Besoin d'aide pour interprétation HiJackThisFermé

Question

Bien le bonjour,  

Configuration: Windows 7 / Firefox 6.0.2

J'ai rencontré hier un problème. Je me suis fais hacké un compte jeu vidéo. 
De toute évidence mon PC est infesté d'un espion... 

J'ai téléchargé Kapersky 2012 puis Spybot, j'ai ainsi pu supprimer 2 Trojan par Kapersky, et 5 menaces par Spybot. Aussi je ne suis pas encore certain que mon PC soit sécurisé.  
Un ami m'a dirigé vers HiJackThis. J'ai passé un coup de Ccleaner et j'ai lancé HiJackThis. 
La raison de ce post est donc que je recherche quelqu'un capable de m'examiner ce rapport car mes connaissances informatiques sont loin d'être suffisantes ^^ 
Voilà voilà par avance je vous remercie ! 
Petit conseil: Les Trojans étaient dans les fichiers Java. A surveiller donc !! 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 15:57:47, on 11/09/2011 
Platform: Unknown Windows (WinNT 6.01.3504) 
MSIE: Internet Explorer v8.00 (8.00.7600.16839) 
Boot mode: Normal 

Running processes: 
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe 
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe 
C:\Users\Jb\AppData\Roaming\cacaoweb\cacaoweb.exe 
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe 
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe 
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe 
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin 
C:\Program Files (x86)\iTunes\iTunesHelper.exe 
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe 
C:\Users\Jb\Downloads\HiJackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/3 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2719315 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/3 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/3 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - URLSearchHook: MessengerPlusLive France TB Toolbar - {b9e20919-fa55-471f-989b-b107bf8de785} - C:\Program Files (x86)\MessengerPlusLive_France_TB	bMess.dll 
F2 - REG:system.ini: UserInit=userinit.exe 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll 
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: MessengerPlusLive France TB Toolbar - {b9e20919-fa55-471f-989b-b107bf8de785} - C:\Program Files (x86)\MessengerPlusLive_France_TB	bMess.dll 
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing) 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll 
O3 - Toolbar: MessengerPlusLive France TB Toolbar - {b9e20919-fa55-471f-989b-b107bf8de785} - C:\Program Files (x86)\MessengerPlusLive_France_TB	bMess.dll 
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing) 
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe 
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" 
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden 
O4 - HKCU\..\Run: [cacaoweb] "C:\Users\Jb\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe 
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun 
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe 
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm 
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll 
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll 
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL 
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll 
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll 
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll 
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll 
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll 
O13 - Gopher Prefix:  
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab 
O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe 
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) 
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) 
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe 
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe 
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) 
O23 - Service: Easybits Services for Windows (ezSharedSvc) - EasyBits Software AS - C:\Windows\System32\ezSharedSvcHost.exe 
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) 
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe 
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe 
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe 
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe 
O23 - Service: HP Wireless Assistant Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe 
O23 - Service: hpqwmiex - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe 
O23 - Service: HPWMISVC - Unknown owner - C:\Program Files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe 
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe 
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe 
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe 
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe 
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) 
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe 
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) 
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) 
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe 
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) 
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) 
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) 
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) 
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) 
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

JohnJohnson · Answer

http://www.hijackthis.de/fr#anl

cabrier · Answer

Hé JohnJohnson, c'est "cacaoweb".

Tu ne pourras l'avoir sans difficultés.
Surement avec OTL et script.
@+

cabrier · Answer

hello Jean Bapt, manifestement JohnJohnson ne t'aidera pas.

Je vais essayer de le faire.

On va d'abord faire une analyse un peu plus poussée de ton PC !

*Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou depuis ce lien si le premier a des soucis: 
http://www.moncompteur.com/compteurclick.php?idLink=18026 
/!\Il est très important de l'enregistrer sur le bureau / !\ 
*Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
* N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clicue droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement" 
* Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
* Clique alors sur la loupe pour « lancer le diagnostic ».
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long. 
* Ferme ZHPDiag en fin d'analyse. 
* Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
* Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\ZHP\). 
* Sélectionne le fichier ZHPDiag.txt. 
* Clique sur "Cliquez ici pour déposer le fichier". 
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
* Copie ce lien dans ta réponse..

Jean Bapt · Answer

Grand merci à toi Cabrier ! 
Alors tout d'abord j'ai eu un p'tit soucis avec ZPH, quand je cliquais sur la grosse flèche verte pour vérifier s'il est à jour, ZPH se fermait automatiquement.
J'ai donc sauté cette étape et je suis malgré tout passé a l'analyse.
Après avoir fait ce qui est dit je suis arrivé à ce lien que je te fournis 

http://www.cijoint.fr/cjlink.php?file=cj201109/cijeaBK92H.txt

Merci vraiment de m'accorder de ton temps :)

cabrier · Answer

Re,

Bien reçu ton rapport, laisse moi le temps de l'analyser.
Je te donnerai ensuite la marche à suivre.
Ne t'inquiète pas je ne te laisserai pas tomber !

Jean Bapt · Answer

Pas de soucis prend le temps qu'il faut ! 

Je trouve ça réellement super sympa de ta part :)

Et au risque de m'répéter, surveille bien Java car c'était infecté de Trojan ; )

cabrier · Answer

Re,

* Copie tout le texte présent dans la balise code ci-dessous (tout ce qu'il y a entre les traits mais sans les traits) (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
  
_________________________________________
[MD5.7B1401168003FDAF051688E2AB74C656] - (...) -- C:\Users\Jb\AppData\Roaming\cacaoweb\cacaoweb.exe   [400624] [PID.1216]     
M2 - MFEP: prefs.js [Jb - wlx5f89y.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.17 (.http://www.cacaoweb.org/     
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Jb\AppData\Roaming\cacaoweb\cacaoweb.exe     
O4 - HKUS\S-1-5-21-2150106486-614981762-3077908860-1000\..\Run: [cacaoweb] . (...) -- C:\Users\Jb\AppData\Roaming\cacaoweb\cacaoweb.exe     
[HKCU\Software\AppDataLow\Software\PriceGong]     
[HKCU\Software\cacaoweb]     
O43 - CFD: 10/09/2011 - 10:24:04 - [1065741802] ----D- C:\Users\Jb\AppData\Roaming\cacaoweb     
[MD5.7B1401168003FDAF051688E2AB74C656] [SPRF][11/09/2011] (...) -- C:\Users\Jb\Desktop\cacaoweb.exe   [400624]     
O87 - FAEL: "TCP Query User{0F41FF9D-514A-4F5D-A03B-398682271FD1}C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe" | In - Public - P6 - TRUE | .(...) -- C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "UDP Query User{39003CAA-1B69-429C-9B3D-72C400CC69B6}C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe" | In - Public - P17 - TRUE | .(...) -- C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "TCP Query User{F291605C-F3E6-4ED1-A031-EDCB3A5F11F9}C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe" | In - Private - P6 - TRUE | .(...) -- C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "UDP Query User{D9AEBE7F-A8F6-4246-8A5D-B469D675228E}C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe" | In - Private - P17 - TRUE | .(...) -- C:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe     
C:\Users\Jb\AppData\Roaming\cacaoweb     
C:\Users\Jb\AppData\LocalLow\PriceGong     
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cacaoweb"=-
c:\users\jb\appdataoaming\cacaoweb\cacaoweb.exe
c:\users\jb\desktop\cacaoweb.exe
C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\user.js (.not file.) 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe     
O4 - HKUS\S-1-5-21-2150106486-614981762-3077908860-1000\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe     
O4 - Global Startup: C:\Users\Jb\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe     
O4 - Global Startup: C:\Users\Jb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe     
O23 - Service: SBSD Security Center Service (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe     
O42 - Logiciel: FATE - (.WildTangent.) [HKLM] -- WT082141     
O42 - Logiciel: HP Game Console - (.WildTangent.) [HKLM] -- My HP Game Console     
O42 - Logiciel: Mystery P.I. - The Vegas Heist - (.WildTangent.) [HKLM] -- WT082414     
O42 - Logiciel: Polar Bowler - (.WildTangent.) [HKLM] -- WT082172     
O42 - Logiciel: Slingo Deluxe - (.WildTangent.) [HKLM] -- WT082427     
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1     
O43 - CFD: 11/09/2011 - 16:38:18 - [20896] ----D- C:\ProgramData\Spybot - Search & Destroy     
O43 - CFD: 11/09/2011 - 14:13:50 - [61657736] ----D- C:\Program Files (x86)\Spybot - Search & Destroy     
SR - | Auto 11/09/2011 1153368 |  (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe     
M3 - MFPP: Plugins - [Jb] -- C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\searchplugins\conduit.xml     
M0 - MFSP: prefs.js [Jb - wlx5f89y.default] http://search.conduit.com/?ctid=CT2719315&SearchSource=13 
M2 - MFEP: prefs.js [Jb - wlx5f89y.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..)     
M2 - MFEP: prefs.js [Jb - wlx5f89y.default\{b9e20919-fa55-471f-989b-b107bf8de785}] [] MessengerPlusLive France TB Community Toolbar v3.6.0.10 (.Conduit Ltd..)     
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com 
R0 - HKUS\S-1-5-21-2150106486-614981762-3077908860-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com 
R3 - URLSearchHook: MessengerPlusLive France TB Toolbar [64Bits] - {b9e20919-fa55-471f-989b-b107bf8de785} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files (x86)\MessengerPlusLive_France_TB	bMess.dll 
O2 - BHO: MessengerPlusLive France TB Toolbar [64Bits] - {b9e20919-fa55-471f-989b-b107bf8de785} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\MessengerPlusLive_France_TB	bMess.dll 
O42 - Logiciel: MessengerPlusLive France TB Toolbar - (.MessengerPlusLive France TB.) [HKLM] -- MessengerPlusLive_France_TB Toolbar     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Software\MessengerPlusLive_France_TB]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKLM\Software\Conduit]     
[HKLM\Software\MessengerPlusLive_France_TB]     
O43 - CFD: 25/05/2011 - 21:34:00 - [7441] ----D- C:\Users\Jb\AppData\Roaming	eamspeak2     
O43 - CFD: 04/11/2010 - 20:14:46 - [537696] ----D- C:\Program Files (x86)\Conduit     
O43 - CFD: 04/11/2010 - 20:14:46 - [2943875] ----D- C:\Program Files (x86)\MessengerPlusLive_France_TB     
O69 - SBI: C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\searchplugins\conduit.xml     
O69 - SBI: prefs.js [Jb - wlx5f89y.default] user_pref("CT2719315.SearchEngine", "Recherche||http://search.conduit.com/ 
O69 - SBI: prefs.js [Jb - wlx5f89y.default] user_pref("CT2719315.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2719315 
O69 - SBI: prefs.js [Jb - wlx5f89y.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2719315 
O69 - SBI: prefs.js [Jb - wlx5f89y.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2719315&q="); 
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (MessengerPlusLive France TB Customized Web Search) - http://search.conduit.com     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b9e20919-fa55-471f-989b-b107bf8de785}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{b9e20919-fa55-471f-989b-b107bf8de785}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{b9e20919-fa55-471f-989b-b107bf8de785}]     
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b9e20919-fa55-471f-989b-b107bf8de785}]     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKLM\Software\WOW6432Node\Conduit]     
[HKCU\Software\AppDataLow\Software\MessengerPlusLive_France_TB]     
[HKLM\Software\WOW6432Node\MessengerPlusLive_France_TB]     
[HKCU\Software\AppDataLow\Toolbar]     
C:\Users\Jb\AppData\Roaming	eamspeak2     
C:\Users\Jb\AppData\LocalLow\Conduit     
C:\Users\Jb\AppData\LocalLow\MessengerPlusLive_France_TB     
C:\Program Files (x86)\Conduit     
C:\Program Files (x86)\MessengerPlusLive_France_TB     
C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\Conduit     
C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\ConduitEngine     
C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\Extensions\engine@conduit.com 
C:\Users\Jb\AppData\Roaming\Mozilla\Firefox\Profiles\wlx5f89y.default\SearchPlugins\conduit.xml     
O87 - FAEL: "{CC4D4561-C0B8-4D6C-8B51-237C36C08A3D}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe 
O87 - FAEL: "{C1F296FD-5C9C-4245-957D-EAD6DB5296F2}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe 
______________________________________
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper"
* Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton « GO » pour lancer le nettoyage 
* Copie/Colle le rapport à l''écran dans ton prochain message 
* (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt) 
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
* Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt 
* Clique sur Ouvrir. 
* Clique sur "Cliquez ici pour déposer le fichier". 
* Un lien de cette forme :  http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 
est ajouté dans la page. 
* Copie ce lien dans ta réponse.
* Redémarre ton ordinateur

cabrier · Answer

Hé Jean Bapt, il te "crève" les yeux !

C'est la 5ème icone en haut à gauche.
Juste sous le x de ZHPFix

Jean Bapt · Answer

Enfaite j'étais sur ZPHDiag donc je risquais pas de trouver ^^.

Je n'ai pas trouvé le fichier Ad Report Scan. J'ai cherché partout dans tous les sens fais les recherches. Je ne l'ai pas...

Voici tout de même le rapport ZHPFixreport:

 http://www.cijoint.fr/cjlink.php?file=cj201109/cijez6eO0L.txt


Je redémarre l'ordinateur.
Désolé pour l'attente je rencontre de gros problèmes de connexions internet....

cabrier · Answer

Attention JB.

Il faut d'abord sélectionner les lignes que je t'ai indiquées et CTRL + C
puis
double clic sur l'icone sur ton bureau ZHPFix (ce n'est plus ZHPDiag maintenant !)
puis 
clique sur le H
les lignes copiées par CTRL+C vont être collées dans la fenêtre de ZHPFix

Jean Bapt · Answer

Oui oui je l'ai fait ! 

Et j'ai obtenu le rapport que je t'ai mi dans le lien

Je te le redonne:


http://www.cijoint.fr/cjlink.php?file=cj201109/cijez6eO0L.txt

cabrier · Answer

Parfait JB

Refais moi un ZHPDiag pour voir s'il reste des choses.
Poste moi le lien du rapport.

Jean Bapt · Answer

Voici le nouveau rapport zhpdiag :) http://www.cijoint.fr/cjlink.php?file=cj201109/cijChThCKN.txt

cabrier · Answer

JB cela m'a l'air clean.

Mais on va s'en assurer.

[*] Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner ( d'Xplode ) sur ton bureau.
[*]Lance le,
[*]Clique sur [Recherche] puis patiente le temps du scan. 
[*]Quand il a fini, un rapport s'ouvrira : ferme le. 
[*] Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
[*] Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt 
[*] Clique sur Ouvrir. 
[*] Clique sur "Cliquez ici pour déposer le fichier". 
Un lien de cette forme : 
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 
est ajouté dans la page. 
[*] Copie ce lien dans ta réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
ATTENTION: On n'est qu'en mode "Recherche" je te dirai s'il faut relancer en mode "Suppression".

Jean Bapt · Answer

http://www.cijoint.fr/cjlink.php?file=cj201109/cijHx9fq5c.txt

Voici le rapport demandé!

cabrier · Answer

JB

[*] Relance AdwCleaner, clique cette fois sur [Suppression] puis patiente le temps du scan. 

[*]Télécharge Ad-Remover (de C_XX) sur ton bureau.
http://www.teamxscript.org/adremoverTelechargement.html
[*]/!\ Ferme toutes tes applications en cours /!\
[*]Double-clique sur l'icône Ad-Remover située sur ton Bureau 
[*]Au menu principal, clique sur "Scanner"
[*]Confirme le lancement de l'analyse et laisse l'outil travailler.
[*]Quand il a fini, un rapport s'ouvrira : ferme le. 
[*] Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
[*] Clique sur Parcourir et cherche le fichier C:\Ad-Remover.txt 
[*] Clique sur Ouvrir. 
[*] Clique sur "Cliquez ici pour déposer le fichier". 
Un lien de cette forme : 
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 
est ajouté dans la page. 
[*] Copie ce lien dans ta réponse.
A lire [u]sérieusement jusqu'au bout (et n'hésite pas à me poser des questions si tout ne te paraît pas très clair) Mais + tard
https://forum.malekal.com/viewtopic.php?t=6173&start= Les toolbars, c'est pas obligatoire ! ( par Malekal )
ATTENTION : La aussi nous ne sommes qu'en recherche

cabrier · Answer

PS : J'ai oublié de te demander le rapport de suppression de AdwCleaner.

Jean Bapt · Answer

Tout d'abord le rapport de AdwCleaner  
(Enfaite y en a 2, le 1er j'avais pas fermé toutes les fenetres ouvertes) 

Le 1er je pense pas qui t'interesse mais le voilà quand même.: http://www.cijoint.fr/cjlink.php?file=cj201109/cij75w0Aev.txt 

Et le 2°: http://www.cijoint.fr/cjlink.php?file=cj201109/cijt0emXNl.txt 

C'est quasi les mêmes ^^

Jean Bapt · Answer

Sinon après le scan d'Ad Remove j'obtiens un fichier nommé Ad Report Scan et non pas Ad-remover. Mais ca doit être ça. Le voilà: 

http://www.cijoint.fr/cj201109/cijfGhUC4M.txt 


Sinon ton lien pour les toolbars il fonctionne pas ! :(


J'imagine que maintenant je vais devoir nettoyer avec Ad-remover et te filer le rapport non? :p

cabrier · Answer

JB, 

Lorsque tu m'auras posté le rapport de nettoyage de Ad-Remover.  
passe à la suite : 

Malwarebyte 
* Télécharge MBAM et installe le selon l'emplacement par défaut  
https://www.malwarebytes.com/mwb-download/  
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware  
* Clique dans l'onglet du haut "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  
A la fin de l'analyse, si MBAM n'a rien trouvé :  
* Clique sur OK, le rapport s'ouvre spontanément  
Si des menaces ont été détectées :  
* Clique sur OK puis "Afficher les résultats"  
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"  
* Sinon le rapport s'ouvre automatiquement après la suppression , enregistre le. 
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/  
* Clique sur Parcourir et cherche le fichier  
* Clique sur Ouvrir.  
* Clique sur "Cliquez ici pour déposer le fichier".  
Un lien de cette forme :  
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt  
est ajouté dans la page.  
[*] Copie ce lien dans ta réponse. 
? Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le. 

ATTENTION : le scan peut durer 2h suivant la charge des disques à contrôler. 
Mais tu peux me poster le rapport je le verrai + tard ! 
On se retrouve donc demain ? pour la suite......et fin. 


Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

Jean Bapt · Answer

Voici le tant attendu rapport après nettoyage d'Ad remove ! :D  

http://www.cijoint.fr/cjlink.php?file=cj201109/cijjw9Xtiy.txt 


MBAM n'a rien trouvé ! Voici quand même le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201109/cijx51rZUu.txt


A demain pour terminer tout cela ! Encore milles merci à toi :) !!!

cabrier · Answer

JB,

Pour vérification on va encore faire quelques petites choses :

1- RogueKiller en mode Scan (il y aura donc ensuite "suppression" si positif !)

* Télécharge sur le bureau https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
* Quitte tous les programmes en cours 
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
* Sinon lancer simplement RogueKiller.exe 
* Lorsque demandé, taper 1 et valider 
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), enregistre le sur ton bureau
[*]Pour me transmettre le rapport = tu connais maintenant !!!


2-TDSSKiller 
* Télécharge le fichier Tdsskiller.zip, puis double clic dessus.
https://support.kaspersky.com/fr/14421
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
* Transmet moi le lien du rapport par la procédure habituelle.

3-Si on ne trouve plus rien, (et si RogueKiller est négatif) il restera à faire une nouvelle vérif avec ZHPDiag, attendre mon avis sur ce dernier rapport puis désinstaller tous ces outils avec un programme que je t'indiquerai.

@+

Jean Bapt · Answer

Bonjour à toi cabrier ! 

Je viens de faire tout cela, je t'envoie les rapports ;) 

Rapport Recherche RogueKiller: 
http://www.cijoint.fr/cjlink.php?file=cj201109/cijxXvZnEX.txt 

J'ignore si la recherche était positive mais malgré ça j'ai fait la 2° étape. Dont voici le rapport: 
http://www.cijoint.fr/cjlink.php?file=cj201109/cijEhHjU87.txt 

Pas de rapport avec TDSSKiller, après un scan fort bref (15 secondes) le résultat était déjà indiqué: Infections: Not found.

J'ignore si je pouvais le faire maintenant ou plus tard (au pire j'le referais :)), mais voici le Rapport après une nouvelle recherche ZHP Diag:
http://www.cijoint.fr/cjlink.php?file=cj201109/cijy2MW7Tc.txt

Et voilà ! :)

cabrier · Answer

Salut JB, désolé je n'ai pas pu te reprendre + tôt.

Tu as bien travaillé. Le dernier rapport ZHPDiag ne montre plus rien.
Donc pour moi c'est OK !
Juste ceci : Si tu ne te sert pas de ces programmes désinstalle les !
FATE     
HP Game Console     
Mystery P.I.     
Polar Bowler     
Slingo Deluxe     
Spybot - Search & Destroy

Désinstalle ensuite tous ces logiciels de Fix par :
[*]Télécharge DelFix ( d'Xplode ) sur ton bureau.
https://toolslib.net
[*]Lance le et appuie sur Suppression.

Conserves Malwarebyte et CCleaner et passe les de temps en temps.

Comment va ton PC ?

@+

Jean Bapt · Answer

Beaucoup mieux sans toutes ces merdouilles !  


Par contre je ne trouve pas ces programmes dans la liste Ajouter/Supprimer des Programmes.


FATE
HP Game Console
Mystery P.I.
Polar Bowler
Slingo Deluxe 

Je te remercie de m'avoir donner de ton temps pour m'aider ! 
T'es un As ! Heureusement qu'il y a des gens comme toi :) 

Sinon verdict, j'avais bien des logiciels espions (keylogger, spywares,..) sur mon PC? 

As tu idée de comment ils sont arrivés là?  

Quel conseils peux- tu me donner pour éviter que je souffre de nouveaux hack sur mes comptes de jeux ? 

Encore merci pour tout l'ami t'es extra !

Je lirais ta réponse ce soir à 20h45 car là je vais au boulot ! Milles merci :D

cabrier · Answer

Bonsoir JB. Je te remercie.

Tu n'avais pas de trop grosses choses, des Adwares, des BHO et un Rootkit (ça c'est plus gênant).

Pour parfaire le nettoyage de ton PC :
[*] Télécharge cCleaner. 
http://general-changelog-team.fr/telechargements/logitheque/118-ccleaner/download
[*] Installe le puis lance le. 
[*] Clique sur Nettoyeur - Analyse - Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
[*] Enfin, clique sur Registre - corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.
Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

Tu as un tutoriel complet ici : 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/#tutoriel-ccleaner

Certains programmes que je t'ai proposé de désinstaller ont été téléchargés ici :
https://www.wildtangent.com/

Méfie toi des sites de jeux gratuits, ils sont souvent source de Malwares.

Enfin tu as des Toolbars qui ne servent à rien. A toi de voir !
https://forum.malekal.com/viewtopic.php?t=6173&start=

et des BHO ! Qu'est ce que c'est ?
https://forum.malekal.com/viewtopic.php?t=7959&start=

Aucun antivirus ne te protègera à 100%. Ca n'existe pas sinon il n'y aurait plus de malwares (virus, adwares, rootkits......) et ça se saurait.

La seule protection de ton PC c'est toi. 
On lit d'abord, on clique après.

Ceci dit je te conseille de surfer sur Internet avec Firefox et d'installer l'extension qui se nomme WOT. Cette extension t'indique par un cercle vert, orange, rouge la fiabilité de ce site. 
Rouge je n'y vais pas ou je quitte tout de suite.

Allez bonne route !

Jean Bapt · Answer

Cela serait donc ce Rootkit qui m'a valu ce hack de compte jeu...
As tu idée de comment il est arrivé sur mon ordi?

Quoiqu'il en soit merci pour ces conseils ! Je vais télécharger WOT de suite ;)

Merci encore tu es génial !

Besoin d'aide pour interprétation HiJackThis

27 réponses

Discussions similaires

Newsletters