analyse fichier LOG hitjackthis Résolu/Fermé

Question

Bonjour,
Est-ce quelqu'un peut intépréter mon fichier LOG. Problèmes rencontrées : ouverture intempestive de pages web, des messages du type "l'instruction à l'adresse 0x00003e3 emploie l'adresse mémoire 0x00003x3, la mémoire ne peut êetre read", outlook et internet Explorer qui plantent et me demandent d'envorez un rapport d'erreur...; Ai passé norton AV, Ad-adware, spyboot pour supprimer trojan. Spyboot via une fenêtre "résident" me donne des messages de registre modifiés et me demande d'accpeter ou non ces modifs : comme je ne sais pas quel pgm a modifié les registre, je n'accepte pas.
Merci de vos commentaires

kduc · Answer

Salut,

Télécharge Genproc : http://www.genproc.com/GenProc.exe ; puis, double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre.

verni29 · Answer

Tu as du oublié le rapport ?

A+

verni29 · Answer

Re,

Plusieurs infections et des fichiers inconnus sans doute infectieux.

Commence par ceci :

Télécharge Navilog d'il mafioso.
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe
Double clique sur Navilog1.exe pour l’installer. Suis les invites.
·	Double-clique sur le raccourci de navilog ( sur le bureau ). 
·	Sélectionne la langue puis valide. 
·	Choisis l'option 1 ( ne choisit pas une autre option )
Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
Tu copies et colles le texte de ce rapport dans ton prochain message. 

Note : Si tu ne le trouves pas, il est en C:\Cleannavi.txt.

A+

kduc · Answer

...

Certes, on y voit du Navipromo ...

C:\documents and settings\famille guillot\local settings\application data\prbev.exe
O4 - HKCU\..\Run: [qauoya] C:\Documents and Settings\Famille GUILLOT\qauoya.exe  
O4 - HKCU\..\Run: [rwaxbi] "c:\documents and settings\famille guillot\local settings\application data\rwaxbi.exe" rwaxbi  

Mais, on y voit aussi (surtout), un Windows non activé, modifié, voire cracké ! 

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')  
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') 

Alors, en pareil cas, que préconisent les helpers ?

Sur certains forums, la sanction est celle-ci :

"Les personnes ayant des Windows crackés seront bannies"

---
Si vous avez un CD d’installation Microsoft Original et une licence, d’installer ce Windows :
Tutorial d'installation de Windows XP -> https://www.malekal.com/installer-windows-xp/
Si vous n’avez pas de licence, achetez-en une chez Microsoft et de préférence demandez avec un CD d’installation original.
Passer à GNU\Linux : https://forum.malekal.com/viewtopic.php?f=5&t=14170
qui propose des OS libres et gratuits, qui de plus ne sont pour l’instant que très peut touchés par les Malwares.

---
verni29, je te confie le sujet. Pour ma part, je me retire.

verni29 · Answer

Salut, kduc 1/ Pour les lignes que tu désignes, C:\documents and settings\famille guillot\local settings\application data\prbev.exe O4 - HKCU\..\Run: [qauoya] C:\Documents and Settings\Famille GUILLOT\qauoya.exe Ce n'est pas du Navipromo. 2/ Pour ces lignes qu'on peut voir dans les rapports, la question est toujours la même. Est-ce une version modifiée avec nlite ou une version illégale ? Ce que j'en sais : --> Un Windows modifié a générallement cette désignation : O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL') ou O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL') --> D'autres lignes sont plus explicites : O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU') ou O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL') ( Windows trust ou sweet ) ou O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL') Totallement illégal. Le doute est permis ici. Et ne crois surtout pas que je cautionne ce genre de pratique. :-( En tout cas, c'est très bien d'avoir une éthique et de s'y tenir. @+

kduc · Answer

...

"Et ne crois surtout pas que je cautionne ce genre de pratique "

Je n' en doutais pas un seul instant.

Mon intention était d' informer ... tout simplement.

PS : pour Navipromo (éléments résiduels), ça y ressembe ... étrangement.

Auquel cas, Navilog1 ne s' imposait pas.

verni29 · Answer

Si, 
cette ligne est bien du navipromo :
O4 - HKCU\..\Run: [rwaxbi] "c:\documents and settings\famille guillot\local settings\application data\rwaxbi.exe" rwaxbi  

Pour les deux autres, j'aurais bien demandé à l'internaute d'analyser les fichiers.

Pour poursuivre sur les versions modifiées ou crackées, la présence de nlite n'est pas non plus un gage d'une version seulement modifiée. ;-)
Le doute est là comme je te le disais.

Si c'est une des trois lignes que je connais, je demande à l'internaute de réinstaller proprement son OS.

@+

verni29 · Answer

Re,

Il faut utiliser les outils indiqués.  Qu'est ce qui te fait douter ? 

Utilisenavilog .
Cet outil va déjà te débarasser des pages de pubs intempestives.

A+

verni29 · Answer

OK, 

Poste un nouveau rapport Hijackthis, stp;

A+

verni29 · Answer

Re, 

Tu as raison de me signaler les messages que tu as sur le PC.
On verra pour ce fichier.

# Ouvre le bloc-Note de windows puis copie-colle dedans ce qui est en gras juste ci-dessous :

rwaxbi

--> dans le bloc-Note, vas dans fichier--> enregistrer sous :

# Appelle-le Navscript.txt
# Enregistre-le dans C:\program files\Navilog1 (C'est impératif)

# Double-clique sur le fichier Navilog1.exe sur ton bureau.
# Laisse toi guider et patiente.
# Le Fix va automatiquement démarrer sans passer par le menu principal.

# Patiente jusqu'au message "Scan terminé le......"
# Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Il te sera peut-être demandé de redémarrer ton PC.

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt.

A+

kduc · Answer

Salut,

"O4 - HKCU\..\Run: [qauoya] C:\Documents and Settings\Famille GUILLOT\qauoya.exe 
O4 - HKCU\..\Run: [rwaxbi] "c:\documents and settings\famille guillot\local settings\application data\rwaxbi.exe" rwaxbi "

A coup sûr, c' est du Navipromo (ou variant) ... Seulement, le tool ne réagit pas !

A mon avis, la version du Windows est en cause. 

chadirecha peut-il(elle) nous renseigner à ce sujet ?

verni29 · Answer

Salut, kduc

qauyo.exe est une variante d'un trojan Win32/Vobfus.
Ce n'est pas du navipromo. Il manque quelque chose sur la ligne en 04. Non ?

Pour la version modifiée de XP, elle a répondu.

@+

kduc · Answer

...

Application Data

verni29 · Answer

Re, 

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

# Double-clique sur " RSIT.exe " pour le lancer . 
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis  1 month pour l'option "List files/folders created ...". 
# clique ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées. 

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

verni29 · Answer

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. 
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
# Double-clique sur OTMoveIt.exe pour le lancer. 
# Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous  Paste Instructions for Items to be Moved. 

:reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"qauoya"=-
"rwaxbi"=-

:files
C:\Documents and Settings\Famille GUILLOT\qauoya.exe

:commands
[emptytemp] 

# Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results".
# Le PC va te demander de redémarrer pour supprimer les fichiers.
# après le redémarrage, un rapport va s'ouvrir. 
# Copie/Colle le contenu du rapport dans ton prochain message.

Note : Si tu ne trouves plus le rapport,c'est un fichier .log qui se trouve en C:\_OTMoveIt\MovedFiles.

A+

verni29 · Answer

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

Le scan est assez long ( environ 1 heure ).
Il se fait tard. Tu peux le lancer ce soir ou demain mais je regarderais cela demain.

A+

verni29 · Answer

Il y a une infection sur les supports amovibles.

Télécharge  http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe ( par Chiquitine29 ) sur ton bureau.

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

 Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

A+

verni29 · Answer

Re, 

Fais attention à ta partique de surf.
Un de ces jours, tu te retrouveras infecté par un virus bien plus dangereux.
https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/

-----------------------------------------------------------------------------------------------------------------

1/  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

2/ Relance RSIT et poste le rapport.
Il n'y aura qu'un seul rapport.

A+

verni29 · Answer

1/ On va nettoyer le rapport Hijackthis.
Certains exécutables se chargent au démarrage et prennent une partie de la mémoire.

Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
   
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe     
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot     
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"     
O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime     
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot     
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 

Tu choisis l'option " Fixchecked" en bas de la page.

2/ Fais un scan en ligne.
Suis le tuto : https://forum.pcastuces.com/default.asp

A+

verni29 · Answer

Re, 

Tu as de nouveau des pages de pubs ?
Le PC est de nouveau infecté ?

Relance RSIT et poste le rapport.

A+

verni29 · Answer

Relance OTM et copie/colle le texte ci-dessous dans Paste Instructions ... :

:files
C:\WINDOWS\system32\stu2.exe 

:commands
[emptytemp]

L'ordi va redémarrer. poste le rapport obtenu.

A+

verni29 · Answer

re,

Le fichier qu'on vient de supprimer a été crée peu avant le scan en ligne de BitDefender.
Il a , au vu des infos sur le net, comme symptome de modifier/remplacer un fichier système.
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : C:\WINDOWS\system32\userinit.exe

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

A+

PS : Pour répondre à ta question sur Hijackthis --> https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/
C'est plutot compliqué au premier ablord et nécessite pas mal de temps avant d'arriver à s'y retrouver.
Il existe un site d'analyse en ligne mais qui n'est plus tenu à jour. A utiliser avec précaution.
http://www.hijackthis.de/fr

chadirecha · Answer

voila le résultat:
Le fichier a déjà été analysé:
MD5: e74ddb12188c2ff57a78624dbf7332fc 
First received: 2009.02.13 08:46:26 UTC 
Date 2009.11.21 13:39:38 UTC [+1D] 
Résultats 0/41 
Permalink: analisis/22362cab11561d7bbae99bff4a8811fa33920b48f2027e736e1bdccb9b617cbd-1258810778

verni29 · Answer

Bon, 

Un peu d'explication :

Ce qui a été trouvé par malwarebytes :
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\rwaxbi (Trojan.Agent.H) -> Quarantined and deleted successfully. 
C'est une clé orpheline de la base de registre. Simple nettoyage.

Pour la quarantaine de  Norton :
A0004816.exe, qauoa.scr.usbFIx, qauoa.exe.UsbFix....qui ont été néttoyé par suppression. 
Le premier fichier est un fichier de la restauration système. il faudra nettoyer cela.
Les fichiers *.Usbfix sont les fichiers détectés par USBFix et déplacés. Norton les a ensuite détectés comme infectieux et les a également mis dans sa quarantaine.

Vide la quarantaine de Norton et de Malwarebytes.

Pour le scan en ligne d'ESET :
Line00000012 = "C:\Downloads\Speed-Downloading_setup.exe Détecté avec: Gen:Adware.Heur.8qX@kyouA2ki"
Line00000011 = "C:\Downloads\Speed-Downloading_setup.exe Echec de la désinfection"
Line00000010 = "C:\Downloads\Speed-Downloading_setup.exe Supprimé"
Line00000009 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP101\A0004384.exe Détecté avec: Gen:Adware.Heur.uq0@jqpJZ1di"
Line00000008 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP101\A0004384.exe Echec de la désinfection"
Line00000007 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP101\A0004384.exe Supprimé"
Line00000006 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP107\A0004787.scr Infecté par: Trojan.VB.Chinky.J"
Line00000005 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP107\A0004787.scr Supprimé"
Line00000004 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP109\A0004815.exe Détecté avec: Gen:Adware.Heur.8qX@kyouA2ki"
Line00000003 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP109\A0004815.exe Echec de la désinfection"
Line00000002 = "C:\System Volume Information\_restore{74EADCEF-AF67-4A4E-8ABD-0CC242BEB0C3}\RP109\A0004815.exe Supprimé"
Line00000001 = "C:\_OTM\MovedFiles\11152009_224016\C_Documents and Settings\Famille GUILLOT\qauoya.exe Infecté par: Trojan.VB.Chinky.J"
Line00000000 = "C:\_OTM\MovedFiles\11152009_224016\C_Documents and Settings\Famille GUILLOT\qauoya.exe Supprimé"
Le logiciel speed-download devait être un de ces logiciels pourris.
Tout ce qui est noté system volume information, c'est la restauration système. Comme je te le disais, à nettoyer.
Enfin, Pour OTM\MovedFiles, c'est la quarantaine d'OTM que ESET a nettoyé.

Pour poursuivre, il reste deux choses à faire.
- mettre à jour le PC pour éviter des failles de sécurité
- finir par enlever les logiciels utilisés et nettoyer la restauration système.

1/ Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

3/ Va sur le site de Secunia et vérifie la version de tes logiciels :
https://www.flexera.com/products/operations/software-vulnerability-management.html

A+

chadirecha · Answer

le rapport de java:
JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Nov 22 21:39:24 2009

Found and removed: C:\Program Files\Java\jre1.6.0_05

Found and removed: C:\Documents and Settings\Famille GUILLOT\Application Data\Sun\Java\jre1.6.0_05

Found and removed: C:\Documents and Settings\Famille GUILLOT\Application Data\Sun\Java\jre1.6.0_15

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\JavaPlugin.160_05

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_05

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160050}

Found and removed: Software\Classes\JavaPlugin.160_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_05

Found and removed: Software\JavaSoft\Java2D\1.6.0_05

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\bin\

------------------------------------

Finished reporting.



JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Nov 22 22:23:51 2009

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

------------------------------------

Finished reporting.

verni29 · Answer

Re,

On termine.
Si tu as des questions, n'hésite pas.

On termine.

1) On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2/ Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

3) Il est préférable maintenant que ton PC est propre de nettoyer la restauration système  et de créer un point propre pour une utilisation ultérieure.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

--------------------------------------------------------------------------------------------------------

Ton PC est propre.
Sois prudent dans ton surf.

Une lecture : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

---------------------------------------------------------------------------------------------------------

/!\ Tu peux aussi dénoncer ton infection /!\ 
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10

Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections.
Indique ensuite dans ton message que tu as été infecté par les supports amovibles.

-----------------------------------------------------------------------------------------------------------

Peux-tu mettre le sujet en résolu ? Merci.

En te souhaitant bonne lecture et bon surf.

@+

verni29 · Answer

Comme tu as crée un compte, il te faut l'utiliser et en haut de la page de la discussion, choisir résolu.

@+

Analyse fichier LOG hitjackthis

27 réponses

Discussions similaires