Analyse HJTRésolu/Fermé

Question

Bonjour, j'aurai besoin de votre avis concernant ce log Hijackthis car, depuis quelques temps, mon PC est devenu très lent sans réelle raison et je soupçonne être infecter par quelque chose.

Scan HJT > https://www.cjoint.com/?0bylcirAgr5



Configuration: Windows XP / Firefox 3.6.13

Patdam73 · Answer

Bonjour

C'est pas forcément une infection, ton rapport montre un tas de programmes et services démarrés automatiquement au lancement du pc.

Mais bon hijackthis est maintenant obsolète.

Nous allons utiliser un outil de diagnostic plus performant pour voir de quoi il retourne.

ZHPDiag


[*] Télécharge zhpdiag
 https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman) sur ton bureau.

[*] Double clique sur ZHPDiag.exe pour lancer l'installation.

Note :
Pour Vista et Windows 7 faites un clic droit sur l'icône et sélectionnez Exécuter en tant qu'administrateur.

[*] Laisse toi guider pour l'installation et coche bien la case proposant la création d'un raccourci sur le bureau.
Note :
2 nouvelles icônes sont maintenant sur ton bureau : ZHPDiag et ZHPFix.

[*] Double clique sur ZHPDiag pour lancer l'exécution.
Note :
Pour Vista et Windows 7 faites un clic droit sur l'icône et sélectionnez Exécuter en tant qu'administrateur.

[*] Clique sur la loupe pour lancer l'analyse et patiente jusqu'à la fin de celle ci.

[*] Le rapport a été crée sur ton bureau (ZHPDiag.txt)
[b]Note :
Le rapport étant trop long pour le forum, héberge le sur http://www.cijoint.fr

[*] Copie et colle le lien dans ta prochaine réponse.


@+

Mistori · Answer

ZHPDiag.txt > http://www.cijoint.fr/cj201101/cijGG4BINb.txt

Patdam73 · Answer

Bonsoir

Désinstall en passant par ajout suppression de programme du panneau de configuration les programmes suivants :

Pando Media Booster
J2SE Runtime Environment 5.0 Update 5

Si tu as des logiciels que tu n'utilises pas n'hésites pas à les désinstaller car il te reste très peu de place sur C:

Ensuite fais ceci

Ad-Remover : Scan

Télécharge Ad Remover sur ton Bureau. (Merci à C_XX)

 http://www.teamxscript.org/too/AD-R.exe


/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
 
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sousC:\Ad-reportScan.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

@+

Mistori · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:53:00 le 26/01/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
HP_Propriétaire@FLORIAN ( ) 
 
============== RECHERCHE ==============



Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\FLV Direct Player


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\sdqx350f.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\HP_PropriÃ©taire\Mes documents\TÃ©lÃ©chargements
browser.startup.homepage, google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 26/01/2011 (449 Octet(s)) 

Fin à: 10:53:46, 26/01/2011 
 
============== E.O.F ==============

Patdam73 · Answer

Bonjour

On continu ;-)

Ad-Remover : Suppression

Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sur la page, clique sur le bouton Nettoyer
Laisse travailler l'outil
Poste le rapport qui apparait à la fin
(Le rapport est sauvegardé aussi sous C:\Ad-reportClean.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

=======

Ensuite Met à jour ton logiciel Malwares byte puis fais un scan complet.

Supprime tout ce qu'il te trouve si besoin et post son rapport dans ta prochaine réponse

========

Enfin refait un scan avec zhpdiag, mais auparavent met le à jour de cette façon :

Mise à jour de ZHPDiag

Avant de faire le scan avec zhpdiag, met le a jour :

[*]Lance zhpdiag et clique sur l'icöne Update (la flèche verte).
[*]Laisse toi guider.

Ensuite fais le scan et poste le dans ta prochaine réponse

Bonne journée

Mistori · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:11:51 le 27/01/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
HP_Propriétaire@FLORIAN ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\FLV Direct Player


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\sdqx350f.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\HP_PropriÃ©taire\Mes documents\TÃ©lÃ©chargements
browser.startup.homepage, google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/01/2011 (494 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 26/01/2011 (2026 Octet(s)) 

Fin à: 19:13:26, 27/01/2011 
 
============== E.O.F ==============

Patdam73 · Answer

Bonsoir

Très bien pour ad remover :)

Maintenant MBAM,

Mistori · Answer

MBAM Effectué, je te poste le scan de ZPHDiag.


Scan : http://www.cijoint.fr/cjlink.php?file=cj201101/cijdzKG7HT.txt

Patdam73 · Answer

Bonjour

J'aurai aimé voir le rapport mbam. A t il supprimé quelque chose ?
Relance MBAM et clique sur l'onglet Rapports/log.

Sinon dans ton rapport, il reste quelques traces à supprimer

ZHPFix


[*] Ferme toutes tes applications en cours.

[*] Double clique sur l'icône ZHPFix sur ton bureau
Note :
Pour Vista et Windows 7 faites un clic droit sur l'icône et sélectionnez Exécuter en tant qu'administrateur.

[*] Copie les lignes ci dessous :


[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
[HKCU\Software\Symantec]
[HKCU\Software\YahooPartnerToolbar]
[HKLM\Software\Symantec]
O43 - CFD: 20/01/2010 - 17:52:26 ----D- C:\Program Files\Fichiers Communs\Symantec Shared
O64 - Services: CurCS - (.not file.) - Kl1 (kl1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KL1
O64 - Services: CurCS - (.not file.) - Kaspersky Lab Boot Guard Driver (klbg)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLBG
O64 - Services: CurCS - (.not file.) - Kaspersky Lab Driver (KLIF)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLIF
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}
O69 - SBI: SearchScopes [HKCU] {B4D76E9A-0AEF-4F22-B93B-C6712BE26BDA} [DefaultScope] - (Search) - http://flvdirect.iamwired.net
FirewallRaz


[*] Clique sur le bouton H pour coller ces lignes

[*] Clique sur le bouton OK.

[*] Clique sur le bouton Tous pour les sélectionner.

[*] Clique sur le bouton Nettoyer afin de les supprimer

[*] Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperai ZHPFix.

[*] Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.

[*] Redémarre le pc, copie et colle le rapport ZHPFix.txt qui s'affiche.
Note : le rapport est enregistré sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

=======

Ensuite tu as des programmes que ne sont pas à jour et qui donc comportent des failles de sécurité. Nous allons y remédier.

Mise à jour Adobe Reader


Connectes toi sur le site :

https://get2.adobe.com/fr/reader/otherversions/


Télécharges la dernière version de ce programme , 

/!\ fais bien attention de décocher le sponsor McAffe associé avant le téléchargement
.
Installes la nouvelle version et vérifies s'il n'y a pas de mises à jour = lance le programme => cliques sur aide puis "rechercher les mises à jour". Laisse toi guider au besoin par le programme.

======

Mise à jour Java

La version de java qui est installée sur ton ordinateur n'est pas du tout à jour, c'est encore une faille de sécurité importante. Rends toi sur ce site :

 https://www.java.com/fr/download/uninstalltool.jsp

 cliques sur "vérifier la version de java" et laisses toi guider par le programme. 

Attention Une barre d'outil ou un moteur de recherche peut être proposé au cours de l'installation, pense à bien décocher la ou les cases devant son nom.

======

Mise à jour de VLC


[*] Lance VLC
[*] Clique sur le menu Aide
[*] Sélectionne Vérifier les mises à jour...
[*] Laisse toi guider par le logiciel.

=====

Ensuite refait un nouveau scan avec zhpdiag mais après l'avoir mis à jour :

Mise à jour de ZHPDiag

Avant de faire le scan avec zhpdiag, met le a jour :

[*]Lance zhpdiag et clique sur l'icône Update (la flèche verte).
[*]Laisse toi guider.

Ensuite fais le scan et poste le dans ta prochaine réponse

=====

Donc pour résumer, il me faut ton rapport mbam, ton rapport zhpfix et ton dernier rapport zhpdiag.

Ensuite on pourra optimiser ton pc car tu as beaucoup de programmes qui se lancent au démarrage. 

Bonne journée

Mistori · Answer

Oups désolé, j'ai complétement zappé le rapport de MBAM.

Le voici :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5631

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/01/2011 21:08:58
mbam-log-2011-01-28 (21-08-58).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 297408
Temps écoulé: 1 heure(s), 8 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Mistori · Answer

Rapport ZHPFix :

Rapport de ZHPFix 1.12.3243 par Nicolas Coolman, Update du 26/01/2011
Fichier d'export Registre : 
Run by HP_Propriétaire at 30/01/2011 12:20:17
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline  => Clé supprimée avec succès
HKCU\Software\Symantec  => Clé supprimée avec succès
HKCU\Software\YahooPartnerToolbar  => Clé supprimée avec succès
HKLM\Software\Symantec  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Kl1 (kl1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KL1  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Kaspersky Lab Boot Guard Driver (klbg)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLBG  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Kaspersky Lab Driver (KLIF)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLIF  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {B4D76E9A-0AEF-4F22-B93B-C6712BE26BDA} [DefaultScope] - (Search) - http://flvdirect.iamwired.net  => Clé absente

========== Valeur(s) du Registre ==========
FirewallRaz (SP) : C:\Program Files\AOL 9.0\waol.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\Qtracker\qtracker.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\Left 4 Dead\left4dead.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\WINDOWS\system32\lxbucoms.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\LimeWire\LimeWire.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\Lphant\eLePhantClient.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\Opera\opera.exe  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Fichiers Communs\Symantec Shared  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
9 : Clé(s) du Registre
7 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)


End of the scan

Mistori · Answer

Rapport ZPHDiag :

http://cjoint.com/data/0bEmNpQBqIa.htm

Patdam73 · Answer

Bonsoir

Tu as une nouvelle infection depuis ton dernier rapport :

Désactiver les émulateurs CD

Souvent, les  émulateurs CD interfèrent avec la détection de ce rootkit. (deamons tools, alcool120% etc...)
Merci de faire ce qui suit :

Télécharge Defrogger sur ton bureau.

http://www.jpshortstuff.247fixes.com/Defogger.exe

Double-clique sur Defrogger pour exécuter l'outil.

    * La fenêtre de l'application apparaît
    * Cliquez sur le bouton Désactiver pour désactiver les pilotes de votre CD d'émulation
    * Cliquez sur Oui pour continuer
    * Un message 'Finished' apparaîtra
    * Cliquez sur OK
    * Defrogger va maintenant demander de redémarrer la machine - cliquez sur OK

IMPORTANT! Si tu as un message d'erreur lors de l'exécution de Defrogger, poste  dans ta prochaine réponse le rapport defogger_disable qui apparaîtra sur ton bureau.

======

Relance MBAM, Met le à jour et fais un scan complet

Ensuite refait un scan zhpdiag 

Bonne soirée

Mistori · Answer

Bonjour, désolé de la réponse tardive. Ce n'est plus la peine de suivre ma demande, j'ai été obliger de formaté le PC car j'ai attrapé un tas de trojan et je n'avais plus accès au Net, puis le formatage m'a permis de tout viré en un rien de temps.

Désolé encore une fois et merci d'avoir commencer à m'aider.

Patdam73 · Answer

Ok pas de soucis

Bonne continuation :)

Analyse HJT

15 réponses

Discussions similaires

Newsletters