Analyse log OTL

alchimy · par **alchimy** » 09 nov. 2014 09:10

Bonjour, Je viens vers vous pour une analyse de log OTL suite à une infetion par spyhunter 4.

mon rapport de log et lisible a cette adresse:
http://pjjoint.malekal.com/files.php?id ... 11z8k79z11

L'analyse a été faite avec se script:
msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s
%PROGRAMFILES%\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT

Merci de vautre aide.

par **angelique** » 09 nov. 2014 10:27

➫ relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
DRV:64bit: - [2014/11/06 17:41:22 | 000,022,704 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\EsgScanner.sys -- (EsgScanner)
DRV:64bit: - [2014/11/05 18:36:36 | 000,047,408 | ---- | M] (Windows (R) Win 7 DDK provider) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\b786bdb3c67d.sys -- (b786bdb3c67d)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50863;https=127.0.0.1:50863
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50863;https=127.0.0.1:50863
[2012/03/04 16:14:44 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\motar\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
[2013/08/16 07:15:32 | 000,000,000 | ---D | M] (01NET.com V1) -- C:\Users\motar\AppData\Roaming\mozilla\Firefox\extensions\{e4f7b179-a3f6-47d8-9832-cb7b2627312a}
O2:64bit: - BHO: (Reg Error: Value error.) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - Reg Error: Value error. File not found
O2:64bit: - BHO: (Reg Error: Value error.) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - Reg Error: Value error. File not found
O2:64bit: - BHO: (Reg Error: Value error.) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - Reg Error: Value error. File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - !{8e5025c2-8ea3-430d-80b8-a14151068a6d} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{8e5025c2-8ea3-430d-80b8-a14151068a6d} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-604978871-1044819190-1199962827-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-604978871-1044819190-1199962827-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
[2014/11/06 19:06:01 | 000,000,000 | ---D | C] -- C:\Users\motar\Documents\DoctorPC
[2014/11/06 18:44:47 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Local\{F154F7BA-B499-45A2-AAEB-A87D1B3305BE}
[2014/11/06 17:42:12 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Roaming\Enigma Software Group
[2014/11/06 17:41:58 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2014/11/06 16:06:36 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Local\Doctor_PC
[2014/11/06 15:03:06 | 000,000,000 | ---D | C] -- C:\ProgramData\atjs
[2014/11/06 15:03:05 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Roaming\mxY5qh8
[2014/11/06 15:03:04 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Roaming\yg2Qc2M
[2014/11/06 15:03:03 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Roaming\NK5zhG6
[2014/11/05 19:16:41 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Roaming\BandExtend
[2014/11/05 18:49:42 | 000,000,000 | ---D | C] -- C:\ProgramData\e435d908-8e15-4e0c-ae35-3dc1cb10ee1e
[2014/11/05 18:49:16 | 000,000,000 | ---D | C] -- C:\ProgramData\2e60058b-8e73-4ea6-8165-2710beb3c142
[2014/11/05 18:36:36 | 000,047,408 | ---- | C] (Windows (R) Win 7 DDK provider) -- C:\Windows\SysNative\drivers\b786bdb3c67d.sys
[2014/11/05 17:58:35 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Reimageplus.com
[2014/11/05 06:48:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Setup Support for SearchProtect
[2014/11/05 06:34:01 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Local\com
[2014/11/05 06:32:27 | 000,000,000 | ---D | C] -- C:\Users\motar\AppData\Roaming\MailUpdate
[2014/11/05 06:32:27 | 000,000,000 | ---D | C] -- C:\ProgramData\MailUpdate
[2014/11/05 06:32:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\0ca45c95134d
[2014/11/05 06:32:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\f552dd4c52e3
[2014/11/06 17:41:22 | 000,022,704 | ---- | M] () -- C:\Windows\SysNative\drivers\EsgScanner.sys
[2014/11/06 15:35:29 | 000,001,336 | ---- | M] () -- C:\Windows\tasks\SILPL.job
[2014/11/06 15:35:08 | 000,001,684 | ---- | M] () -- C:\Windows\tasks\IIMVGSU.job
[2014/11/06 14:48:47 | 000,001,338 | ---- | M] () -- C:\Windows\tasks\CNIIHP.job
[2014/11/06 14:48:26 | 000,001,334 | ---- | M] () -- C:\Windows\tasks\IBFM.job
[2014/11/05 21:38:43 | 000,001,340 | ---- | M] () -- C:\Windows\tasks\NJBAAXW.job
[2014/11/05 21:38:20 | 000,001,684 | ---- | M] () -- C:\Windows\tasks\UQGEASW.job
[2014/11/05 21:36:20 | 000,001,336 | ---- | M] () -- C:\Windows\tasks\EXDVN.job
[2014/11/05 21:36:01 | 000,001,334 | ---- | M] () -- C:\Windows\tasks\GEDZ.job
[2014/11/05 18:36:36 | 000,047,408 | ---- | M] (Windows (R) Win 7 DDK provider) -- C:\Windows\SysNative\drivers\b786bdb3c67d.sys
[2014/11/05 06:55:00 | 000,001,336 | ---- | M] () -- C:\Windows\tasks\LALBI.job
[2014/11/05 06:54:45 | 000,001,330 | ---- | M] () -- C:\Windows\tasks\OD.job
[2014/11/05 06:54:32 | 000,001,338 | ---- | M] () -- C:\Windows\tasks\TJUDBJ.job
[2014/11/05 06:54:12 | 000,001,338 | ---- | M] () -- C:\Windows\tasks\MQSKHE.job
[2014/11/05 06:33:39 | 000,001,330 | ---- | M] () -- C:\Windows\tasks\PT.job
[2014/11/05 06:33:08 | 000,001,338 | ---- | M] () -- C:\Windows\tasks\IUJMTY.job
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\SILPL
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\PT
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\OD
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\NJBAAXW
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\LALBI
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\EXDVN
[2014/09/01 09:18:44 | 000,002,086 | ---- | C] () -- C:\Users\motar\AppData\Roaming\CNIIHP
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\UQGEASW
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\TJUDBJ
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\MQSKHE
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\IUJMTY
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\IIMVGSU
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\IBFM
[2014/09/01 09:18:44 | 000,001,248 | ---- | C] () -- C:\Users\motar\AppData\Roaming\GEDZ
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc, poste le

alchimy · par **alchimy** » 09 nov. 2014 18:24

Salut, merci de l'aide, pour le moment je ne peut faire ce que tu me demande car le collègue à qui appartiens le pc la récupéré, je suivrais t'es instructions quand je passerais boire l'apéro chez lui.

Merci infiniment

par **angelique** » 09 nov. 2014 18:27

Possible qu'il faudra recréer un nouveau sujet car vu les infections , la situation aura changé avec pleins de nouveaux "amis".

alchimy · par **alchimy** » 09 nov. 2014 18:32

ok, au cas ou je referais un autre log et pas un dimanche matin ^^

Merci pour tout

Malekal.com forum

Analyse log OTL

Analyse log OTL

Re: Analyse log OTL

Re: Analyse log OTL

Re: Analyse log OTL

Re: Analyse log OTL