 

Dans ces conditions, dois-je ou non exécuter usbfix ?.

 

Merci encore pour l'aide.

[pear]

Il va de soi que les procédures Otl et Usbfix sont à exécuter toutes deux sur le dernier pc présenté.(hier 20.28)

 

car j'imagine que les lignes à copier dans perconnalisation sont différentes sous xp et w7

 

Non, les différences ne sont pas significatives.

Modifié le 18 juin 2012 par pear

[ttave94]

Bonjour,

 

OTL a été exécuté sur pc3 (là où il devait l'ètre !!)

 

liens :

Lien CJoint.com BFsprwCEdQ3

Lien CJoint.com BFsptNnbbUo

 

Rapport usbfix à venir.