DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 27 Nov 2024 à 21:04 FAQ | Rechercher | Membres | Groupes

pc portable rapport hitjackthis


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 19 Mar 2008 à 16:57    Sujet du message: pc portable rapport hitjackthis Répondre en citant

bonjour,

je vous adresse mon rapport hitjackthis
je dois être infecté
je ne pouvais plus accéder à IE7 alors que je pouvais recevoir mes mails sur outlook
après avoir décocher proxy sur les options j'ai retrouvé un accès à IE
par contre je ne peux modifier ma page d'accueil sur options IE, il me met toujours:
http://go.microsoft.com/fwlink/?LinkId=69157
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 19 Mar 2008 à 17:35    Sujet du message: Répondre en citant

Bonjour jcld, il manque le rapport hijack

- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm (merci à brucelee) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 19 Mar 2008 à 18:22    Sujet du message: rapport Répondre en citant

Log supprimé
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 19 Mar 2008 à 23:18    Sujet du message: Répondre en citant

Re, tu es bien infecté, navipromo surement. On va vérifier:

- Télécharge Navilog1 (de IL-MAFIOSO) http://pagesperso-orange.fr/il.mafioso/Navifix/Navilog1.exe enregistre ce fichier sur le bureau.

- Double clic sur Navilog1.exe afin de lancer l'installation


- Si le fix ne lance pas automatiquement aprés son installation

- Double clic sur navilog1 présent sur le bureau

- Appuie sur F ou f valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 appuie sur la touche Entrée pour valider ton choix.

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini un rapport portant ce fixnavi.txt sera affiché poste le contenu de ce rapport.
- Si le résultat du scan ne s'affiche pas tu le trouvera dans C:\fixnavi.txt.

N'utilise pas l'option 2, 3 et 4 sans notre accord
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 20 Mar 2008 à 11:02    Sujet du message: rapport Répondre en citant

bonjour,
ci-joint rapport Navilog1

Search Log supprimé le 20/03/2008 à 9:15:51,06 ***


jcld
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Mar 2008 à 2:58    Sujet du message: Répondre en citant

Bonjour jcld, infection par navipromo:


1/ Double clic sur navilog1


- Appuie sur F ou f valide par Entrée

- Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.

- Choisis l'option 2 Désinfection automatique valide en appuyant sur Entrée

- Le fix va t'informer qu'il va alors redémarrer ton PC

- Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

- Appuie sur une touche comme demandé (si ton Pc ne redémarre pas automatiquement, fais le toi même)

- Au redémarrage de ton PC, choisis ta session habituelle.

- Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

- Le bloc-notes va s'ouvrir.

- Sauvegarde le rapport de manière à le retrouver

- Referme le bloc-notes. Ton bureau va réapparaitre

- Un rapport sera généré et enregistré sur le bureau ==> cleanavi.txt


Note : Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

- Rends-toi à l'onglet Processus Clique en haut à gauche sur Fichiers choisis Exécuter

- Tape Explorer et valide. Celà te fera apparaitre ton bureau.



2/


- Poste le contenu de cleanavi.txt

- Poste un nouveau log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 21 Mar 2008 à 15:25    Sujet du message: rapport Répondre en citant

Clean Navipromo version 3.5.0 commencé le 21/03/2008 à 9:03:34,56

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : FAT32

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

qcjjwovpz.exe trouvé !
Copie qcjjwovpz.exe réalisée avec succès !
qcjjwovpz.exe supprimé !


* Suppression dans "C:\Documents and Settings\poste\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\poste\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\poste\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\poste\menud+~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***



*** Suppression fichiers ***

c:\documents and settings\poste\bureau\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\poste\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

ysjflrgmkh.dat trouvé !
Copie ysjflrgmkh.dat réalisée avec succès !
ysjflrgmkh.dat supprimé !

ysjflrgmkh_nav.dat trouvé !
Copie ysjflrgmkh_nav.dat réalisée avec succès !
ysjflrgmkh_nav.dat supprimé !

wiijnkh_nav.dat trouvé !
Copie wiijnkh_nav.dat réalisée avec succès !
wiijnkh_nav.dat supprimé !

ysjflrgmkh_navps.dat trouvé !
Copie ysjflrgmkh_navps.dat réalisée avec succès !
ysjflrgmkh_navps.dat supprimé !

wiijnkh_navps.dat trouvé !
Copie wiijnkh_navps.dat réalisée avec succès !
wiijnkh_navps.dat supprimé !


* Dans "C:\Documents and Settings\poste\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

*** Nettoyage terminé le 21/03/2008 à 12:30:46,73 ***

Log supprimé
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 22 Mar 2008 à 2:09    Sujet du message: Répondre en citant

Bonjour jcld, voici la suite:


Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable



Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser




1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet




2/ Redémarre en mode sans échec

Citation:

-Au redémarrage de ton PC tapote sur la touche F8 ou F5
-Sur l'écran suivant déplace toi avec les flèches de direction
-Choisis Mode sans échec.
-Choisis ta session et non la session Administrateur




3/



- Surligne le texte en citation (sans le mot citation), copie/colle le dans le bloc notes

Citation:

cd %windir%\system32
process -k explorer.exe
sc config Boonty Games start= disabled
sc stop Boonty Games
sc delete Boonty Games
start explorer.exe
exit



- Clique ensuite sur Fichier/Enregistrer sous
- Choisis le bureau comme lieu d'enregistrement
- A Type ===> Tous les fichiers
- Donne lui ce nom Remove.bat et clique sur Enregistrer et quitte le bloc notes



4/Lance HijackThis


- Clique sur Do a scan system only et coche la case devant les lignes suivantes:

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O4 - Startup: BoontyBox Alice Jeux.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://gamenextfr.oberon-media.com/online/online2/diner_dash_flo_on_the_go/ddfot g.1.0.0.33.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://spinpalace.microgaming.com/spinpalace/FlashAX.cab


Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked




5/

- Double-clique sur OTMoveIt.exe (sur ton bureau)

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

Citation:
C:\Program Files\Fichiers communs\BOONTY Shared



- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit



6/
- Double clic sur Remove.bat qui est sur le bureau (Cela va être trés rapide tu ne verras rien)



7/



- Dans Nettoyeur :

- Onglet Windows ne coche pas la case Avancé

- Onglet Applications laisse toutes les cases cochées

- Clique sur le bouton Analyse puis celle-ci fini sur Lancer le nettoyage



8/ Démarre AVG Anti-Spyware


- Clique sur Analyse

- Choisis Analyse complète du système

Le scan terminé:

- Clique sur Appliquer toutes les actions.

- Clique sur Enregistrer le rapport et Enregistrer le rapport sous

- Enregistre ce rapport sur le Bureau.



9/ Redémarre en Mode Normal et poste:

- Un nouveau rapport HijackThis
- Le rapport d'AVG AS
- Le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 24 Mar 2008 à 11:41    Sujet du message: rapport Répondre en citant

bonjour,
je prends du retard pour effectuer ces tests
pour info je ne savais pas ou trouver pour "5" OTMovelt.exe
je l'ai trouvé sur internet à l'adresse suivante (la 1ere adresse trouvée n'étant pas bonne)
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
j'espère pouvoir finir pour demain matin

bonne journée
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 24 Mar 2008 à 21:55    Sujet du message: Paragraphe7 Répondre en citant

m'indiquer pour ce paragraphe le programme à utiliser
je continue de toute facon
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 24 Mar 2008 à 22:10    Sujet du message: Répondre en citant

RE, tu as trouvé le bon lien lien
Il faut le dézipper sur le bureau
puis tu passes en 5/ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 25 Mar 2008 à 0:25    Sujet du message: re paragraphe7 Répondre en citant

pour le paragraphe 7
je ne sais pas ou je trouve Nettoyeur
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 25 Mar 2008 à 0:32    Sujet du message: rapports Répondre en citant

Log supprimé

---------------------------------------------------------
Log supprimé



C:\Program Files\Fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\Fichiers communs\BOONTY Shared moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03242008_204938
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jcld



Inscrit le: 12 Mar 2008
Messages: 28
Localisation: OISE

MessagePosté le: 25 Mar 2008 à 0:36    Sujet du message: rapports Répondre en citant

j'ai mis les rapports ci-dessus sans avoir exécuté le paragraphe 7

pour le rapport OTMovelt je ne sais si c'est OK je n'avais que quelqus lignes, j'espère ne pas avoir arreté trop vite le programme
_________________
Merci d'avance

jcld 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 26 Mar 2008 à 22:55    Sujet du message: Répondre en citant

Bonjour jcld, je te ferais une nouvelle procédure demain, plus le temps ce soir  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum