[Résolu] Comportement suspect

[Miko57]

Bonjour,

 

Mon ordinateur portable a un comportement pour le moins étrange. J'utilise Kapersky Internet Security 2013 sur un portable sous Windows 7 64 et quand je désactivais le pare-feu Windows pour qu'il n'y ait pas de conflit il se réactivait tout seul. Ensuite en allant dans Centre Réseau et partage -> paramètres de partages avancés je désactivais "désactiver la découverte du réseau" et "désactiver le partage de fichiers et imprimantes" et les options choisies étaient remplacées par d'autres non choisies. Par exemple, ça me récativait tout seul le partage fichiers et imprimantes. Sans imprimante ni connectée ni allumée. Je réptais alors mes choix et bis répétita ! A n'y plus rien comprendre ! Le tout après un reformatage. En désinstallant Kapersky et en remplaçant par Avira cela semble, pour l'instant, être rentré dans l'ordre avec pour le coup le pare feu Windows activé puisqu'Avira n'est pas une suite (en version gratuite ?) mais ça ne me rassure en rien. Un scan avec Avira ne trouve rien de suspect. Mais pour moi ce comportement est suspect.

Il n'y a pas forcément de rapport mais je pense qu'il peut éventuellement être important de le souligner... J'ai récemment reçu un mail d'une plate-forme de réseau social où j'avais été inscrit dans le passé m'indiquant qu'ils avaient été hackés et m'indiquant qu'un courrier que je leur avais envoyé pouvait potentiellement - je dis bien potentiellement puisque ça semble avoir été envoyé à tout un tas de personnes - faire partie des données piratées. Bon mais là je suis peut-être en mode parano. Et puis cela dit j'ai modifié mes mots de passe.

 

Merci d'avance.

Modifié le 13 mars 2013 par Miko57

[pear]

Bonjour,

 

Si j'ai bien compris, votre machine marche convenablement depuis le remplacement de Kaspersky par Avira.

 

Mais vous avez quelque inquiétude .

 

Lancez cet outil de diagnostic:

 

Zhpdiag

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il devrait y avoir 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

 

Cliquez sur le bouton

en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[Miko57]

Merci beaucoup de votre réponse.

 

Effectivement, depuis le remplacement de Kapersky par Avira je n'ai plus eu de problèmes de modification inopinée de certains paramètres. Pour l'instant !

 

Voici le lien vers le rapport demandé : Rapport [edit : http://pjjoint.malekal.com/files.php?read=ZHPDiag_20130312_11t5t10b9u13 ]

 

Je ne sais pas si cela a un rapport ou pas mais en parcourant le log que je ne sais pas interpréter j'ai l'impression que l'antivirus d'origine, fourni sans qu'on demande, n'aurait pas été complètement desinstallé (?). Et je n'ose plus utiliser CCleaner. La désinstallation avait été faite via le panneau de configuration Windows et Kapersky n'avait pas trouvé de logiciels incompatibles lors de l'installation. Cela dit les lignes Trojan du rapport m'inquiètent et je me fie à vous puisque n'importe comment je n'y comprend rien.

 

Merci encore.

Modifié le 12 mars 2013 par Miko57

[pear]

j'ai l'impression que l'antivirus d'origine, fourni sans qu'on demande, n'aurait pas été complètement desinstallé (?

 

Je suppose que qu'il sagit de McAfee.

 

Désinstallation Mc afee

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

 

O4 - GS\QuickLaunch: My LastPass Vault.lnk - Clé orpheline => Orphean Key not necessary

O43 - CFD: 11/03/2013 - 11:48:17 - [0] ----D C:\Users\Bruno\AppData\Local\{3D529F2F-2175-4816-92B4-6EE65A6B3926} => Empty Folder not necessary

O44 - LFC:[MD5.BE29D415A9E17F64B42DE1A739390E81] - 10/03/2013 - 15:09:20 ---A- . (...) -- C:\Windows\Patch.log [19143] => Fichiers de rapport (Log)

O44 - LFC:[MD5.31F9FE9C5B149B7747F8B3DE4DF1A017] - 10/03/2013 - 14:58:12 ---A- . (...) -- C:\Windows\DtcInstall.log [4059] => Fichiers de rapport (Log)

O44 - LFC:[MD5.71265016D4336CE7320EE2FB2D79D01F] - 10/03/2013 - 14:32:23 ---A- . (...) -- C:\Windows\Driver_install.log [129] => Fichiers de rapport (Log)

O44 - LFC:[MD5.07A84908D87627821D34286FD6D174DF] - 10/03/2013 - 14:27:51 ---A- . (...) -- C:\Windows\DPINST.LOG [4844] => Fichiers de rapport (Log)

O44 - LFC:[MD5.AC7860C1DEB853D6AE7B25D490CCED06] - 10/03/2013 - 14:20:30 ---A- . (...) -- C:\Windows\mSataSettings.log [25] => Fichiers de rapport (Log)

O44 - LFC:[MD5.80CD3A6C2E8D5157D6151BF8F26AE322] - 10/03/2013 - 14:20:07 ---A- . (...) -- C:\Windows\TSSysprep.log [3652] => Fichiers de rapport (Log)

O51 - MPSK:{fcd45b49-8984-11e2-a0d4-806e6f6e6963}\AutoRun\command. (...) -- D:\Installation.exe (.not file.) => Fichier absent

O9 - Extra button: LastPass [64Bits] - {43699cd0-e34f-11de-8a39-0800200c9a66} . (.LastPass - LastPass Toolbar.) -- C:\Program Files (x86)\LastPass\LPToolbar_x64.dll

[HKCU\Software\Ask.com.tmp] => Toolbar.Ask

[MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [sPRF][28/01/2013] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Bruno\AppData\Local\Temp\AskSLib.dll [248008]

[HKCU\Software\Ask.com.tmp] => Toolbar.Ask

[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing

[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing

O87 - FAEL: "{379BD2C3-8F4F-437B-9C50-4D71429E0227}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{CCAE537F-67D4-4240-BF86-F3CD49F5FCA8}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{0FE92F98-1F4F-48F1-897C-95C9E852A1B8}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O87 - FAEL: "{2BA12244-40F2-48B0-BB81-3B6068549C37}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

 

EmptyFlash

EmptyTemp

EmptyClsid

FirewallRaz

Proxyfix

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[Miko57]

Oui il s'agit bien de McAfee livré d'office. Votre lien ne semble pas mener là où il faut mais je pense qu'il s'agit de ça : Nettoyez toute trace de McAfee sur votre PC

 

Après, avec Kapersky j'ai remarqué qu'il mettait du temps à charger au démarrage. Ce qui faisait que j'étais connecté au net un petit moment (au moins 30 secondes sinon plus) avant d'avoir l'indication de la mise route de Kapersky. J'avais un point d'exclamation rouge (si je ne me trompe) dans le centre de rapport pour chaque démarrage de Kapersky. Et sous Firefox les extensions de Kapersky ne sont, par ailleurs, pas ou guère supportées avec le "nouveau" mode de mise à jour fréquent de Firefox. J'avais lu que selon Kapersky cela n'impactait pas la protection mais je ne sais pas (?).

 

En ce qui concerne le rapport voici :

 

 

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013

Fichier d'export Registre :

Run by Bruno at 12/03/2013 18:07:59

High Elevated Privileges : OK

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

 

Corbeille vidée

 

========== Module(s) mémoire ==========

SUPPRIME Memory Module: C:\Users\Bruno\AppData\Local\Temp\AskSLib.dll

 

========== Clé(s) du Registre ==========

SUPPRIME CLSID MPSK: {fcd45b49-8984-11e2-a0d4-806e6f6e6963}

SUPPRIME Key*: CLSID Extra Buttons: {43699cd0-e34f-11de-8a39-0800200c9a66}

ABSENT Key: HKCU\Software\Ask.com.tmp

SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

 

========== Valeur(s) du Registre ==========

SUPPRIME {379BD2C3-8F4F-437B-9C50-4D71429E0227}

SUPPRIME {CCAE537F-67D4-4240-BF86-F3CD49F5FCA8}

SUPPRIME {0FE92F98-1F4F-48F1-897C-95C9E852A1B8}

SUPPRIME {2BA12244-40F2-48B0-BB81-3B6068549C37}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope

SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope

SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP

SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP

SUPPRIME FirewallRaz (Public) : NetPres-In-TCP

SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP

SUPPRIME FirewallRaz (None) : {7DA2EFAB-4CA1-4905-839F-5BA8CCDAB37A}

SUPPRIME FirewallRaz (None) : {CE7A10BE-2AE2-42B1-A785-7F96BC8941AF}

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIME ProxyServer Value

SUPPRIME ProxyEnable Value

SUPPRIME EnableHttp1_1 Value

SUPPRIME ProxyHttp1.1 Value

SUPPRIME ProxyOverride Value

 

========== Dossier(s) ==========

Aucun dossiers CLSID Local utilisateur vide

 

========== Fichier(s) ==========

SUPPRIME File: c:\users\bruno\appdata\roaming\microsoft\internet explorer\quick launch\my lastpass vault.lnk

SUPPRIME File: c:\windows\patch.log

SUPPRIME File: c:\windows\dtcinstall.log

SUPPRIME File: c:\windows\driver_install.log

SUPPRIME File: c:\windows\dpinst.log

SUPPRIME File: c:\windows\msatasettings.log

SUPPRIME File: c:\windows\tssysprep.log

SUPPRIME File: c:\program files (x86)\lastpass\lptoolbar_x64.dll

SUPPRIME File: c:\users\bruno\appdata\local\temp\askslib.dll

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

1 : Module(s) mémoire

5 : Clé(s) du Registre

20 : Valeur(s) du Registre

1 : Dossier(s)

11 : Fichier(s)

1 : Restauration Système

 

 

End of clean in 00mn 36s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 12/03/2013 18:07:59 [2825]

[pear]

Mon lien est obsolète , en effet, mais il s'agit bien de le supprimer.

Le problème est que vous montez un sujet de 01Net.

 

Ce site a la réputation d'installer des indésirables.

 

Après usage il serait prudent de vérifier:

 

Pour cela:

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Afin de ne pas fausser les rapports,Recherche et Suppression ne doivent être lancés qu'une seule fois

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

[Miko57]

Alors la bonne nouvelle, c'est que j'ai fini par trouver l'outil de suppression sur le site de McAfee là : http://service.mcafee.com/FAQDocument.aspx?id=TS101331 Et ça semble s'être bien passé.

 

La mauvaise nouvelle c'est qu'avant mon tout mon premier post, après avoir survolé d'autres post, j'ai fait tout seul dans mon coin, juste pour voir ce que ça disait, en confondant avec un anti-malware, une recherche avec AdwCleaner. Même deux recherches. Mais sans aucune suppression. C'est ensuite que j'ai vu qu'il ne fallait pas. Du coup... Je n'ose plus y toucher pour l'instant pour ne rien aggraver.

[pear]

Je vous ai proposé plus haut une procédure que vous devez suivre.

A défaut, je ne vois pas à quoi servirait mon suivi.

[Miko57]

Bonjour,

 

Je suis désolé. C'est avant le suivi que j'ai commi cette erreur grossière. Je m'en excuse. Depuis je vous suis et ne fais rien que vous ne m'ayez proposé.

 

Voici les rapports recherche puis suppression effectuées l'une juste après l'autre.

 

Recherche © CJoint.com, 2012

 

Suppression © CJoint.com, 2012

 

Je vous remercie pour le temps que vous passez à m'aidez. Veuillez m'excuser pour mes erreurs de débutant.

[pear]

C'est bon.

 

Autre chose ?