Bonjour.
Cela fait maintenant plusieurs années que je travaille sur un PC (portable) que je crains infecté. Je découvre par exemple dans la liste des processus des “.exe” suspects, exigeant beaucoup de mémoire… Qui plus est, l’espace-disque de mon PC change fréquemment et étrangement sans que j’y fasse quelque opération qui pourrait requérir autant de place changeante.
Aussi, je supplie tous les connaisseurs an la question de bien vouloir m’aider. Voici mon log HiJackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:38:28, on 02/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Pitié! Cela fait presque cinq ans que je lutte contre toutes ces immondices de malwares, et j’ai vraiment besoin d’aide.
Merci d’avance à ceux qui auront l’indulgence de me soutenir.:frown:
Edité le 02/08/2010 à 11:03
Clique [ici](http://images.malwareremoval.com/random/RSIT.exe) pour télécharger random's system information tool (RSIT) par random/random et sauvegarde le sur ton [b]Bureau[/b]
Double-clique sur RSIT.exe pour l’exécuter.
Clique sur le bouton “Continue” sur la fenêtre d’avertissement.
Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
Logfile of random’s system information tool 1.08 (written by random/random)
Run by Luc MEFFRE at 2010-08-02 12:02:17
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 12 GB (16%) free of 76 GB
Total RAM: 1014 MB (18% free)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:03:28, on 02/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019"
“C:\Program Files\Messenger\msmsgs.exe”="C:\Program Files\Messenger\msmsgs.exe::Enabled:Windows Messenger"
“C:\WINDOWS\system32\usmt\migwiz.exe”=“C:\WINDOWS\system32\usmt\migwiz.exe::Enabled:Assistant Transfert de fichiers et de paramètres"
“%windir%\Network Diagnostic\xpnetdiag.exe”="%windir%\Network Diagnostic\xpnetdiag.exe::Enabled:@xpsp3res.dll,-20000”
“C:\Program Files\iTunes\iTunes.exe”=“C:\Program Files\iTunes\iTunes.exe::Enabled:iTunes"
“C:\Games\Descent3\main.exe”="C:\Games\Descent3\main.exe::Disabled:main”
“C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat”=“C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat::Enabled:La Bataille pour la Terre du Milieu II"
“C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu™\game.dat”="C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu™\game.dat::Enabled:La Bataille pour la Terre du Milieu™”
“C:\Program Files\Electronic Arts\L’Avènement du Roi-sorcier\game.dat”=“C:\Program Files\Electronic Arts\L’Avènement du Roi-sorcier\game.dat::Enabled:LSDA, L’Avènement du Roi-sorcier"
“C:\WINDOWS\explorer.exe”="C:\WINDOWS\explorer.exe::Enabled:Explorateur Windows”
“C:\Program Files\Cyanide\Loki\Loki.exe”=“C:\Program Files\Cyanide\Loki\Loki.exe::Enabled:Loki"
“C:\Program Files\Cyanide\Loki\Autorun\Autorun.exe”="C:\Program Files\Cyanide\Loki\Autorun\Autorun.exe::Enabled:Loki - AutoRun”
“C:\Documents and Settings\Luc MEFFRE\Bureau\Félix\Universe at War-Earth Assault\UAWEA.exe”=“C:\Documents and Settings\Luc MEFFRE\Bureau\Félix\Universe at War-Earth Assault\UAWEA.exe::Disabled:Universe at War: Earth Assault Application"
“C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe”="C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe::Enabled:KTF MUSIC AoD Server”
“C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe”=“C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe::Enabled:KTF MUSIC VoD Server"
“C:\Program Files\AVG\AVG9\avgupd.exe”="C:\Program Files\AVG\AVG9\avgupd.exe::Enabled:avgupd.exe”
“C:\Program Files\AVG\AVG9\avgnsx.exe”=“C:\Program Files\AVG\AVG9\avgnsx.exe::Enabled:avgnsx.exe"
“C:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe”="C:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe::Disabled:Client”
“C:\Program Files\TrackMania Sunrise Extreme Demo\TmSunriseExtremeDemo.exe”=“C:\Program Files\TrackMania Sunrise Extreme Demo\TmSunriseExtremeDemo.exe::Disabled:TmSunriseExtremeDemo"
“C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe”="C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe::Disabled:TmNationsESWC”
“C:\Program Files\TmNationsForever\TmForever.exe”=“C:\Program Files\TmNationsForever\TmForever.exe::Disabled:TmForever"
“C:\Program Files\Flagship Studios\Hellgate London\Launcher.exe”="C:\Program Files\Flagship Studios\Hellgate London\Launcher.exe::Enabled:Hellgate : London”
“C:\Program Files\Skype\Phone\Skype.exe”="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "
Désinstalle Adobe Acrobat reader par Ajout/suppr des programmes du panneau de configuration … c’est une usine à gaz pour lire les fichier PDF. Remplace le par Foxit Reader , plus léger et plus sécurisé
Passe Ccleaner en mode registre ==> recherche les erreurs ==> corrige les erreurs ==> Accepte la sauvegarde du registre ==> fais plusieurs passes
Refuse de la barre Yahoo à l’installation
Passe Ccleaner en mode nettoyeur
Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM), mets le à jour
va dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
Sélectionnes tes disques durs puis clique sur “Lancer lexamen”
A la fin du scan, clique sur Afficher les résultats , sélectionne tous les éléments trouvés puis
cliques sur Supprimer la sélection==>Important à faire
S’il t’ es demandé de redémarrer, clique sur "oui "
Fais Démarrer ==> Exécuter ==> tape: msconfig ==> ouvre l’onglet “Démarrage” ==> décoche toutes les case sauf ton antivirus, ton touch pad si tu es sur un portable ==> appliquer et ok ==> au redémarrage de la machine clique sur ’ Ne plus me prévenir …"
Tu commences à manquer de place sur ton disque il serait bon de faire le tri dans tes logiciels … désinstalle ceux que tu n’utilises plus par ajout/supp des programmes du panneau de configuration.
Passe Ccleaner en mode registre ==> recherches les erreurs ==> corrige les erreurs ==> accepte la sauvegarde du registre ==> fais plusieurs passe
dans ta prochaine réponse poste le rapport de MBAM et 2 nouveaux rapports RSIT
Edité le 02/08/2010 à 14:17
Très bien, je vais faire tout ça. Juste, rien ne risque d’entrer en conflit avec mon antivirus actuel? (AVG 9.0 Free Edition).
Et, si possible, pourrais-tu m’expliquer tout cela? Pourquoi décocher des cases dans l’onglet “Démarrage”? Pourquoi ma machine va m’annoncer quelque chose? En quoi tout cela est-il nécessaire?
Merci beaucoup pour toute ton aide jusqu’ici, mais je voudrais vraiment quelques détails supplémentaires (j’ai horreur de faire des manipulations de cette importance, alors j’aime autant me renseigner).
Au démarrage de l’ordi tu as une multitude de log qui se lance, donc perte de temps + chargement de log en mémoire , que tu n’utiliseras certainement pas lors de la session ==> donc on passe par msconfig pour que ces log ne se lancent plus au démarrage de la machine, ce qui provoque gain de temps au démarrage + soulagement de la machine + rapidité d’ exécution.
Au redémarrage, Windows va te prévenir que tu as choisis un “démarrage sélectif” , c’est pour cela que je te demande de cocher la case " Ne plus me prévenir …" sinon à chaque démarrage cette fenêtre va s’ouvrir, ce qui est pénible à la longue
Aucun soucis pour tes logiciels … ils seront juste un peu plus long à s’ouvrir … mais ta machine sans portera que mieux vu que tu n’as que 1GO de mémoire … c’est déjà bien mais tout juste nécessaire pour faire tourner les log nouveaux, donc autant de pas charger la machine.
J’espère avoir répondu à tes questions … si tu en as d’autres je t’écoute
J’ai téléchargé Foxit Reader. Jusque là, aucun problème, ça semble être un bon logiciel mais je verrai plus tard.
Je passe CCcleaner en mode “Registre”. Il trouve des milliers de “problèmes”, dont plein d’extensions non utilisées, mais j’en reconnais qui appartiennent à mes jeux! Que fera-t-il si je clique sur “corriger les erreurs”?
Edité le 02/08/2010 à 15:18
OK. J’ai fait cinq passes. Au final, il ne trouve plus aucun problème. Je m’apprête à le passer en mode “Nettoyeur”. Pourquoi certaines options ne sont-elles pas cochées?
Edité le 02/08/2010 à 15:56
D’accord, merci. Analyse en cours. Cela dure longtemps, non?
Analyse terminée: dans "détails des fichiers à supprimer", il met mon antivirus (Utilitaires-AVG Antivirus 9.0)! Et Applications-Office 2003 et Office 2007! Qu'est-ce que cela veut dire?
Edité le 02/08/2010 à 16:33
Fichier(s) infecté(s):
C:\Documents and Settings\Luc MEFFRE\Local Settings\Temp\SystemRequirementsLabx.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
Et voici le log.txt de rsit (c’est le seul qui soit apparu après le scan, pas d’info.txt).
Logfile of random’s system information tool 1.08 (written by random/random)
Run by Luc MEFFRE at 2010-08-02 18:45:03
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 26 GB (34%) free of 76 GB
Total RAM: 1014 MB (41% free)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:45:06, on 02/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019"
“C:\Program Files\Messenger\msmsgs.exe”="C:\Program Files\Messenger\msmsgs.exe::Enabled:Windows Messenger"
“C:\WINDOWS\system32\usmt\migwiz.exe”=“C:\WINDOWS\system32\usmt\migwiz.exe::Enabled:Assistant Transfert de fichiers et de paramètres"
“%windir%\Network Diagnostic\xpnetdiag.exe”="%windir%\Network Diagnostic\xpnetdiag.exe::Enabled:@xpsp3res.dll,-20000”
“C:\Program Files\iTunes\iTunes.exe”=“C:\Program Files\iTunes\iTunes.exe::Enabled:iTunes"
“C:\Games\Descent3\main.exe”="C:\Games\Descent3\main.exe::Disabled:main”
“C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat”=“C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat::Enabled:La Bataille pour la Terre du Milieu II"
“C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu™\game.dat”="C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu™\game.dat::Enabled:La Bataille pour la Terre du Milieu™”
“C:\Program Files\Electronic Arts\L’Avènement du Roi-sorcier\game.dat”=“C:\Program Files\Electronic Arts\L’Avènement du Roi-sorcier\game.dat::Enabled:LSDA, L’Avènement du Roi-sorcier"
“C:\WINDOWS\explorer.exe”="C:\WINDOWS\explorer.exe::Enabled:Explorateur Windows”
“C:\Program Files\Cyanide\Loki\Loki.exe”=“C:\Program Files\Cyanide\Loki\Loki.exe::Enabled:Loki"
“C:\Program Files\Cyanide\Loki\Autorun\Autorun.exe”="C:\Program Files\Cyanide\Loki\Autorun\Autorun.exe::Enabled:Loki - AutoRun”
“C:\Documents and Settings\Luc MEFFRE\Bureau\Félix\Universe at War-Earth Assault\UAWEA.exe”=“C:\Documents and Settings\Luc MEFFRE\Bureau\Félix\Universe at War-Earth Assault\UAWEA.exe::Disabled:Universe at War: Earth Assault Application"
“C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe”="C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe::Enabled:KTF MUSIC AoD Server”
“C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe”=“C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe::Enabled:KTF MUSIC VoD Server"
“C:\Program Files\AVG\AVG9\avgupd.exe”="C:\Program Files\AVG\AVG9\avgupd.exe::Enabled:avgupd.exe”
“C:\Program Files\AVG\AVG9\avgnsx.exe”=“C:\Program Files\AVG\AVG9\avgnsx.exe::Enabled:avgnsx.exe"
“C:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe”="C:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe::Disabled:Client”
“C:\Program Files\TrackMania Sunrise Extreme Demo\TmSunriseExtremeDemo.exe”=“C:\Program Files\TrackMania Sunrise Extreme Demo\TmSunriseExtremeDemo.exe::Disabled:TmSunriseExtremeDemo"
“C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe”="C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe::Disabled:TmNationsESWC”
“C:\Program Files\TmNationsForever\TmForever.exe”=“C:\Program Files\TmNationsForever\TmForever.exe::Disabled:TmForever"
“C:\Program Files\Flagship Studios\Hellgate London\Launcher.exe”="C:\Program Files\Flagship Studios\Hellgate London\Launcher.exe::Enabled:Hellgate : London”
“C:\Program Files\Skype\Phone\Skype.exe”="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "
Je ne sais pas ce que je dois virer, j’ai toujours peur de faire une erreur. Pourrais-tu me conseiller?
Je suis navré pour SP3, comme j’ai laissé mon PC connecté longtemps, je l’ai laissé faire ses mises à jour (cela devenait nécessaire, la dernière devait dater de plusieurs années).
D’accord pour que tu regardes mes rapports demain (naturellement), tu m’as déjà beaucoup aidé aujourd’hui.
A demain alors, en espérant un progrès.
Edité le 02/08/2010 à 19:37
tu peux décocher toutes les lignes commençant par:
C:\Program Files
puis
C:\WINDOWS\system32\ctfmon.exe
et de toute manière si un log te manque au démarrage tu pourras le recocher
Clique [ici](http://www.genproc.com/GenProc.exe) pour télécharger [b]GenProc[/b] sur le bureau
=> lance le et laisse le travailler
=> Enregistre le rapport sur le bureau et poste le ici s'il te plait
Ton lien est brisé. J’ai fait des recherches rapides, pas moyen de trouver ce logiciel. Cela dit, est-ce indispensable? Mon PC n’est-il pas nettoyé? Après, qu’il rame un peu, ce n’est pas si grave, tout ce qui m’inquiétait, c’était qu’il soit infecté.
Ne peut-on en rester là ou n’est-ce pas encore terminé?
Par ailleurs, si tu m’accordes encore un peu de temps, j’aurais quelques simples questions à te poser.
Très bien, merci. Si cela n’est pas trop gênant, je préfère éviter Genproc (pour diverses raisons plus ou moins difficiles à expliquer :D).
En revanche, je vais lancer la défragmentation.
Mes questions: -Foxit Reader, il ne permet pas la création de fichiers PDF depuis Word? Il demande de télécharger quelque chose, mais ça ne me rassure pas (j’ai déjà eu des déboires à ce sujet avec cutepdf). Est-ce vraiment fiable? Ou bien existe-t-il un autre logiciel (gratuit) pour cela (“Word to PDF Converter”?). Un peu hors-sujet, mais comme tu m’as présenté Foxit…
-Malwarebytes fournit-il aussi une protection permanente?
-CCleaner n’est qu’un utilitaire de nettoyage?
-Pourrais-tu m’indiquer un site ou autre chose qui me permette de comprendre tout ces logs que tu m’as fait faire?
Merci d’avance.
Edité le 03/08/2010 à 11:21