verif log hijackthis

[tornado]

Re,

 

 

Le fichier détecté par panda est un faux-positif (panda s'est trompé en gros ) => http://fileinfo.prevx.com/adware/qqbd28144...fCount.dll.html

 

Donc ne touche pas à ce fichier

 

depuis que j'ai chargé IE-SPYAD il semblerais que j'ai un peu moins de pub, pourtant c'etais jamais de la pub porno ?! tu voisd la ça fais un moment que j'ai rien eu. ensuite ça depend des sites

 

Ok ... c'est même normal qu'il reste encore des pubs qui s'affichent, étant donné qu'IE n'est pas bien sécurisé à la base. Donc privilégie ta navigation sur Firefox si tu veux éviter ce genre de problèmes...

 

par contre j'ai 3 ficgiers dans win\temp qui refusent de s'effacer, j'ai un logiciel pour forcer l'effacement je ne risque rien avec des temps ?

 

Pourrais-tu me donner leurs noms ?

 

 

 

A+

[didoufr]

hello

voici les 2 fichiers que je ne peus pas effacer de win\temp

 

Perlib_Perfdata_1d8.dat

ZLT05d9d.TMP

 

bye a ++++

et merci

[tornado]

Re,

 

Perlib_Perfdata_1d8.dat est un fichier que Windows recrée à chaque redémarrage; il stocke les données de performances système - en gros - , donc tu n'as pas à te faire du souci, il est légitime.

 

Conernant l'autre fichier, je sais pas trop... fais donc analyser C:\WIndows\Temp\ZLT05d9d.TMP

 

... par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Send )

 

Normalement, tu obtiens un rapport sur chacun des 2 sites. Copie-les et met-les dans ton prochain post.

 

-------------------------------------------------------------------------------------------------------------

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante); pour terminer la désinfection :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

================================================================

 

 

 

 

A+

[didoufr]

hello

je vais bien sur les 2 sites en questions mai je ne peus pas selectionner pjdkgply.exe ???? il faudrais qu'il soit sur mon disque dur non ?? sinon je vois pas

quand a Blacklight (de F-Secure); il ne me propose que scan et je ne peus pas copier la liste du resultat lol

il ne me propose que cleaning or je ne suis pas sur de nettoyer des logiciels inutiles forcement

c'est la version du 26 juin 2006

 

bon j'ai effacé !!! on verras bien

a ++++

merci abientot

[tornado]

Re,

 

hello

je vais bien sur les 2 sites en questions mai je ne peus pas selectionner pjdkgply.exe ???? il faudrais qu'il soit sur mon disque dur non ?? sinon je vois pas

 

 

Désolé , c'est une erreur de ma part (mauvaise gestion du copier coller)... je voulais bien sûr parler de ZLT05d9d.TMP et non de pjdkgply.exe.

 

quand a Blacklight (de F-Secure); il ne me propose que scan et je ne peus pas copier la liste du resultat lol

il ne me propose que cleaning or je ne suis pas sur de nettoyer des logiciels inutiles forcement

c'est la version du 26 juin 2006

 

Le rapport du scan de Blacklight est contenu dans le fichier .log , généré dans le même répertoire que blbeta.exe, c'est à dire sur le bureau (son nom s'apparente à fsbl.xxxxxxx.log, les x étant des chiffres.

 

bon j'ai effacé !!! on verras bien

a ++++

 

Qu'as tu effacé ?

 

 

 

A+

[didoufr]

oups

j'vais chargé le logiciel dans un repertoire donc il m'as mis le rapport dans le dis repertoire forcement

voici donc oh misere! ce que j'ai effacé:

07/23/06 22:32:08 [info]: BlackLight Engine 1.0.42 initialized

07/23/06 22:32:08 [info]: OS: 5.1 build 2600 (Service Pack 1)

07/23/06 22:32:08 [Note]: 7019 4

07/23/06 22:32:08 [Note]: 7005 0

07/23/06 22:32:15 [Note]: 7006 0

07/23/06 22:32:15 [Note]: 7011 708

07/23/06 22:32:15 [Note]: 7026 0

07/23/06 22:32:16 [Note]: 7026 0

07/23/06 22:32:16 [Note]: 7024 3

07/23/06 22:32:16 [info]: Hidden process: C:\windows\system32\cjgmtzsdpq.exe

07/23/06 22:32:16 [Note]: FSRAW library version 1.7.1019

07/23/06 22:33:51 [info]: Hidden file: c:\WINDOWS\Prefetch\CJGMTZSDPQ.EXE-02196766.pf

07/23/06 22:33:51 [Note]: 10002 1

07/23/06 22:34:00 [info]: Hidden file: c:\WINDOWS\system32\cjgmtzsdpq_nav.dat

07/23/06 22:34:00 [Note]: 10002 1

07/23/06 22:34:00 [info]: Hidden file: c:\WINDOWS\system32\cjgmtzsdpq.dat

07/23/06 22:34:00 [Note]: 10002 1

07/23/06 22:34:01 [info]: Hidden file: C:\windows\system32\cjgmtzsdpq.exe

07/23/06 22:34:01 [Note]: 10002 1

07/23/06 22:34:01 [info]: Hidden file: c:\WINDOWS\system32\cjgmtzsdpq_navps.dat

07/23/06 22:34:01 [Note]: 10002 1

07/23/06 22:36:14 [Note]: 7007 0

pour le reste je vais faire ça et je reviens lol

bon merci

a ++

[didoufr]

Oh misere j'ai decouvert le rapport lol

voici donc ce que j'ai effacé

07/23/06 22:25:56 [info]: BlackLight Engine 1.0.42 initialized

07/23/06 22:25:56 [info]: OS: 5.1 build 2600 (Service Pack 1)

07/23/06 22:25:57 [Note]: 7019 4

07/23/06 22:25:57 [Note]: 7005 0

07/23/06 22:26:05 [Note]: 7006 0

07/23/06 22:26:05 [Note]: 7011 708

07/23/06 22:26:05 [Note]: 7026 0

07/23/06 22:26:05 [Note]: 7026 0

07/23/06 22:26:05 [Note]: 7024 3

07/23/06 22:26:05 [info]: Hidden process: C:\windows\system32\cjgmtzsdpq.exe

07/23/06 22:26:05 [Note]: FSRAW library version 1.7.1019

07/23/06 22:28:03 [info]: Hidden file: c:\WINDOWS\Prefetch\CJGMTZSDPQ.EXE-02196766.pf

07/23/06 22:28:03 [Note]: 10002 1

07/23/06 22:28:13 [info]: Hidden file: c:\WINDOWS\system32\cjgmtzsdpq_nav.dat

07/23/06 22:28:13 [Note]: 10002 1

07/23/06 22:28:14 [info]: Hidden file: c:\WINDOWS\system32\cjgmtzsdpq.dat

07/23/06 22:28:14 [Note]: 10002 1

07/23/06 22:28:14 [info]: Hidden file: C:\windows\system32\cjgmtzsdpq.exe

07/23/06 22:28:14 [Note]: 10002 1

07/23/06 22:28:14 [info]: Hidden file: c:\WINDOWS\system32\cjgmtzsdpq_navps.dat

07/23/06 22:28:14 [Note]: 10002 1

07/23/06 22:31:16 [Note]: 7007 0

 

pour le fichier temp rien je pense qu'il s'agit d'un fichier de zone alarme en fait car il sont souvent marqué de ZL

a+++ merci

[tornado]

Re,

 

 

 

Le rapport de Blacklight indique que ton pc est infecté par le malware Edgeaccess...

 

Voilà ce que tu vas pouvoir faire pour t'en débarasser :

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" )

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

=> Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php

 

 

Etape 3 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 4 : Suppression des fichiers infectieux

 

Depuis l'explorateur Windows :

 

=> Supprime les fichiers suivants (en gras) :

 

- C:\WINDOWS\system32\cjgmtzsdpq.exe

- C:\WINDOWS\system32\cjgmtzsdpq_nav.dat

- C:\WINDOWS\system32\cjgmtzsdpq.dat

- C:\WINDOWS\system32\cjgmtzsdpq.exe

- C:\WINDOWS\system32\cjgmtzsdpq_navps.dat

 

- C:\WINDOWS\Prefetch\CJGMTZSDPQ.EXE-02196766.pf

 

=> Vide la corbeille

 

 

Etape 5 : Utilisation du BFU et du script edgeaccesss.bfu

 

- Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

Etape 6 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

• Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

Etape 7 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec Easycleaner (pour les fichiers temporaires et le registre)

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

 

 

Etape 8 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 9 : Nouveau rapport Hijackthis + Nouveau rapport Blacklight

 

- Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse.

- Fais un nouveau scan Blacklight (comme expliqué précédemment) et copie le contenu du rapport généré

 

======================================================================

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

- Le nouveau rapport de Blacklight

 

 

A+

 

 

PS:

pour le fichier temp rien je pense qu'il s'agit d'un fichier de zone alarme en fait car il sont souvent marqué de ZL

 

Ok...

Modifié le 23 juillet 2006 par tornado