FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Mickael]

Bonjour et meilleurs voeux à tous,
J'aurais besoin de vos lumières sur l'interprétation d'un rapport DHPdiag car je ne suis pas en mesure de le faire moi même (je me défend dand d'autres domaines mais pas dans celui là ).

Voici mon problème: hier soir, je lisais mes mails et en lisant un mail d'ups m'informant du numéro de suivi de mon colis, j'ai cliqué sur le lien pour obtenir le suivi du colis. Cependant, mon antivirus ma bloqué la page (bitdefender internet security 2012) me disant que le site était malveillant mais que je n'étais pas infecté.
J'ai donc lancé une analyse complète avec celui-ci qui ne m'a rien détecté.
Pour être sûr, j'ai aussi fait une analyse avec malwarebytes anti-malware qui ne m'a rien détecté non plus.

Ayant toujours des doutes (car j'ai pas mal d'infos personnelles sur mon pc et j'effectue pas mal de transactions sur le net) je me suis renseigné sur DHPdiag (meilleur que Hijackthis à ce que j'ai pu voir sur le net) et ai généré un rapport d'analyse.

J'aurais donc besoin d'aide pour le déchiffrer.

Voici le lien du log : http://pjjoint.malekal.com/files.php?id ... 14e6b12d11

Un grand merci d'avance a ceux ou celles qui voudront bien m'éclairer.

[dédétraqué]

Salut Mickael


Quelque résidu et cela est bon

Télécharge OTM (de Old_Timer) sur le bureau :

https://www.sosvirus.net/telecharger/otm/
http://www.itxassociates.com/OT-Tools/OTM.exe

Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

:reg
[-HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
[-HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[-HKCU\Software\Softonic]
[-HKLM\Software\Classes\AOLTB.AOLToolBand.1]

:files
C:\ProgramData\IBUpdaterService

:commands
[emptytemp]
- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


@++

[Mickael]

Merci beaucoup pour ton aide Dédétraqué.

J'ai effectué ce que tu m'as demandé mais OTM a planté à la fin du processus et je ne pouvais plus voir le bureau (je n'avais que le curseur de la souris que je pouvais bouger et OTM sur "ne répond pas").
J'ai alors redémarré le pc mais le fichier de rapport généré par OTM est vide.
De plus, tous mes fichiers cachés apparaissent maintenant.
Est-ce que cela est normal ou non?

Merci pour ta réponse.

[Mickael]

P.S: j'ai recoché "masquer les fichiers cachés" dans le panneau de config.

[dédétraqué]

Salut Mickael


On va utiliser un autre outil de diagnostique de PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++

[Mickael]

Bonjour dédétraqué, comment vas-tu?

J'ai effectué ce que tu m'as demandé avec les paramètres que tu m'as indiqués (ça n'a pas planté cette fois!! ).
Voici le lien de OTL.txt : http://cjoint.com/?CApudwanv8v

et celui de Extras.txt : http://cjoint.com/?CApufsWpXdK

Encore mille merci pour ton aide.

Cordialement,
Mickael.

[dédétraqué]

Salut Mickael


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Ca1528av.sys -- (Ca1528av)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Bulk1528.sys -- (Bulk1528)
DRV - File not found [File_System | On_Demand | Stopped] -- system32\DRIVERS\bdfm.sys -- (BDFM)
O3 - HKLM\..\Toolbar: (BitDefender Toolbar) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2011\IEToolbar.dll File not found
O3 - HKU\S-1-5-21-967089599-395092943-1074152523-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\ieshow.exe" File not found
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" File not found
O4 - HKU\S-1-5-21-967089599-395092943-1074152523-1000\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O8 - Extra context menu item: Exporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++

[Mickael.]

Bonjour Dédétraqué,

Désolé mais OTL fait comme OTM. Lors de la phase de correction, il me fait planter le pc au moment ou il est sur "empty temp".

J'ai essayé 2 fois mais rien n'y fait .

Aurais-tu un autre moyen d'effectuer ce qu'il y a a faire?

Merci de ta réponse.
Cordialement,
Mickael.

[dédétraqué]

Salut Mickael


J'ai modifier mon poste pour enlever la suppression des fichiers temporaires, essai de nouveau...


@++

[Mickael.]

Bonjour Dédétraqué,

Cela a fonctionné sans le correctif des fichiers temporaires.

Voici le lien du rapport de suppression: http://cjoint.com/?CArtchEgY9V

Merci beaucoup.

Cordialement,
Mickael.

[dédétraqué]

Salut Mickael


Cela est bon, as-tu d'autre souci?


@++

[Mickael.]

Pas d'autres soucis en vue.

Je suis rassuré de payer pour un antivirus qui fonctionne assez bien.
Un grand merci pour ton aide si précieuse dédétraqué !!!

C'est sympa de voir que des gens comme toi prennent le temps d'aider d'autres personnes !!

Encore mille merci et peut-être à bientôt.

Cordialement,
Mickael.

[dédétraqué]

Salut Mickael


Bien de rien

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/fr ... /26-delfix

[*]Double-clique sur l'icône delfix.exe située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône delfix.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

[*]Sélectionne Suppression

[*]Copie/colle le contenu du rapport dans ton prochain message.

Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )


-----


Je te donne quelques consignes de sécurité :

Windows Update parfaitement à jour http://www.windowsupdate.com/
Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Si tu considère ton problème comme résolu, procédure pour le mettre :
http://www.forum-entraide-informatique. ... -en-resolu

Bonne journée/soirée et bon surf


@++

[Mickael.]

Bonjour dédétraqué,

j'ai utilisé delfix qui m'a bien supprimé les outils de désinfection. Cependant, le rapport reste introuvable même en effectuant une recherche de fichiers.
Delfix s'est aussi supprimé une fois son travail terminé.

Est-ce grave ou pas de ne pas avoir le rapport?

De toute façon, je te remercie pour ta disponibilité et ton aide .

Cordialement,
Mickael.

[dédétraqué]

Salut Mickael


Non pas grave pour le rapport

bien de rien, bonne fin de semaine


@++

[Mickael.]

Bonjour dédétraqué,

encore merci pour ton aide, et peut etre à bientot.

Cordialement,
Mickael.

[dédétraqué]

Salut Mickael


Bien de rien, pense a mettre en résolu


@++