Analyse de rapport Hijackthis SVPRésolu/Fermé

Question

Bonjour,  

Hier, j'ai téléchargé "packupdate107_2124", apparemment un malware, en cliquant sur un lien apparaissant sur la page d'un moteur de recherche. Bien que je n'ai pas ouvert le fichier, l'antivirus a supprimé deux fichiers "Cookie..." 

Malware ne détecte pas de virus.  
Rien du coté de la vérification Spybot. 

L'ordinateur plante souvent aujourd'hui, ce qui me laisse penser qu'il serait peut-être infecté. 

L'analyse automatique de Hijackthis signale que aucun pare-feu n'est activé. Pourtant, ils apparaissent comme étant activés dans l'ordinateur.  

Serait-il possible d'analyser mon hijackthis s'il vous plait ?  
Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 12:59:28, on 14/08/2010 
Platform: Unknown Windows (WinNT 6.01.3504) 
MSIE: Internet Explorer v8.00 (8.00.7600.16385) 
Boot mode: Normal 

Running processes: 
C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\STService.exe 
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe 
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe 
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe 
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe 
C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe 
C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe 
C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe 
C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe 
C:\Program Files (x86)\Adobe\Reader 9.0\Readereader_sl.exe 
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin 
C:\Program Files (x86)\Dell Support Center\gs_agent\dsc.exe 
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
F2 - REG:system.ini: UserInit=C:\Windows\SysWOW64\Userinit.exe, 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - (no file) 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll 
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll 
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - "C:\Program Files\BitDefender\BitDefender 2010\Antispam32\IEToolbar.dll" (file missing) 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe" 
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" /mode2 
O4 - HKLM\..\Run: [Desktop Disc Tool] "c:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe" 
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\RunOnce: [Launcher] C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\Launcher.exe 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe 
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU') 
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user') 
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe 
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll 
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL 
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll 
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll 
O13 - Gopher Prefix:  
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL 
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) 
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) 
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe 
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe 
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) 
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) 
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\WildTangent\Dell Games\Dell Game Console\GameConsoleService.exe 
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe 
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe 
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) 
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe 
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks - C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE 
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) 
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) 
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe 
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.exe 
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) 
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) 
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe 
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) 
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) 
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRYSVC.EXE 
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) 
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) 

End of file - 10702 bytes 


Merci d'avance. 

Cordialement, 
Sauve-qui-peut 

Configuration: Configuration: Windows 7 / Firefox 3.6.8

Utilisateur anonyme · Answer

Salut Sauve-qui-peut * Bienvenue sur CCM ! * N'ouvre pas d'autres sujets pour le même problème >> sur ce forum ou sur un autre * Ensemble nous allons essayer de régler ton problème . * Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau. * logiciel de diagnostic * Outil qui scanne en profondeur le système, fournissant un rapport plus poussé de l'état du système que le rapport Hijackthis. >> Random's System Information Tool (RSIT) par random/random * Double-clique sur RSIT.exe afin de lancer RSIT. * Sous ==> Windows7/ Vista. * Clic droit sur l'icône RSIT.exe , puis sur Exécuter en tant qu'administrateur dans le menu déroulant,afin de lancer RSIT. * Clique sur Continue à l'écran Disclaimer. * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. * Poste le contenu de log.txt (<==qui sera affiché) ainsi que de info.txt (<==qui sera réduit dans la Barre des Tâches). * Héberge les rapports un par un sur ce site, cijoint.fr * Copie/colle les liens générés ici * Note : Les deux rapports sont également sauvegardés %systemroot%\rsit Pour les rapports * rends toi sur http://www.cijoint.fr * clic sur Parcourir * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré, * les deux liens générés >> faut me les donner ici pour que je puisse voir les rapports PS >> si pour RSIT >> tu as un message d erreur Fais un Clic droit sur RSIT ==> propriétés ==> Compatibilté >> coches la case ==> Exécuter ce programme en Mode Compatibilté pour ==>Dans le menu Déroulant choisi ==>Windows Vista (Pack 2) >> coche en plus la case >> Exécuter ce programme en tant qu administrateur Membre Contributeur sécurité CCM Windows Vista // Windows XP

Sauve-qui-peut · Answer

Je ne comprends pas. Pourquoi le système indiqué est Windows WinNT (6.01.3504) alors que le système installé lors de l'achat de mon ordinateur, il y a à peine quelques mois, était Windows 7 Home Premium (6.1.7600) ? Comment cela peut-il se produire ?

Sauve-qui-peut · Answer

Merci pour votre réponse.   
Je me mets au travail.   

Comment voyez-vous le virus ?

Désolée, je n'avais pas vu votre réponse avant.

Sauve-qui-peut · Answer

Voilà les rapports :

Je ne suis pas sûre que ce rapport ait été effectué en tant qu'administrateur :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijBui8gxY.txt

pour info.txt : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijAZEK0ui.txt

Pour Log.txt exécuté en tant qu'administrateur : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijz7frcr0.txt

Merci bien.

Utilisateur anonyme · Answer

Re

Vérification


1)* Télécharge Defogger (de jpshortstuff) sur ton Bureau
  ICI  >> Defogger (de jpshortstuff)
* Lance le
* Pour Windows Vista et Windows 7, 
*  faire un clic droit et >>  Exécuter en tant qu'administrateur. 
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* PS >> Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

ensuite 


2)/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

 * Télécharge GMER Rootkit Scanner  : 

* GMER est  l'un des meilleurs scanneurs rootkits actuels.
* Il est capable de détecter la casi totalité des rootkits.

>>  gmer 
 
*  Ferme également toutes les applications actives dont ton navigateur. 
*  Clique sur le bouton "Download EXE" 
*  Sauvegarde-le sur ton Bureau. 
*  Double-clique sur l'exécutable téléchargé . 
*  sous Vista , clic  droit sur l'exécutable et choisir exécuter en tant qu'administrateur. 
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer  sur ce site,
cijoint.fr
* Copie/colle les liens générés ici


/!\  Réactives  tous tes logiciels de protection /!\

Utilisateur anonyme · Answer

Salut     


Si tu as eu "Gmer hasn't found any system modification", c'est que GMER n'a rien trouvé, ce qui est bon signe.      

supprimes gmer.      

aprés     

1) analyse le fichier suivant sur Virustotal :     

>> Virus Total     


* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :     


C:\ProgramData\Microsoft      



* Clique maintenant sur Envoyer le fichier.      
 laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.     
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.     
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"),     
* clique sur>>  Formaté en haut à gauche (au dessus du mot "Antivirus" )     
* Une nouvelle fenêtre de ton navigateur va apparaître     
* Clique alors sur les deux fleches     
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier     
* Enfin colle le résultat     


tutoriel pour t aider  >> Tutoriel VirusTotal     



            Membre Contributeur sécurité CCM     
            Windows Vista // Windows XP

Utilisateur anonyme · Answer

Salut

    * Désactive ton antivirus le temps d'installation , 
    des mises à jour  et de l'Analyse du Webscanner Kaspersky

    *Fermes toutes tes autres applications ouvertes

    * Fais un scan en ligne >> Kaspersky Online Scanner
     ICI >>  Kaspersky Online Scanner

    * Clique sur Accept
    * Patiente le temps d'installation du Webscanner.
    * Les bases de mises à jour vont s'installer, patiente un moment
    * Clique sur Next.
    * à gauche tu auras quatre Choix
    *choix :
     critical aréas
     My Computer
     Folder
     File
     
    * Clique sur>>  My Computer,
    * le scan se met en route; 
    * attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.


    * A la fin du scan, si des objets infectés sont découverts, 
    * clique sur Save report as... 
    * Choisis bureau et nomme le rapport "rapport Kaspersky" 
    * et dans le champ d'enregistrement, 
    * choisis "fichiers texte" enregistre alors le rapport.

    * Copie l'entièreté du fichier texte ouvert, par clic droit dessus, 
    * sélectionner tout/copier.

    * Colle ce rapport dans ta réponse sur le forum. 

    * Réactives ton Antivirus

Utilisateur anonyme · Answer

Re

 j ai marqué >> Désactive ton Antivirus

Sauve-qui-peut · Answer

Re  

J'espère que j'ai désactivé correctement l'antivirus.  
Kaspersky n'a rien trouvé.

Utilisateur anonyme · Answer

Re

ok ,et le rapport est ou ??


1) * J ai vu que tu as Malwarebytes  

* Lances--> Malwarebytes (MBAM)  

* Fais une  mise a jour       <== à faire

* Puis vas dans l'onglet "Recherche", coche >> Exécuter un examen complet    
* puis "Rechercher"    
*  Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"    
*  A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport    
*Si MalwareBytes'  détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection    
* S'il t' es demandé de redémarrer, clique sur "oui "    
*  aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici    

ensuite

2) *  Télécharge ZHPDiag  (de Nicolas coolman)

*   ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) . 
Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis 
Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées. 

  ICI   >> ZHPDiag  (de Nicolas coolman)

*  Une fois le téléchargement achevé, 
* double clique sur ZHPDiag.exe et suis les instructions.
*  /!\Utilisateurs de Windows Vista et Windows 7 
*  >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 
*  Laisse toi guider lors de l'installation, 
*  coche >> créer une icône sur le bureau
*  il se lancera automatiquement à la fin.    
*   Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)   
*  Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette   
*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  


* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport

Utilisateur anonyme · Answer

Re 

Ok ,c est bon   

 * Utilises  l'outil ZHPFix ainsi 

* ferme toutes les applications ouvertes. 
* Copies  tout le texte présent en gras dans l'encadré ci-dessous   
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


  

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified 
  


* Double Clique sur l'icone ZhpFix du bureau pour le lancer . 
* Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"   
* Une fois l'outil ZHPFix ouvert ,    

* clique sur le bouton [ H ]  Image( "coller les lignes Helper" ) .   

* Dans l'encadré principal    
* tu verras donc les lignes que tu as copié précédemment apparaitre  .   
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.    
* Pour finir clique sur >> Nettoyer .   
* cliques >> OK puis >>Tous 
* Pour finir clique sur Nettoyer.  
* colle le rapport obtenu .    
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )    

ensuite 

2)*  Télécharge JavaRa.zip (de Paul ' McLain et Fred de Vries) sur ton Bureau. 
ICI >>  JavaRa 
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur >>  Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa  
* clique sur >> Effacer les anciennes versions. 
* Clique sur Oui pour confirmer.  
* Laisse travailler et clique ensuite sur OK,  
* puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log 



3)*  Vaccination tes Amovibles  

* Desactive ton antivirus le temps de la manip  

* Telecharge et install UsbFix (de El Desaparecido et C_XX )  
ICI  >> UsbFix (de El Desaparecido et C_XX ) 
*  Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir  
*  Double clique sur le raccourci UsbFix présent sur ton bureau .  
*  Choisis l'option >>  Vacciner  
*  Laisse travailler l'outil.  
*  Ensuite poste le rapport UsbFix.txt qui apparaîtra  

*  Réactive  ton antivirus 


4) *>> Mozilla Firefox  

 * Sécurise le navigateur Firefox(Utilise le en Priorité) avec  AdBlock Plus 
>> Securiser Firefox 

* tu rajouteras aussi WOT il permet d'identifier aisément les sites dangereux dans les résultats de recherche et dans Firefox,explorer et Google Chrome 
>> WOT  

@+ 
            Membre Contributeur sécurité CCM 
            Windows Vista // Windows XP

Sauve-qui-peut · Answer

Il n'y avait qu'une seule ligne : j'ai cliqué sur Ok puis nettoyer.

Voilà le rapport de ZHPFIX : 
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : 
Run by Your-self at 15/08/2010 22:17:14
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr


========== Récapitulatif ==========


End of the scan

Sauve-qui-peut · Answer

Quant au rapport JavaRa.log (en fait, le journal) : UNE PAGE BLANCHE !!

Je trouve qu'il y a beaucoup de pages blanches à la place des rapports...
Aujourd'hui Java a demandé" plusieurs fois des autorisations... qui lui ont été accordées...

Sauve-qui-peut · Answer

Bonsoir, 

Les rapports UsbFix à la suite des recherches : 

############################## | UsbFix 7.020 | [Recherche]

Utilisateur: Your-self (Administrateur) # YOUR-SELF-PC [Dell Inc. Inspiron 1545]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 00:36:26 | 16/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
CPU 2: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

RAM -> 4092 Mo 
C:\ (%systemdrive%) -> Disque fixe # 283 Go (235 Go libre(s) - 83%) [OS] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (2 Go libre(s) - 45%) [] # FAT32
F:\ -> Disque amovible # 2 Go (211 Mo libre(s) - 11%) [CLÉ2] # FAT

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Et 

############################## | UsbFix 7.020 | [Recherche]

Utilisateur: Your-self (Administrateur) # YOUR-SELF-PC [Dell Inc. Inspiron 1545]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 00:45:37 | 16/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
CPU 2: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

RAM -> 4092 Mo 
C:\ (%systemdrive%) -> Disque fixe # 283 Go (235 Go libre(s) - 83%) [OS] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (599 Mo libre(s) - 16%) [USB DISK] # FAT32
F:\ -> Disque amovible # 987 Mo (944 Mo libre(s) - 96%) [] # FAT

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

A la suite de la vaccination, aucun rapport ne s'est affiché, et aucun rapport texte dans C:\UsbFix

Sauve-qui-peut · Answer

En ce qui concerne AdblockPlus : 
Il n'a pas été possible de le télécharger. Le message apparaissant en haut de la page Internet est "Firefox a empêché cette extension d'installer un logiciel sur votre ordinateur".

Utilisateur anonyme · Answer

Salut 1)Erreur -203 Mozilla firefox Ton profil est peut-être corrompu Sauvegarde tes marques pages Cliques >>marques pages >> organiser les marques- pages >> Importation et Sauvegarde >>Exporter au format HTML >> et là tu sauvegarde dans le dossier que tu veux exemple Documents un fichier >>bookmark.html a été crée regarde ensuite ==> nouveau-profil pour remettre les marques-pages dans Firefox Cliques >>marques pages >> organiser les marques- pages >> Importation et Sauvegarde >>Importer au format HTML >> et là tu tu recherches le fichier >>bookmark.html dans le dossier ou tu l as sauvegardé ensuite esayes d installer à nouveau les modules aprés 2) tu as Ccleaner * Lances CCleaner. * Ensuite, clique sur Options ==> Avancé et décoche la case * Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures * Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage. * Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées. * Accepte la sauvegarde, de la BDR (base de registre )qu'il propose * Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.) 3) Poste un Nouveau log ZHPDiag @+ sois patient ,nous avons une vie prof.. et Familiale !!!

Utilisateur anonyme · Answer

Salut

Pas de probs

Fais ce que je t ai marqué pour Firefox (nouveau Profil) + installer les modules

et Ccleaner + ZHPDiag

@+

Sauve-qui-peut · Answer

Bonsoir, 

Le nouveau profil est crée et les modules complémentaires sont installés.

Le nettoyage avec CCleaner a été effectué. 

Le nouveau rapport ZHP Diag : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijTX4GzIu.txt

Cordialement, 
S-Q-P

Utilisateur anonyme · Answer

Re 

1) Ok !!Mozilla avec le nouveau profil 


2) Comme remarqué dans le précédent rapport de ZHPFix 
tu vas refaire en lisant bien 


* ferme toutes les applications ouvertes.   
* Copies  tout le texte présent en gras dans l'encadré ci-dessous     
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


    

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified   
    


* Double Clique sur l'icone ZhpFix du bureau pour le lancer .   
* Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"     
* Une fois l'outil ZHPFix ouvert ,      

* clique sur le bouton [ H ]  Image( "coller les lignes Helper" ) .     

* Dans l'encadré principal      
* tu verras donc les lignes que tu as copié précédemment apparaitre  .     
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.      
* Pour finir clique sur >> Nettoyer .     
* cliques >> OK puis >>Tous   
* Pour finir clique sur Nettoyer.    
* colle le rapport obtenu .      
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )      







            Membre Contributeur sécurité CCM 
            Windows Vista // Windows XP

Sauve-qui-peut · Answer

Bonjour, 

Voilà le rapport de ZHPFix après avoir recommencé :

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-12-08-11.txt
Run by Your-self at 17/08/2010 12:08:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre


End of the scan

Cordialement, 
S-Q-P

Utilisateur anonyme · Answer

Salut

Ok !! tu vois quand tu veux !! lol !!


1) *  Installe ce Soft qui te tiendra au courant des mises à jour de tes Logiciels installés

* Télécharge  Update Checker  

* logiciel permet de trouver la liste des logiciels installés sur ton PC ainsi que leurs versions actuelles, et en comparant cette liste avec la base des données du serveur.  
* il peut dire quel logiciel n'est pas à jour, et il te propose également de le télécharger   

ICI >> Update Checker 
* Installe le avec les paramètres par défaut en cliquant chaque fois sur Suivant.
* Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.
* Double-cliques sur l'icône pour être redirigé sur le site de téléchargement des mises à jour.
* Un conseil : n'installe pas les BETA qui sont listées en dessous.>> Beta Updates Detected
* Tu installes les mises à jour 


2) * Télécharge  Supress'tools (de NicoVA) :  
*  Utilitaire pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques  :   

 ICI >>Supress'tools (de NicoVA)  

    * Enregistre le fichier sur le Bureau.  
    * Double-cliquez sur Supresstools.exe pour l'exécuter   
     *(si vous êtes sous Windows Vista et Windows 7,   
    * fais un clic-droit sur le fichier Supresstools.exe et >> exécutez-le en tant qu'administrateur.)  
    * Clique sur Recherche, puis Suppression pour finaliser.  
    * Un rapport sera généré (il est également enregistré à la racine du disque dur : C:\Report.txt)   
    * poste le Rapport  

@+ pour la suite et fin 

Comment va ton PC !!

Sauve-qui-peut · Answer

Bonjour, 

Oui... :D
Après avoir cliqué sur OK, il y avait une petite case à cocher à coté de la ligne, et je ne l'avais pas vue la première fois. Ensuite, ZHPFix veut bien "Nettoyer".

Le PC va bien. 
Merci beaucoup pour votre aide. 

Est-ce que avant d'enlever le logiciel, je peux l'utiliser pour supprimer autre chose ? 

Par exemple, les lignes 02 - "no file" de McAfee ou 02 - BHO: (no name)...? 

Ou encore O4 - HKLM \...\RunOnce: [Launcher] C:\Program Files (x86)\Dell Datasafe Local backup\Components\scheduler\Launcher.exe,  un spyware selon le hijackthis ?  

Bien cordialement, 
Sauve-qui-peut

Utilisateur anonyme · Answer

Re

ok avant de supprimer  les utilitaires

dans ce cas poste moi le log Hijackthis j y jetterai un oeil 

@+

Utilisateur anonyme · Answer

Re

je ne vois rien 
fais moi un copié/collé de cerapport

Utilisateur anonyme · Answer

Salut

Pas la peine ,je n obtiens aucun rapport ainsi

copie/colle moi ce rapport ici même

Sauve-qui-peut · Answer

Bonjour, 
J'ai envoyé une réponse hier en te remerciant parce que j'ai téléchargé Update Checker. Je disais aussi que je ne savais pas quelle version choisir pour la mise à jour de Flash Player avec ou sans IE. 
J'ai posté hier un nouveau rapport avec le hijackthis mis à jour. Mais aujourd'hui, il n'y est plus. Je disais aussi que j'adore les scans :D

C'est bizarre parce que j'ai un autre message qui a disparu sur le forum cuisine. 

Voilà le nouveau scan (aujourd'hui, impossible d'envoyer un message avec le copier/coller du rapport) : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cij50Nspi4.txt

Cordialement, 
Sauve-qui-peut

Utilisateur anonyme · Answer

Salut


1) * Lances Hijackthis
*  Cliques sur ==> Do a System Scan Only
*  coches ces Lignes et pas d autres
surtout pas les (no name) tous seuls


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"     
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"     
O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe" /background     
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe     






*  Fermes tes autres applications 
*  Cliques sur ==>  Fix Checked

ensuite

a la venir pour désactiver  les applications inutiles  au démarrage 

2) Telecharges  Starter 
*  Starter est un logiciel permettant de visualiser et de gérer les programmes qui se chargent automatiquement au lancement de Windows . 

ICI >> Starter 

*  désactives les applications inutiles  au démarrage autres que tes protections,applications windows et pilotes 

aprés

3)* régle de sécurité :on réfléchit puis on clique et pas l'inverse
* Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas


4) *  Fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
* Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. 
* Certaines infections cryptent les documents et demandent une rançon pour les récupérer, 
* d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... 
* Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.

5) * un peu de lecture
Tu prendras le temps de lire
 Synthèse du Projet Antimalwares 
 Projet Antimalwares  


6) * Tu peux mettre ton problème résolu !!
>> Résolu

Sauve-qui-peut · Answer

Re, 

Voilà le rapport de Supress'tools : 

Rapport Supress'tools
Supress'tools a été éxécuté le 19/08/2010 à 19 : 08
Par Your-self
Système d'exploitation : WIN_7 / X64 / 
Mode | Recherche | 

¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤

rsit\ trouvé !
Usbfix\ trouvé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Desktop\ ¤¤¤¤¤¤¤

ZHPDiag.txt Trouvé !
ZHPFixReport.txt Trouvé !
UsbFix.exe Trouvé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Documents\Téléchargements\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Windows\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files (x86)\ ¤¤¤¤¤¤¤

trend micro\ trouvé !
ZHPdiag\ trouvé !

¤¤¤¤¤¤¤ C:\Windows\Prefetch\ ¤¤¤¤¤¤¤

SETUP.EXE-55658A2C.pf trouvé !
MBR.EXE-8BFEEB6E.pf trouvé !
HIJACKTHIS.EXE-64490959.pf trouvé !
ZHPDIAG.EXE-6A1D0894.pf trouvé !
ZHPFIX.EXE-53F600F6.pf trouvé !

¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤

HKEY_CURRENT_USER\Software\Trend Micro Trouvé!

¤¤¤¤¤¤¤ Demande d'upload ¤¤¤¤¤¤¤ 

UsbFix_Upload_Me_YOUR-SELF-PC.zip

=> Envoyer ceci pour aider le dévellopeur de cet outil !

((((((((((((((( EOF )))))))))))))))


Rapport Supress'tools
Supress'tools a été éxécuté le 19/08/2010 à 19 : 14
Par Your-self
Système d'exploitation : WIN_7 / X64 / 
Mode | Suppression | 


¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤

rsit Supprimé !
Usbfix Supprimé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Desktop\ ¤¤¤¤¤¤¤

ZHPDiag.txt Supprimé !
ZHPFixReport.txt Supprimé !
UsbFix.exe Supprimé !

¤¤¤¤¤¤¤ C:\Users\Your-self\Documents\Téléchargements ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Windows\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files (x86)\  ¤¤¤¤¤¤¤

trend micro\ Supprimé !

¤¤¤¤¤¤¤ C:\Windows\Prefetch\ ¤¤¤¤¤¤¤

SETUP.EXE-55658A2C.pf Supprimé !
MBR.EXE-8BFEEB6E.pf Supprimé !
HIJACKTHIS.EXE-64490959.pf Supprimé !
ZHPDIAG.EXE-6A1D0894.pf Supprimé !
ZHPFIX.EXE-53F600F6.pf Supprimé !

¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤

HKEY_CURRENT_USER\Software\Trend Micro Supprimée!

((((((((((((((( EOF )))))))))))))))

Cordialement, 
Sauve-qui-peut

Sauve-qui-peut · Answer

Re, 

J'ai ouvert Starter et je me suis aperçue que Adobe ARM et quelques autres sont toujours là au démarrage. 

J'ai recommencé Fix check avec Hijackthis... une autre fois, mais deux lignes parmi celles que vous m'avez indiquées sont toujours là :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

et 

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

Cordialement, 
Sauve-qui-peut

Sauve-qui-peut · Answer

Re, 

Le document "projet antimalware" est super. Comment puis-je faire pour participer à sa rédaction ? Je vois qu'il y a un bouton pour participer de manière interactive, mais je ne comprends pas comment cela fonctionne. 

Ou alors j'envoie le document par mail ? 

Cordialement, 
Sauve-qui-peut

Sauve-qui-peut · Answer

Bonjour, 

En fait, en lisant un lien figurant sur ce document, je me suis aperçue qu'il y a bien un rootkit dans ma machine : un certain nombre de PID apparaissent dans le Netstat qui ne figurent pas dans le taskmgr. 

Le problème, c'est que je ne sais pas à quel processus ces PID sont liés. En effet, sur ce lien, il est expliqué comment rendre un processus caché visible par l'antivirus afin de le supprimer à l'aide de Gmer et IceSword. Le problème est que Gmer ne fonctionne pas sur ma machine (d'ailleurs, c'est bizarre : j'ai essayé de le télécharger à nouveau et le fichier porte à chaque fois des noms différents). 

J'ai essayé la version Beta de l'antirootkit BlackLight mais il y a un problème de compatibilité... 

C'est dommage car il est capable de détecter le faux-codec VidéoAccess. Or, le rapport ZHPDiag me laisse penser que c'est un phénomène proche à cause des lignes 017 : 

---\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B596DEE-4E56-484C-99DC-A43EF040362C}: DhcpNameServer = 212.27.40.240 212.27.40.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{F50E32D3-3432-4440-9B1D-8C9D6DF6751D}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{5B596DEE-4E56-484C-99DC-A43EF040362C}: DhcpNameServer = 212.27.40.240 212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{F50E32D3-3432-4440-9B1D-8C9D6DF6751D}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{5B596DEE-4E56-484C-99DC-A43EF040362C}: DhcpNameServer = 212.27.40.240 212.27.40.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{F50E32D3-3432-4440-9B1D-8C9D6DF6751D}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.240 212.27.40.241 

Une autre solution est proposée mais je ne l'ai pas encore essayée parce qu'elle demande à ce que ces lignes 017 soient supprimées à l'aide de HijackThis et parce que je n'y connais rien au réseau. 

J'ai refait un RSIT à la recherche de la correspondance entre le PID ou le port utilisé et le nom du processus. Cette fois, cela a bien fonctionné...

Le rapport Log : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijFsQo5nd.txt

Le rapport info : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijmkUd5TC.txt

Voilà où j'en suis...

Cordialement, 
Sauve-qui-peut

Sauve-qui-peut · Answer

Bonjour, 

J'ai fait un scan à l'aide de OTL.
 
Le rapport est très long...

Je continue l'exploration. 

Cordialement, 
Sauve-qui-peut

Utilisateur anonyme · Answer

Salut

toi dans ton Log Hijackthis que tu m as donné je n ai rien  qui me montre un détournement des DNS

http://www.cijoint.fr/cjlink.php?file=cj201008/cij50Nspi4.txt

et rien dans le log RSIT  mise à part qu il n a pu téléchargé Hijackthis >> HijackThis download failed

Sauve-qui-peut · Answer

Re,  

Apparemment, le DNS 212.27..., c'est normal. Cela correspond au serveur du fournisseur d'accès qui a racheté la société qui me fournit l'accès.  

J'ai refait un scan en mode sans échec avec Malwarebytes' et il n'a pas détecté de problèmes. 

Je ne peux toujours pas utiliser toutes les fonctionnalités de Gmer mais il est tout de même possible d'observer quelques processus et modules qui n'apparaissent pas dans le taskmgr :  
System [PID 4] 
Isass.exe [PID 516] 
lsm.exe [PID 524] 

En revanche pour tous les autres PID, je ne dispose pas d'informations sur le processus caché lié. 

Cordialement,  
S-Q-P

Utilisateur anonyme · Answer

Comme dis avant rien ne montre un détournement des DNS

Serveurs DNS
 >> Free

DNS Primaire : dns1.proxad.net 212.27.40.240
DNS Secondaire : dns2.proxad.net 212.27.40.241 

donc pas de soucis

Utilisateur anonyme · Answer

Re

pour moi c est terminé

te dis bon surf !!

Sauve-qui-peut · Answer

Bonsoir, 

Merci beaucoup pour votre aide.

Bonne continuation. 

Sauve-qui-peut

Utilisateur anonyme · Answer

Salut

Pas de soucis

@+

Sauve-qui-peut · Answer

Salut,  

De mon côté, c'est reparti pour un tour, Spybot a supprimé un Trojan Win32.Banker hier. Aujourd'hui, en effectuant une sauvegarde : message d'erreur... et le CD est resté bloqué dans le lecteur.  

Hijackthis mentionne des trojans aux lignes 052.  
Est-ce que je dois recommencer tout le processus ?  

Cordialement, 
Sauve-qui-peut

Analyse de rapport Hijackthis SVP

39 réponses

Discussions similaires

Newsletters