Pc infecté "Rapport Hijackthis"Résolu/Fermé

Question

Bonjour, 

mon pc est infecté aidez moi à lire le rapport et trouver des solutions.

je vous suis très reconnaissant.

Cordialement,
Neillamine


Configuration: Windows XP / Safari 535.2


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:28, on 13/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17093)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Emsisoft Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
C:\program files\real\realplayer\update\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Kaspersky Lab\NetworkAgent 8\klnagent.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Application Data\Dropbox\bin\Dropbox.exe
C:\Program Files\Raya Software\Mersal Desktop Edition\Sms\MersalGSMGateway.exe
C:\Program Files\Raya Software\Mersal Desktop Edition\Server\MersalScheduler.exe
C:\Program Files\Raya Software\Mersal Desktop Edition\Server\MersalServer.exe
C:\Program Files\Raya Software\Mersal Desktop Edition\Sms\MersalSMS.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\calc.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Google Talk Plugin\googletalkplugin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2776682
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.5\dealioToolbarIE.dll (file missing)
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.5\dealioToolbarIE.dll (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O2 - BHO: PHPNukeFR - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\prxtbPHP2.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof0.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O3 - Toolbar: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\prxtbPHP2.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof0.dll
O3 - Toolbar: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.5\dealioToolbarIE.dll (file missing)
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [YSearchProtection] "C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\program files\real\realplayer\update\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Application Data\Dropbox\bin\Dropbox.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d'Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\scieplgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_DZ&c=74&bd=smb&pf=desktop
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Ghasnaoui.com
O17 - HKLM\Software\..\Telephony: DomainName = Ghasnaoui.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Ghasnaoui.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Ghasnaoui.com
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0FO\kloehk.dll
O23 - Service: Emsisoft Anti-Malware 6.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Unknown owner - C:\Program Files\Application Updater\ApplicationUpdater.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Kaspersky Lab Network Agent (klnagent) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\NetworkAgent 8\klnagent.exe
O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MersalGSMGateway - Unknown owner - C:\Program Files\Raya Software\Mersal Desktop Edition\Sms\MersalGSMGateway.exe
O23 - Service: MersalScheduler - Unknown owner - C:\Program Files\Raya Software\Mersal Desktop Edition\Server\MersalScheduler.exe
O23 - Service: MersalServer - Unknown owner - C:\Program Files\Raya Software\Mersal Desktop Edition\Server\MersalServer.exe
O23 - Service: MersalSMS - Unknown owner - C:\Program Files\Raya Software\Mersal Desktop Edition\Sms\MersalSMS.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: VPRemote Install Bootstrap Service (VPREMOTE) - Unknown owner - C:\TEMP\Clt-Inst\vpremote.exe (file missing)
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

kalimusic · Answer

Bonjour,

1. Désinstalle toutes ces barres d'outils :

SearchSettings
Dealio Toolbar
PHPNukeFR Toolbar
Conduit Engine 
Conduit
Softonic_France Toolbar

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; clique sur Recherche  
&#x25CF; Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin. 
&#x25CF; Clique sur Quitter 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt 

3. Héberge le rapport sur https://www.cjoint.com/ et donne le lien ici

A +

devillamine · Answer

Merci pour votre prompt réponse, je vais tout de suite faire ce que vous m'avez demandé et je vous reviendrais! 

Cdlt,
Neillamine

kalimusic · Answer

de rien, A +

devillamine · Answer

Voici le lien copié du rapport demandé :

http://cjoint.com/?AKnjRMWyhUr  

Merci,

Cdlt,
Neillamine

devillamine · Answer

Kalimusic,

Je tiens juste à préciser que je suis sure et certain que mon pc est infecté, à 1000%, le hackeur lui même est entré en contact avec moi et me disait tout ce que je faisais en ligne.

Cdlt,
Neillamine

kalimusic · Answer

re,

Pour cela, il faut accepter de cliquer sur un exécutable qu'il t'aurait proposé, ou alors il a la possibilité physique d'accéder au pc. C'est un pc professionnel ? les DNS pointent vers GHASNAOUI.COM, ce nom de domaine te parle ?

HijackThis ne montrait que des adwares et de logiciels indésirables, on commence par les enlever. Nous allons utiliser ensuite un outil de diagnostic plus complet afin d'identifier les problèmes.

1.  Relance AdwCleaner 

- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin. 
&#x25CF; Clique sur Quitter 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

Poste le lien.

2. Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\assembly	mp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

devillamine · Answer

Je vous reviens tout de suite

kalimusic · Answer

ok, en regardant mieux hijackthis, il y a un service qui peut être utilisé à des fins malveillantes. OTL nous en dira plus ;)

A +

devillamine · Answer

Kalimusic, 

Cette personne m'espionne depuis presque 2 ans, effectivement c'est un pc Professionnel, le mien à la maison est aussi infecté mais je l'ai vendu, le problème qui se pose c'est qu'à chaque fois je formate et ça ne donne rien! cette personne en question accède à tous mes boites mails, mes conversations, elle peut même me localiser via cellulaire, j'ai déposé plainte pour harcèlement mais il s'avere que cette personne utilise des serveurs qui se trouve en russie et toutes les adresse ip qu'elle utilisent sont des postes infectés "Zombies"

kalimusic · Answer

Si tu formates et que cela ne donne rien, c'est que la personne a un accès physique au pc. A moins que tu ne formates pas avec un CD original, ou que tu installes une application quelconque dont tu ignores qu'elle est aussi malicieuse.
Il faut que tu modifies les mots de passe via un pc sain.

A +

devillamine · Answer

Kalimusic,

Comme demandé, les liens des 2 rapports + lien AdwCleaner ci-suivants :

http://cjoint.com/?AKnlJ7aouHF  
http://cjoint.com/?AKnlMiKlcrA


AdwCleaner[S1].txt :

http://cjoint.com/?AKnlNglLvE2


Merci encore une fois pour votre aide.
Neillamine

kalimusic · Answer

devillamine,

Tu as donné le rapport AdwCleaner[R1].txt
Il me faut celui de la suppression AdwCleaner[S1].txt 

En attendant je regarde les rapports OTL

A +

devillamine · Answer

Le voila ; http://cjoint.com/?AKnlTS9hjrq

pour l'accès cette personne ne peut avoir accès physiquement ! 

Merci.

kalimusic · Answer

devillamine,

Alors tu réinstalles sans le savoir avec une application tierce, un fichier présent dans tes documents ou une clé usb.

 == == == == == == == == == == == == == == == == == == == == == ==

&#x25CF;  La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
&#x25CF;  N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
&#x25CF;  Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris. 
&#x25CF;  Héberge les rapports des outils sur https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
&#x25CF;  Je t'aide bénévolement, merci d'en tenir compte :)

 == == == == == == == == == == == == == == == == == == == == == ==

Tu avais désinstallé les toolbars qui contenaient les adwares ?
Tu connais cet exécutable U1017.exe qui se trouve sur ton bureau ?

Télécharge UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   
&#x25CF; lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton  "Recherche"   
&#x25CF; Patiente le temps du balayage qui peut durer plusieurs minutes   
&#x25CF; Le rapport doit s'ouvrir spontanément à la fin du scan   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

A +

devillamine · Answer

Kalimusic,


l'exécutable sur mon bureau  U1017.exe c'est pour ouvir les vidéo Youtube et surfer sur facebook car y a des acces qui sont restreints par l'administrateur.

je ferai ce que vous m'avez demandez tout de suite et merci pour votre aide bénévole, j'apprécie énormément car depuis 2 ans je lance Help mais en vain.

Je vous reviens.

Neillamine

kalimusic · Answer

devillamine,

Tu es sûr de cet exécutable ?

A +

devillamine · Answer

La recherche usbFix s'est bloqué à 10%...je relance !

kalimusic · Answer

Désactive temporairement Kaspersky

A +

devillamine · Answer

Kalimusic,

Que voulez vous dire par sûr, que c'est le mien ou quelqu'un d'autre l'a installé?

Neillamine

kalimusic · Answer

Tu te fais pirater alors je cherche...

Rends toi sur le site Virus Total

&#x25CF; Clique sur la case "Parcourir"
&#x25CF; Une nouvelle fenêtre s'ouvre te permettant de naviguer sur le disque dur
&#x25CF; Parcoure l'arborescence de ton disque dur dans ce répertoire : 
C:\Documents and Settings\lkhebizi.GHASNAOUI.001\Bureau pour sélectionner ce fichier U1017.exe
&#x25CF; Clique sur le fichier puis sur "Ouvrir" en bas de la fenêtre 
&#x25CF; Clique maintenant sur le bouton "Send File (Envoyer le fichier)"

Si un message te dit que le fichier à déjà été analysé, ré-analyse le

Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527 

+ le rapport de UsbFix 

A +

devillamine · Answer

Kalimusic,

J'ai eu ça lors de d'envoi fichier dans la page Virus Total :

Bad Gateway

The proxy server received an invalid response from an upstream server.

pour ce qui est du rapport UsbFix il a fini la recherche mais j'ai obtenu un fichier bloc note vide ....

je refais le truc !

devillamine · Answer

Kalimusic,

Voici le lien demandé, 
http://www.virustotal.com/file-scan/reanalysis.html?id=e65faa1283f8941d98dc23ff6822be228a24cb4489a5e5b01aeee749bf851658-1321189638

la je refais la recherche sur UsbFix.

Neillamine

devillamine · Answer

Kalimusic, 

Voici le lien demandé,  
http://www.virustotal.com/file-scan/report.html?id=e65faa1283f8941d98dc23ff6822be228a24cb4489a5e5b01aeee749bf851658-1321189802

la je refais la recherche sur UsbFix. 

Neillamine

devillamine · Answer

Quand je click sur le fichier UsbFix j'ai un message "accès refusé"

devillamine · Answer

Je viens de recevoir un message de la personne en question sur facebook en me disant : pouriture cava?lache un peu tes eforts ca ne sert a rien;)

Elle est au courant de tout ce que je fais sur ce pc !!

kalimusic · Answer

devellamine,

Laisse tomber UsbFix pour le moment.

! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !! 

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; L'interface principale s'ouvre :
&#x25CF; Dans la partie "Personnalisation", copie/colle le texte hébergé
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression 

3. Héberge le rapports et donne moi les liens

A +

devillamine · Answer

Bonjour Kalimusic,

Je suis entrain de faire ce que vous m'avez demandé et je vous reviens.

Cdt,
Neillamine

kalimusic · Answer

Bonjour,

J'ai cru que tu avais laissé tombé.
Je risque de ne pas pouvoir te répondre avant ce soir.

A +

devillamine · Answer

Kalimusic,

Non jamais, je suis harcelé depuis 3 ans et il hors de question de je lâche prise, j'espère que vous pourriez me débarrasser de cette peste.

Cordialement,
Neillamine

devillamine · Answer

OTL a fini la correction avec un rapport mais il m'a pas demandé le redémarrage du pc

kalimusic · Answer

Tu as bien copié/collé l'intégralité du texte ?
Redémarre le, le rapport se situe dans ce dossier C:\_OTL\MovedFiles

A +

devillamine · Answer

quand je copie l'intégralité du texte l'OTL bloque alors j'ai copié le tout à l'exception de ça : Commands [emptytemp] à la fin de la page et j'ai eu un rapport.

Slt

kalimusic · Answer

Cette commande faisait partie du script, c'est elle qui fait redémarrer le système.
Fait redémarrer toi-même le pc et fait le scan avec MBAM.

Entre temps poste les rapport de suppression OTL

A +

devillamine · Answer

le voici, Rapport OTL :

http://cjoint.com/?AKonbmZ3Tfx  

Bien à vous,
Neillamine

devillamine · Answer

Malware analyse le pc actuellement.

kalimusic · Answer

ok, pour OTL

En attente du rapport MBAM, pour la suite.

A +

devillamine · Answer

Kalimusic bonjour,

Vous trouverez ci-dessous le lien du Rapport/Log MBAM :

http://cjoint.com/?AKpmqzZ2XgX

Cdt,
Neillamine

kalimusic · Answer

Bonjour,

1. Supprime ta version de UsbFix

2. Télécharge UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   
&#x25CF; lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton  "Recherche"   
&#x25CF; Patiente le temps du balayage qui peut durer plusieurs minutes   
&#x25CF; Le rapport doit s'ouvrir spontanément à la fin du scan   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

3. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

4. Héberge les rapports et donne moi les liens.

A +

devillamine · Answer

Bonjour Kalimusic,

Les liens des rapports demandés ci-dessous : 

Usbfix.txt  
http://cjoint.com/?AKqjWL2rAEY 

OTL 
http://cjoint.com/?AKqj14ADLXk 

Bien à vous,
Neillamine

kalimusic · Answer

Bonjour,

1. Relance UsbFix
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

&#x25CF;  Choisit maintenant  "Suppression"  
&#x25CF; UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
&#x25CF; A la fin du nettoyage, clique sur OK dans la boite de dialogue 
&#x25CF; Upload le dossier zip si demandé
&#x25CF; Le rapport doit s'ouvrir spontanément

Il est recommandé de redémarrer le pc après cette opération

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Fait analyser ce fichier sur le site https://www.virustotal.com/gui/
comme précédemment : C:\WINDOWS\System32\ChCfg.exe 

3. Donne les liens usbfix et virustotal

A +

devillamine · Answer

Bonjour,

Heureux de vous lire, je fais ce que vous avez demandé et je vous reviens.

Salutations,
Neillamine

devillamine · Answer

Kalimusic,

Le fichier Txt ne veut pas s'ouvrir alors je relance usbfix, en attendant veuillez trouver le lien du rapport VirusTotal ci dessous  :

http://www.virustotal.com/file-scan/report.html?id=06157bb00da0a23b9e75745e04e4c3e8d3d588be207c827de6a1e2a9841c2fa1-1321449861

cordialement,
Neillamine

kalimusic · Answer

devellamine,

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt 

A +

devillamine · Answer

Kalimusic Bonjour,

Hier j'ai eu "acces interdit" comme message et la j'ai pu l'ouvrir, le voila le rapport :

http://cjoint.com/?AKrl3RE4LRt 

cordialement,
Neillamine

kalimusic · Answer

Bonjour,

Le rapport est incomplet, étrange ce message d'erreur.

Peux tu refaire un scan de recherche avec UsbFix ?
Ainsi qu'une analyse rapide avec OTL.

A +

devillamine · Answer

Kalimusic,

un nouveau rapport avec nouvelle clé usb que j'utilise souvent :

http://cjoint.com/?AKrmVt8uw8V 

Cdt,
Neillamine

kalimusic · Answer

devellamine,

Si tu n'as pas branché tous tes supports amovibles, tu es susceptible de te réinfecté.

1. Relance UsbFix
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

&#x25CF;  Choisir maintenant  "Suppression"  
&#x25CF; UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
&#x25CF; A la fin du nettoyage, clique sur OK dans la boite de dialogue 
&#x25CF; Upload le dossier zip demandé
&#x25CF; Le rapport doit s'ouvrir spontanément.

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3.  Héberge les rapports et donne moi les liens.

A +

neillamine · Answer

Bonjour Kalimusic,

Je tiens à m'excuser pour ne pas avoir donner suite car je suis en formation dans un autre lieu. 

En vous souhaitant une excellente journée.

Cordialement,
Neillamine

kalimusic · Answer

Bonjour,

Pas de soucis, bonne journée.

A +

neillamine · Answer

Bonjour Kalimusic,

Voici les liens des deux  fichiers demandés ci-dessous :

USBFIX
http://cjoint.com/?AKxoxAYDXqS

OTL
http://cjoint.com/?AKxoF7giqXz

Cordialement,
Neillamine

kalimusic · Answer

Bonjour,

Ton pc n'est plus infecté, il reste à désinstaller proprement les outils et à faire les mises à jour.
Je ne vois plus de proxy, c'est normal ? 
De ton côté, comment va le pc ?

A +

neillamine · Answer

Bonjour Kalimusic,

Merci beaucoup pour votre aide, normalement le Pc va bien mais je sais quelle reviendra comme a chaque fois, lessentiel jai pu me debarasser des mouchards sur mon pc de travail et c le plus important, merci encore une fois pour le temps que vous m'avez consacré afin de desinfecter mon pc...bonne continuation pour le reste.

Cordialement,
Neillamine

kalimusic · Answer

Bonsoir,

Maintenant, tu dois changer tous tes mots de passe.

1. Relance Adwcleaner 
&#x25CF; Clique sur Désinstallation  

2. Relance UsbFixr 
&#x25CF; Clique sur Désinstallation  

3. Lance OTL
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

4. Relance OTL
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

 == == == == == == == == == == == == == == == == == == == == == ==

les choses simples qui font la différence

&#x25CF; Maintenir Windows à jour

&#x25CF; Maintenir les logiciels à jour 

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

Pc infecté "Rapport Hijackthis"

53 réponses

Newsletters