[Résolu] optimisation et sécurisation

[dds69]

Bonjour à tous,

Une amie kiné s'est retrouvé infecté suite à la visite de résultat scolaire !! O_o bizarre me dirai vous mais bon le problème est là !

Je lui ai fait faire une restauration système à une date ou tout allé bien mais bon sécurité oblige petit moment de balayage pour voir si tout va bien ^^.

Ayant oublié quelques manip faute de suivre le fofo souvent je viens vous demander votre aide pour m'aider dans cette manoeuvre.

Le pc n'est pas tout jeune :
OS : windows xp pro
RAM : un peu moins de 2go
proco : Intel core 6300 1.86ghz

Voici le rapport hijackthis :

hijackthis.log

Je suis a votre entière écoute toute l'aide possible.

A+

dds69

[SkyTech]

Yop,

Apparement c'est OK.

Tu peux faire un scan MBAM pour vérification :

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

/!\ N'installe pas la protection en temps réelle proposée à l'ouverture /!\

• Installe-le en double-cliquant sur le fichier mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
• Afin de lancer la recherche, clic sur"Rechercher".
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

[dds69]

Re,

Voici le rapport de antimalware :

MBAM-log-2013-06-15 (16-30-34).txt

a+

[SkyTech]

Re,

Tu peux vider la quarantaine de MalwareBytes.

Quel est le navigateur utilisé sur ce PC par son/sa propriétaire ?


Relance HijackThis, coche ces lignes en rouge et clic sur Fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wuuta.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

---

Désactive aussi Java Quick Starter :

Panneau de configuration (de Windows) > Java > Avancé > Divers > Décocher Java Quick Starter.

---

Menu démarrer, exécuter, tape services.msc, entrée

Dans la fenêtre qui s'ouvre cherche :

Intel(R) AMT System Status Service
Ati HotKey Poller
ATI Smart
Intel(R) Active Management Technology LMS Service

Double clique dessus, dans type de démarrage mets manuel.

Redémarre et poste un nouveau rapport HijackThis.

[dds69]

La propriétaire utilise parfois IE et parfois chrome. lors du problème je lui ai indiqué de n'utiliser que chrome.

Voici le nouveau rapport hijackthis :

hijackthis2.log

[SkyTech]

Yop,

Tu peux ajouter AdBlock Plus à Chrome : https://chrome.google.com/webstore/deta ... fddb?hl=fr

Je vois que tu as installé la protection en temps réel de MalwareBytes, elle n'est valable que 30 jours gratuitement.




C'est Ok

Finir le nettoyage :

Supprime :

C:\Program Files\Trend Micro\HijackThis\backups

Tu peux désinstaller\supprimer les programmes que nous avons utilisé via Ajout\Suppression de programmes du Panneau de configuration (XP) ou via désinstaller un programme (Vista / Seven)

Passe un coup de CCleaner (décoche la toolbar à l'installation)

Règle-le d'abord comme ici :

• Clique sur le Pinceau,
• Lancer le Nettoyage.
• Patiente,
• Ensuite clique sur Registre,
• Chercher des erreurs,
• Une fois l'analyse terminer clique sur Réparer les erreurs sélectionnées,
• CCleaner va te demander si tu veux Sauvegarder ou non, à toi de voir si tu le veux ou pas,
• Clique sur Corriger toutes les erreurs sélectionnées,
• OK,
• Tu peux fermer CCleaner.

Défragmente ton DD avec MyDefrag.

Défragmente ta base de registre avec NTREGOPT (Pour Vista / Seven : Clique droit dessus, exécuter en tant qu'administrateur)

Pendant la défragmentation (assez rapide) avec NTREGOPT ne tente pas de faire quoique ce soit avec le PC, tu ne pourras pas !

Désactiver l'indexation des fichiers :

• Poste de travail ou Ordinateur,
• Clique-droit sur les disques durs,
• Propriétés,
• Décochez :
  • Sur Xp : Autoriser l'indexation de ce disque pour la recherche rapides de fichiers
  • Sur Vista : Indexer ce lecteur pour une recherche rapide
• Appliquer les modifications à C:\et à tous les sous-dossiers et fichiers, si un message d'erreur apparaît cliquer sur Ignorer. Laissez faire.

Désactive puis réactive la restauration du système

@+

[dds69]

Bonjour,

Tu peux ajouter AdBlock Plus à Chrome : https://chrome.google.com/webstore/deta ... fddb?hl=fr

Fait !

Je vois que tu as installé la protection en temps réel de MalwareBytes, elle n'est valable que 30 jours gratuitement.

Je l'enlève à la fin du nettoyage.

Un grand merci Sky pour ton aide.

a+