[Résolu] Infection PC - Log HijackThis

[ttave94]

lien rapport usbfix pc3 :

 

Lien CJoint.com BFspLdy231D

 

Est il nécessaire d'exécuter de nouveau OTL sur pc1 sous windows 7 (sur lequel il y a les lignes personnalisation pour xp)

Notez que ce pc fonctionne ok (pour l'instant)

 

Merci.

[ttave94]

....pb sur pc3 écran noir ...:

 

J'ai posté le rapport, arrêté usbfix, recliqué sur l'icône USBFIX sans faire recherche et ai fait directement suppression :

Certainement mauvaise manip' !, il fallait faire recherche avant suppression ??

 

Merci pour l'aide !!

[pear]

Sur la machine origine du rapport Otl Précédent:

 

Relancez Otl

 

Sous Custom scan Files ou Personnalisation

Copiez Collez

:Otl

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA} - No CLSID value found.

[2008/11/22 15:49:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\rkfree

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions present

[2012/06/16 21:06:05 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe

FF - prefs.js..keyword.URL: "http://redirecterror.sfr.fr/?q="

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

MsConfig - StartUpFolder: C:^Documents and Settings^PROPRIETAIRE^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe - (Adobe Systems, Inc.) => Adobe%Creative Studio

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA} - No CLSID value found.

O8 - Extra context menu item: &Google Search - Reg Error: Value error. File not found

O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} http://codecs.micros...386/wmv9dmo.cab (Reg Error: Key error.)

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} http://www.nvidia.co.../sysreqlab2.cab (Reg Error: Key error.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/...indows-i586.cab (Reg Error: Key error.)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.ma...t/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Reg Error: Key error.)

O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.)

O20 - AppInit_DLLs: (interceptor.dll) - File not found

O20 - AppInit_DLLs: (firewall\wl_hook.dll) - File not found

O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\Kaspersky Anti-Virus 2010\mzvkbd.dll) - File not found

O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\Kaspersky Anti-Virus 2010\mzvkbd3.dll) - File not found

O20 - AppInit_DLLs: (C:\DOCUME~1\ALLUSE~1\AVP11\mzvkbd3.dll C:\WINDOWS\system32\guard32.dll) - File not found

O28 - HKLM ShellExecuteHooks: {FA010552-4A27-4cb1-A1BB-3E2D697F1639} - No CLSID value found.

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Smart Wizard Wireless Settings.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SpySubtract.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^PROPRIETAIRE^Menu Démarrer^Programmes^Démarrage^BHODemon 2.0.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^PROPRIETAIRE^Menu Démarrer^Programmes^Démarrage^Headquarters.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^PROPRIETAIRE^Menu Démarrer^Programmes^Démarrage^Prevx Home.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^PROPRIETAIRE^Menu Démarrer^Programmes^Démarrage^SpywareGuard.lnk - Reg Error: Value error. - File not found

MsConfig - StartUpReg: AVP - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: BluetoothAuthenticationAgent - hkey= - key= - File not found

MsConfig - StartUpReg: COMODO - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: CookiePatrol - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found

MsConfig - StartUpReg: MagicSpeedBooster - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: Mozilla Quick Launch - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: MSMSGS - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found

MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found

MsConfig - StartUpReg: nwiz - hkey= - key= - File not found

MsConfig - StartUpReg: Ptipbmf - hkey= - key= - File not found

MsConfig - StartUpReg: rfagent - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: TkBellExe - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: updateMgr - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: Windows Defender - hkey= - key= - Reg Error: Value error. File not found

MsConfig - StartUpReg: zBrowser Launcher - hkey= - key= - Reg Error: Value error. File not found

Drivers32: VIDC.I420 - msh263.drv File not found

[2012/06/17 10:01:16 | 000,000,022 | -HS- | M] () -- C:\WINDOWS\90C7D912BE2316.sys

 

:files

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

[purity]

[emptytemp]

[resethosts]

-------->Cliquer Runfix ou Correction

 

OTL redémarrera le système automatiquement.

Postez le rapport.

 

 

Lancez Usbfix.:

 

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

[/color]

 

 

Pour Désinstaller UsbFix (après la désinfection)

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

[/color]

Modifié le 18 juin 2012 par pear

[ttave94]

Citation:

"Sur la machine origine du rapport Otl Précédent Relancez Otl :"

 

Sur pc3 vous voulez dire :

Je ne peux pas relancer OTL sur ce pc, j'ai écran noir !! ...

[pear]

Je n'y comprends rien.

On n'a encore rien fait sur cette machine sauf le rapport Usb que vous avez lancé.

 

J'ai l'impression désagréable que vous mélangez les procédures entre vos 3 machines, non ?

Je vous avais bien spécifié que je n'acceptais de les nettoyer qu'à la condition qu'elles soient présentées l'une après l'autre pour éviter ce genre d'erreur.

 

Résultat, vous avez planté .

Pour tenter de réparer cet écran noir:

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

 

Si tout va bien, la machine démarrera sur l'environnement OTLPE

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

%temp%\1\*. /s

%temp%\2\*. /s

%temp%\4\*. /s

%temp%\1\*.* /s

%temp%\2\*.* /s

%temp%\4\*.* /s

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

 

/md5start

AGP440.sys

ahcix86s.sys

alg.exe

atapi.sys

cdrom.sys

cngaudit.dll

csrss.exe

eNetHook.dll

eventlog.dll

explorer.exe

fxssvc.exe

iastorv.sys

IdeChnDr.sys

iesetup.dll

inseng.dll

KR10N.sys

logevent.dll

lsass.exe

locator.exe

msdtc.exe

mshtml.dll

ndis.sys

netlogon.dll

nvatabus.sys

nvata.sys

nvgts.sys

nvstor.sys

nvstor32.sys

pngfilt.dll

rdpclip.exe

scecli.dll

sceclt.dll

spoolsv.exe

snmptrap.exe

sppsvc.exe

taskhost.exe

taskeng.exe

tcpip.sys

UI0Detect.exe

usbscan.sys

usbprint.sys

userinit.exe

vaxscsi.sys

vds.exe

viamraid.sys

ViPrt.sys

volsnap.sys

vssvc.exe

WatAdminSvc.exe

wbengine.exe

webcheck.dll

wininit.exe

winlogon.exe

WmiApSrv.exe

wmpnetwk.exe

wscntfy.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[ttave94]

Je ne comprends pas trop non plus !! :

 

Je vous avais déjà envoyé les rapports zhpdiag et adwcleaner pc3, mais bon, j'ai certainement effectivement fait une mauvaise manip', je le reconnais humblement !!

 

Bon, concernant l'écran noir de pc3 :

 

Est il possible de télécharger OTLPE sur un DD externe ou clé USB au lieu de graver un cd ?? car je ne suis pas certain que le lecteur CD fonctionne sur pc3

 

Si pas possible avec DD externe, j'essaierai avec tout de même avec un cd.

 

Ce que j'ai compris de la procédure (pas très familier avec l'informatique) :

 

1-Je télécharge OTLPEstd.exe sur le bureau, puis je le grave sur le cd sans l'ouvrir.

 

2-J'insère le cd dans le lecteur pc3, la machine doit démarrer sur l'environnement OTLPE, puis seulement là, après avoir répondu aux diverses demandes, je copie les lignes mentionnées sur votre post et clic sur analyse.

 

Est ce bien cela ?

 

Si possible avec DD ou clé USB, prière de m'indiquer la procédure.

 

Merci.

[pear]

C'est à peu près ce que vous avez écrit.

Mais le cd est nécessaire.Pas de fonctionnement sur clé Usb ou disque externe.

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

[ttave94]

QQchose me chagrine :

 

Dois-je graver directement le fichier OTLPEStd de 93,5 Mo sur le cd, ou dois-je préalablement l'ouvrir sur le bureau de l'ordinateur sur lequel je l'ai chargé ?

 

Merci.

[pear]

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge..

 

 

Ps: je serai absent demain.

[ttave94]

Bonjour,

 

Merci pour l'info, je vais regarder ça à tête reposée

 

Bonne journée.