Crainte d'intrusion sur mon pc Résolu/Fermé

Question

Bonjour,

Je constate depuis quelques jours la présence de ce fichier:

PC-FIXE Johansson 2887 MicroDump 2014 3 29 1 011 command.txt

dans le répertoire Utilisateurs/AppData/Roaming/ de mon disque système

Le fichier contient ce genre d'infos:

 ---- TASK MGR ---- | ------------------------------- VIRTUAL MEMORY -------------------------------
managed   private   |   commit    free    largest  average   >1kB  >10kB >100kB   >1MB  >10MB >100MB
  39 MB    328 MB   |   529 MB  3361 MB   2046 MB  5361 kB     35    526     41     27     10      3   12:50:10:  MovieEditorModel, LastUserActivity 11 sec ago
  60 MB    414 MB   |   642 MB  3227 MB   2031 MB  4400 kB     37    603     68     30     10      3   12:50:20:  MovieEditorModel, LastUserActivity 0 sec ago
  61 MB    432 MB   |   660 MB  3184 MB   2032 MB  4026 kB     38    648     73     38     10      3   12:50:30:  MovieEditorModel, LastUserActivity 3 sec ago
  63 MB    416 MB   |   645 MB  3200 MB   2032 MB  3864 kB     37    643    115     40     10      3   12:50:40:  MovieEditorModel, LastUserActivity 6 sec ago


Je me demande si un utilisateur extérieur à mon pc n'est pas entrain de tenter de récupérer des infos ou fichiers sur mon pc.

Que dois-je faire sans pour autant devoir réinstaller Windows 7 pro? Mes Scan avec Kapersky et Superantispyware ne font pas apparaitre de  présence de virus ou de malware apparemment. Je suis derrière le firewall de windows également. Ma connexion internet se fait via la freebox revolution.

D'avance merci de m'éclairer sur cet étrange et fichier et ce qu'il peut recouvrer, voire toutes manipulation permettant de l'empêcher de s'installer.

Claude-Paris

Utilisateur anonyme · Answer

Bonjour

Tu ne touches à rien et tu arrêtes de psychoter

Merci

@+

claude101141 · Answer

Merci Guillaume, mais peut-être pourrais-tu me rendre moins idiot en m'expliquant à quoi cela correspond? J'aime bien connaître ce qui se passe dans mon engin dans mon dos!lol! Promis, je ne toucherai à rien!

Claude

Utilisateur anonyme · Answer

Re

C'est marqué dessus (c'est comme le PORT SALUT)  ;-))

Cela correspond à l'utilisation de la mémoire virtuelle pour certaines tâches.

@+

claude101141 · Answer

ok; je me demandais ce que venait faire ce Johansson  dans l'histoire! il m'a jamais
été présenté, quel malotrus!
Enfin me voilà rassuré. Est-ce normal qu'il n'apparaisse que certaines jours, et pas d'autres? Je sais je suis curieux comme une fouine, mais que veux-tu à 72 balais bien
comptés on ne change pas les vieux réflexes d'ancien analyste financier! Mais promis ce sera la dernière des questions!

Et encore merci

Claude

Utilisateur anonyme · Answer

Re

Ce n'est pas toi Johansson? 
Ce PC porte quel nom?
PC d'occasion?

@+

claude101141 · Answer

Ben non, le nom de mon ordinateur c'es PC FIXE par opposition à mon portable c'est pourquoi je me demande ce que vient faire ce Johansson dans le dossier. Sinon je n'aurais pas posé la question!

Le portable est en réseau avec le fixe et porte le nom de CLAUDE-PORTABLE

Utilisateur anonyme · Answer

Bonjour

Ce n'est qu'un fichier texte.
Si il te gène tant que ça supprime le

@+

claude101141 · Answer

C'est un fichier text de log, il y a donc eu des commandes passées sur le pc, c'est cela qui m'inquiète, quelles en sont l'origine???

Utilisateur anonyme · Answer

Re

On va vérifier ce PC

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://toolslib.net

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Dans la fenêtre ZHPDiag qui vient de s'ouvrir,  clique sur "Configurer"

Clique sur  la loupe  en bas à gauche avec le signe plus   pour lancer l'analyse.


Laisse l'outil travailler, il peut être assez long. 

Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau 

Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

claude101141 · Answer

Ok je m'y mets et te recontacte. Merci pour ta patience.

Claude

claude101141 · Answer

Petit problème la commande "Clique sur "Cliquez ici pour déposer le fichier". N'existe pas sur la page. On te donne la possibilité de parcours ton disque pour charger le fichier et l'envoyer. Que dois-je faire

voilà comment se présente la page


Dépôt de fichiers
pjjoint.malekal.com permet de déposer des fichiers afin d'être partagé avec des correspondants.
Le service permet d'évaluer des rapports HijackThis, OTL et ZPHDiag.
Pour plus d'informations, se reporter à la page : https://pjjoint.malekal.com/presentation.php 

Document public et non Public.
Si vous répondez non à la question Public, vous pouvez protéger l'accès du document par un mot de passe. Ce mot de passe est à communiquer au(x) correspondant(s) avec le(s)quel(s) vous souhaitez partager le document.
(Dans le cas d'une désinfection via forum, il est conseillé de laisser le fichier en public)

Soumettre un Fichier :
Public ? :  oui	 non	

Mot de passe :
 

Chemin du fichier à soumettre :
 






Vous pouvez aussi copier/coller le contenu du rapport puis cliquez sur le bouton Envoyer

Utilisateur anonyme · Answer

Re

C'est assez explicite.
tu laisses coché public
Tu parcours pour trouver ou est ton fichier
Tu cliques ensuite sur envoyer le fichier


tu me communiques ensuite le lien

@+

claude101141 · Answer

c'est ce que je pensais mais l'absence de destinataire m'a pertubée; j'y vais

ci joint le lien

 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140330_x10t15k9q9j12

Je suis absent jusqu'à 23h30 donc pas besoin de te presser pour me répondre.

Encore merci

Claude

Utilisateur anonyme · Answer

Bonjour

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur [Scanner]   puis patiente le temps du scan. 
Une fois le scan terminé clique sur le bouton  [Nettoyer] 
Patiente durant le nettoyage. Lis le message qui apparaît, puis clique sur  Ok  . Le PC va être redémarré automatiquement et le rapport s'ouvrira à la fin du redémarrage. 
Poste le rapport

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

A lire :
 Les programmes potentiellement indésirables :
https://www.malekal.com/adwares-pup-protection/

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=

@+

claude101141 · Answer

Bonjour Guillaume

Voici le second rapport:

https://pjjoint.malekal.com/files.php?id=20140331_c9f8f13c14e12

Question à propos d'un message reçu à la fin de l'opératio:
"Activer la détection des PUP et LPI".
Qu'est-ce que ces bestioles? Dans quelle partie de l'antivirus trouve-t-on en général
cette option à configurer.

Autre question: Il arrive quand on achète un programme sur des sites sérieux, genre Adobe par exemple, qu'on te conseille de désactiver l'antivirus voire le firewall. N'y a-t-il pas un risque à le faire? Pour l'instant je me suis toujours abstenu de suivre ce conseil et n'ai jamais eu de problème de téléchargement, mais j'aimerai connaître ton avis là dessus.

Thanks again,


A plus

Claude

Utilisateur anonyme · Answer

Re

Je ne connais pas la configuration de Kaspersky.
Ces bestioles comme tu le dis;cela t'est expliqué en bas de ce poste

je ne suis pas sur d'avoir tout compris.
Tu désactives l'antivirus pour quoi faire exactement?

@+

claude101141 · Answer

certaines sociétés demandent de désactiver l'antivirus et le firewall quand on leur achète un programme online qui doit ensuite être downlaodé via internet; la question que je me pose est alors la vulnérabilité du pc à ce moment là, dans certains le temps de téléchargement est long. Personnellement je ne l'ai jamais fait. Mais les développeurs disent que dans certains cas la présence de l'antivirus et firewall activé fait que l'on a des erreurs dans le fichier final.

Utilisateur anonyme · Answer

Re

On peut avoir des erreurs si effectivement l'antivirus neutralise un fichier légitime qu'il a traiter comme une menace.



Télécharge Malwaresbytes anti malware ici  
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 

--->>  Installe le (choisis bien français ); ne modifie pas les paramètres d'installe
--->>  Décoche la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium à la fin de l'installation
--->> /!\ Utilisateurs de Vista/7/8/8.1 : faire un clic droit sur le raccourci de MalwareBytes' Anti-Malware et choisir Exécuter en tant qu'administrateur 
--->>  Clique sur Mettre à jour dans le Tableau de bord afin de mettre à jour la base de données. 
--->>  Dans l'onglet Examen, sélectionnez Examen Menaces puis clique sur Examiner maintenant. 
--->>  Une fois le scan terminé, clique sur Tout mettre en quarantaine puis sur Appliquez les actions

--->>  (Si un message demande de redémarrer le PC pour terminer la suppression, accepte)

--->>  Le rapport est disponible dans Historique > Journaux de l'application. (Choisis bien le      dernier en date
Tu sélectionnes le fichier et tu demandes l'affichage 
En bas à gauche un bouton  exporter ; tu cliques dessus et tu choisis fichier texte et tu choisis ensuite ou l'enregistrer pour ensuite pouvoir le poster dans ta prochaine réponse

Merci

@+

claude101141 · Answer

Rapport antimalware https://pjjoint.malekal.com/files.php?id=20140331_f6g11f10k14t7

Merci pour tes infos

a+

Claude

Utilisateur anonyme · Answer

Bonjour

Poste moi un nouveau rapport ZHPDiag;merci

@+

claude101141 · Answer

Bonjour,

C'est fait 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140401_d12k15z5e14d6


A+

Claude

Utilisateur anonyme · Answer

Bonjour

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

Script ZHPFix
G2 - GCE: Preference [User Data\Default] [pflphaooapbgpeakohlggbpidpppgdff] MySearchDial v.9.4.14, (Désactivé)  
O4 - GS\QuickLaunch [claude rozsa]: YouTube Free Downloader 4.3.lnk . (...)  -- C:\Program Files (x86)\YouTube Free Downloader\YouTubeFreeDownloader.exe  
O4 - GS\TaskBar [claude rozsa]: Official Video Converter.lnk . (.Blink Solution - Motion Man.)  -- C:\Program Files (x86)\OfficialVideoConverter\Motion Man.exe   
O4 - GS\TaskBar [claude rozsa]: YouTube Free Downloader 4.3.lnk . (...)  -- C:\Program Files (x86)\YouTube Free Downloader\YouTubeFreeDownloader.exe  
[HKLM\Software\Wow6432Node\OfficialVideoConverter]  
O43 - CFD: 06/02/2012 - 13:41:19 - [79,498] ----D C:\Program Files (x86)\OfficialVideoConverter  
O43 - CFD: 14/03/2014 - 23:28:17 - [5,239] ----D C:\Users\claude rozsa\AppData\Roaming\YouTubeFreeDownloader  
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Mysearchdial) - http://start.mysearchdial.com  
O87 - FAEL: "{451B9B18-6B3A-481F-B5CF-B2EE3F5BC7AE}" | In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\YouTube Free Downloader\YouTubeFreeDownloader.exe  
O87 - FAEL: "{C62B223D-5548-4A0C-BE43-02C13FBDD3AE}" | In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\YouTube Free Downloader\YouTubeFreeDownloader.exe  
O87 - FAEL: "{E009D3F4-9DAC-4D75-866A-60FEAF966E24}" | In - Domain - P6 - FALSE | .(...) -- C:\Program Files (x86)\YouTube Free Downloader\YouTubeFreeDownloader.exe  
O87 - FAEL: "{C0C4F259-F568-4497-B498-AD2E42ECC43D}" | In - Domain - P17 - FALSE | .(...) -- C:\Program Files (x86)\YouTube Free Downloader\YouTubeFreeDownloader.exe  
[MD5.0A6F6785BB4DB23CB614913A63E48031] [WIS][06/02/2012] (.Aedge Performance BCN SL - Official Video Converter.) -- C:\Windows\Installer\12140a0.msi   [4083200]  
[HKLM\Software\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff]   
[HKLM\Software\Wow6432Node\OfficialVideoConverter]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\95FA1DD41215F1249BD2EEFBF30243A5]   
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4DD1AF59-5121-421F-B92D-EEBF3F20345A}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{116ba71c-8187-4f15-9a1f-c9d6289155d1}]   
C:\Users\claude rozsa\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff   
C:\Program Files (x86)\OfficialVideoConverter   
C:\Users\claude rozsa\AppData\Roaming\YouTubeFreeDownloader   
C:\Windows\Installer\12140a0.msi   
[MD5.00000000000000000000000000000000] [APT] [{B563989F-19F5-4168-9AE6-EFC9B6FBEAE2}] (...) -- K:	empword\DXSETUP.exe (.not file.)   [0]    
[MD5.00000000000000000000000000000000] [APT] [{E9BAF4E6-4DAD-48C7-A7AF-9F262BE50A7F}] (...) -- C:\Program Files (x86)\Jahshaka\jahshaka.exe (.not file.)   [0]    
[MD5.00000000000000000000000000000000] [APT] [{EF57A5A9-AF8E-46C9-89A1-661491C48B4A}] (...) -- K:\FSX\Tampon\Bryce_7.1.0.109_Win32.exe (.not file.)   [0]    
[MD5.00000000000000000000000000000000] [APT] [{FF901031-8E17-49D2-88D0-E27DFA8826E2}] (...) -- K:\FSX\Tampon\10209_3_dpc_COLUMNSET1_3.exe (.not file.)   [0]    
 O61 - LFC: 29/03/2014 - 09:51:31 ---A- . (...) -- C:\Users\claude rozsa\AppData\Roaming\PC-FIXE Johansson 2887 MicroDump 2014 3 29 1 011 command.txt   [4453]    
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID

--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

Cliquer sur le bouton  Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix

 NB (W8)   : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
 
* Clique sur le bouton GO  pour lancer le nettoyage.

-> laisse travailler l'outil et ne touche à rien ... 
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 


Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 
Ce rapport est copié sur le bureau

( ce rapport est en outre sauvegardé dans ce dossier : 
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)



@+

claude101141 · Answer

C'est fait le voilà:

 https://pjjoint.malekal.com/files.php?id=20140401_b6i5y12h11o15

A propos, juste pour ton info, je connais certaines commandes(copier coller etc..).Je fais de l'informatique depuis 1972!LOL!

Merci en tous cas pour le mal que tu te donnes

Claude

Utilisateur anonyme · Answer

Re

Et bien on nettoie et finalise.

1)  Tu vides la quarantaine de Malwaresbytes

2) Tu peux désinstaller Superantyspywares et ne conserver MBAM

3)Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


@+

claude101141 · Answer

Dans Delfix aucune des options n'est en gras, et seul supprimer est coché. Que dois-je faire?

Claude

Utilisateur anonyme · Answer

Bonjour

C'est mon commentaire qui est en gras et qui précise quelle ligne cochée

@+

claude101141 · Answer

Bonjour Guillaume

Ok c'est fait; c'est le pluriel qui m'a dérouté.
Je suppose que normalement je ne devrais plus avoir ce fichier txt
bizarre qui se représente, je vais l'effacer.

Merci pour ton aide

Claude

claude101141 · Answer

Une dernière question : me conseilles-tu d'opter pour la version payante de Malwarebytes Anti-Malware ?

A+

Claude

claude101141 · Answer

Merci Ringo je n'ai pas l'intention de virer Kaspersky bien entendu. Pour ne pas mourir idiot IDS veut dire quoi???? Ah la manie des sigles!!!!!o:)

claude101141 · Answer

A  lilidurhone

Non je ne sais pas lire un rapport zhpdiag et ne fais nul complexe de le dire et ne l'ai jamais prétendu et si je suis ici pour poser des questions c'est pour trouver des réponses; Guillaume très gentiment m'a donné les instructions pour lever mes inquiétudes et je l'en remercie; par contre je n'apprècie pas le ton suffisant de ton commentaire.

Claude

Utilisateur anonyme · Answer

Bonsoir

Il n'est pas utile de prendre la version payante de Malwaresbytes.
Avec Kaspersky tu as déjà un bon rempart.


Ce fichier "command.txt" est réapparu?
Il est certainement lié à un programme que tu utilises;mais lequel? 
 

@+

claude101141 · Answer

Non pas pour le moment. Etant donné qu'on a résolu
les problèmes , on reste là; merci encore

A+

Claude

Utilisateur anonyme · Answer

Re

je te propose donc de mettre ce sujet en résolu

@+

claude101141 · Answer

c'est fait. Bonne soirée