Pour lecture d'un rapport ZHPDiag [Résolu/Fermé]

Signaler
Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
-
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
-
Bonjour,
Pour Anthony

Merci Anthony de lire ce rapport.

Jean claude


http://www.cijoint.fr/cjlink.php?file=cj201003/cij6xpT0Jq.txt

38 réponses

Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Re ;)


Il y a un élément qui fait penser à une infection de disque amovible :

• Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le programme USBFix sur ton Bureau.
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage

Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Le rapport USBFix
Anthony, je n'utilise que très occasionnellement une clé USB pour sauvegarder quelques documents et photos. Pas de mp3, pas de disque externe, rien.
Lors de l'ouverture du rapport, un site s'est ouvert et ça m"'a fait penser que dernièrement j'ai téléchargé 3 écrans de veille. je les ai scannés avec résultat négatif du scann. Puis j'ai télécharté quelques polices.
Je remarque que suite au scann de USBFix l'anti virus "Avira" n'apparait plus dans la barre des taches à côté de l'horloge. Est-ce normal?

Merci

############################## | UsbFix V6.097 |

User : Jean Claude () # BARTHELE-1A081F
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:10:31 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 232.88 Go (212.65 Go free) [C'est bébé] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible # 247.22 Mo (23.79 Mo free) [ MAMOUNETTE] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LogonUI.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\autorun.ini
Supprimé ! C:\Recycler\S-1-5-21-484763869-1708537768-725345543-1004
Supprimé ! I:\msvcr71.dll

################## | Registre |

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFileMenu"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\adobe\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{34f64244-deb5-11db-88b7-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{96a5e892-dd9f-11de-9206-001a4d7b976c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e07bd16c-618d-11de-90c0-001a4d7b976c}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[30/03/2007 11:10|--a------|0] C:\AUTOEXEC.BAT
[03/01/2009 21:34|--ahs----|228] C:\BOOT.BKK
[16/01/2010 06:39|--ahs----|228] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[29/01/2009 21:15|--a------|3666] C:\cleannavi.txt
[30/03/2007 11:10|--a------|0] C:\CONFIG.SYS
[27/01/2009 17:52|--a------|3532] C:\fixnavi.txt
[26/11/2008 14:05|--a------|98050] C:\geoportail_2D_win.ico
[11/11/2009 15:43|--a------|18468] C:\Install.log.txt
[30/03/2007 11:10|-rahs----|0] C:\IO.SYS
[22/01/2009 12:29|--a------|5967] C:\log.html
[10/04/2007 17:17|--a------|90] C:\LogiSetup.log
[30/03/2007 11:10|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[03/09/2008 21:09|-rahs----|252240] C:\ntldr
[27/06/2009 21:42|--a------|262144] C:\ntuser.dat
[27/06/2009 21:42|--ah-----|1024] C:\ntuser.dat.LOG
[?|?|?] C:\pagefile.sys
[27/11/2007 09:22|--a------|49455] C:\PSD.LOG
[30/03/2007 13:07|--a------|347] C:\RHDSetup.log
[26/02/2010 20:17|--a------|44239] C:\sound32.dll
[24/01/2009 16:49|--a------|93] C:\TCleaner.txt
[20/06/2007 06:06|--ahs----|11776] C:\Thumbs.db
[16/12/2007 22:02|--a------|179] C:\USB avant.lnk
[02/03/2010 18:12|--a------|3835] C:\UsbFix.txt
[06/11/2008 13:20|--a------|55296] I:\Parcours grandes randonn‚es.doc
[06/11/2008 13:31|--a------|28672] I:\Parcours grande randonn‚es bis.doc
[21/10/2007 13:45|--a------|1303380] I:\Lac du Bourget (7).JPG
[23/01/2008 14:14|--a------|2144158] I:\Les calmes eaux.JPG
[09/09/2007 09:56|--a------|2106018] I:\Chemin du Parmelan.JPG
[22/01/2008 16:46|--a------|2226810] I:\Palais de l'Isle.jpg
[13/11/2008 21:37|--a------|25600] I:\Lettre Domenget.doc
[16/02/2009 21:41|--a------|91] I:\D‚claration des revenus 2007.URL
[31/08/2009 17:53|--a------|9063586] I:\SAGEM-Fast800-A_4_8.zip
[08/10/2009 21:17|--a------|12148] I:\MessageLog.xsl
[08/10/2009 21:33|--a------|25076] I:\history_db.xml
[16/12/2007 16:03|--a------|5803366] I:\pinguinsingt[1].wmv

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_BARTHELE-1A081F.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Fais redémarrer l'ordinateur, l'icone d'AntiVir devrait revenir (USBFix n'a rien supprimé qui soit lié à AntiVir)


Si tu ne l'as pas fait dernièrement, fais aussi un scan avec MalwareBytes pour vérifier. Pour ça :
• Lance MBAM et mets le à jour
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


Puis poste un nouveau rapport ZHPDiag stp

Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Aucun objet nuisible détecté me dit MBAM.

Voici le rapport MBAM, j'envoie ensuite le rapport ZHPDiag

"""""""

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3793
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

02/03/2010 20:05:35
mbam-log-2010-03-02 (20-05-35).txt

Type de recherche: Examen rapide
Eléments examinés: 128856
Temps écoulé: 4 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Le rapport USBFix


""""""""""



############################## | UsbFix V6.097 |

User : Jean Claude () # BARTHELE-1A081F
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:13:12 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 232.88 Go (212.38 Go free) [C'est bébé] # NTFS
D:\ -> Disque CD-ROM # 301.37 Mo (0 Mo free) [AGE2_X1] # CDFS
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LogonUI.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-484763869-1708537768-725345543-1004
D:\autorun.inf -> fichier appelé : "D:\aocsetup.exe /autorun" ( Absent ! )
D:\autorun.inf -> fichier appelé : "D:\goodies\machine\machine.exe -l" ( Absent ! )
D:\autorun.inf -> fichier appelé : "D:\goodies\mszone\zonea660.exe" ( Présent ! )
(!) Non supprimé ! D:\goodies\mszone\zonea660.exe
D:\autorun.inf -> fichier appelé : "D:\goodies\ar405fre.exe" ( Présent ! )
(!) Non supprimé ! D:\goodies\ar405fre.exe
D:\autorun.inf -> fichier appelé : "D:\goodies\machine\machine.exe" ( Présent ! )
(!) Non supprimé ! D:\goodies\machine\machine.exe
(!) Non supprimé ! D:\autorun.inf

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[30/03/2007 11:10|--a------|0] C:\AUTOEXEC.BAT
[03/01/2009 21:34|--ahs----|228] C:\BOOT.BKK
[16/01/2010 06:39|--ahs----|228] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[29/01/2009 21:15|--a------|3666] C:\cleannavi.txt
[30/03/2007 11:10|--a------|0] C:\CONFIG.SYS
[27/01/2009 17:52|--a------|3532] C:\fixnavi.txt
[26/11/2008 14:05|--a------|98050] C:\geoportail_2D_win.ico
[11/11/2009 15:43|--a------|18468] C:\Install.log.txt
[30/03/2007 11:10|-rahs----|0] C:\IO.SYS
[22/01/2009 12:29|--a------|5967] C:\log.html
[10/04/2007 17:17|--a------|90] C:\LogiSetup.log
[30/03/2007 11:10|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[03/09/2008 21:09|-rahs----|252240] C:\ntldr
[27/06/2009 21:42|--a------|262144] C:\ntuser.dat
[27/06/2009 21:42|--ah-----|1024] C:\ntuser.dat.LOG
[?|?|?] C:\pagefile.sys
[27/11/2007 09:22|--a------|49455] C:\PSD.LOG
[30/03/2007 13:07|--a------|347] C:\RHDSetup.log
[26/02/2010 20:17|--a------|44239] C:\sound32.dll
[24/01/2009 16:49|--a------|93] C:\TCleaner.txt
[20/06/2007 06:06|--ahs----|11776] C:\Thumbs.db
[16/12/2007 22:02|--a------|179] C:\USB avant.lnk
[02/03/2010 20:15|--a------|3796] C:\UsbFix.txt
[02/03/2010 18:12|--a------|184097] C:\UsbFix_Upload_Me_BARTHELE-1A081F.zip
[25/08/2001 23:45|-r-------|2048] D:\00000001.TMP
[18/04/2000 07:02|-r-------|13078] D:\AGE2X.ICO
[25/08/2001 19:24|-r-------|553017] D:\AOCSETUP.EXE
[17/07/2000 16:31|-r-------|564] D:\AUTORUN.INF
[23/08/2001 17:05|-r-------|56052] D:\CLUFX.RTF
[25/08/2001 23:45|-r-------|34304] D:\DRVMGT.DLL
[13/08/2001 19:04|-r-------|180681] D:\LISEZMOX.RTF
[25/08/2001 23:45|-r-------|67584] D:\MCP.DLL
[25/08/2001 19:47|-r-------|93217619] D:\MSGAME.CAB
[13/08/2001 19:05|-r-------|34269] D:\NOUVEAU.RTF
[25/08/2001 23:45|-r-------|11616] D:\SECDRV.SYS
[25/08/2001 18:27|-r-------|1744896] D:\STPENUX.DLL
[25/08/2001 15:44|-r-------|226101] D:\WARRANTY.RTF

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_BARTHELE-1A081F.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Tu as déjà utilisé USBFix, c'est un nouveau rapport ZHPDiag qu'il faut maintenant ;)

Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Apparemment ça devrait marcher.
Voici le lien pour lire ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201003/cij96LP5zD.txt


Merci
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Il manque des informations dans le rapport, mais il ne montre plus d'infection ;)

As-tu des problèmes particuliers avec ton ordinateur ?

Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Disons que hier, j'ai rencontré 3 anomalies bizarres.

1) Ma souris ne faisait plus le double clic. Je vais dans menu de config. Je vais pour ouvrir l'icone de la souris pour accéder aux paramétrages, et là impossible d'afficher les paramètres. Il m'est venu un message comme quoi je devais introduire le CD d'installation car il manquait un composant microsoft intellipoint (quelque chose dans ce style là). J'avais beau cliquer sur "annuler" ou bien sur "ok" cette boite de dialogue revenait sans cesse. Et plus moyen non plus de redémarrer windows. Incompréhensible. Pour afficher la boite des paramètres de la souris il me fallait cliquer sur "annuler" un certain nombre de fois sur cette boite de dialogue qui revenait en boucle. Et au bout d'un moment, la boite de paramétrage de la souris s'affichait. J'ai eu droit plusieurs fois à cet incident. C'est pourquoi hier je t'avais fait part de bizarreries inhabituelles.

2) Et puis aussi, que l'icone de l'antivirus ne s'affichait plus dans la zone de notification.

3) Et puis un message de "java" comme quoi il était survenu un beug, avec le message célèbre que tout le monde connait "envoyer ou ne pas envoyer l'erreur à microsoft.

Depuis ce matin, ces bizarreries ont disparues. Je croise les doigts.

Dis moi Anthony. Puis-je ôter les logiciels installés? "hijackthis - ZHPDiag et USBFix"?
Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Et aussi Anthony.

Qu'est ce que spyware blaster que j'ai sur mon ordi? Est-il utile?

Comme pare feu je n'ai que celui de windows, est-ce suffisant? La dernière fois que tu guéri mon ordi, tu m'avais conseillé PC Tools que je n'ai jamais pu installer.
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Ah oui, j'avais oublié le problème de l'icone d'Avira.
Poste un nouveau rapport ZHPDiag (encore une fois) pour voir si la clé de Registre qui commande son lancement est toujours là.


Spyware Blaster, c'est sans doute moi qui te l'avais recommandé la première fois, mais tu peux le désinstaller (il souffre de mises à jour beaucoup trop tardives...)
Pour le pare-feu, tu peux conserver celui de Windows oui, ce sera plus simple ;)

Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Bonjour Anthony

J'aimerais contrôler l'ordi de mon épouse, tu voudras me guider?

D'accord je désinstalle spyware
Ok pour rapport Diag que voici.


"""""""""""""

http://www.cijoint.fr/cjlink.php?file=cj201003/cijXnQuIyF.txt


"""""""""""

Merci
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Pour la finition on va faire vite, puisque tu as déjà quasiment tout fait ;)


1) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix → clique sur le « A » rouge (Nettoyeur de Tools) → clique sur « Nettoyer »
Tutoriel pour t'aider

2) Fais un nettoyage avec CCleaner

3) Purge la restauration du système : pour ça, suis ce tutoriel



"J'aimerais contrôler l'ordi de mon épouse, tu voudras me guider?"

==> Pas de problème, poste un rapport ZHPDiag stp

Messages postés
2850
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
5 septembre 2020
69
Pour mon ordi c'est OK Anthony

Merci

Pour celui de mon épouse je verrai ça après demain je pense, je ne pourrai avant. Dis moi, comment j'opère pour que ce soit toi qui suive ma demande?

"""""

Et puis question. Lorsque je désinstalle un programme quelconque je désinstalle souvent manuellement dans l'explorateur car j'ai remarqué que bien souvent des dossiers, voire fichiers sont toujours là même après désinstallation par le programme lui-même, soit par CCleaner. Et puis je vais systématiquement dans la BDR pour supprimer tout ce qui rappelle le logiciel que je supprime. Par exemple je désinstalle The Gimp, et bien dans la BDR je supprime complètement tout ce que je vois à "The Gimp". Est-ce bien ou pas?
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Pour le ZHPDiag, poste le sur ce sujet ;)

Et pour la désinstallation, tu ferais mieux de commencer par désinstaller le programme de façon classique, puis supprimer les éventuelles traces restantes ensuite.

Messages postés
13
Date d'inscription
samedi 6 mars 2010
Statut
Membre
Dernière intervention
13 mars 2010

Bonjour Anthony

Voici le rapport ZHPDiag concernant l'ordi de mon épouse.

http://www.cijoint.fr/cjlink.php?file=cj201003/cijqt46pQI.txt

Celui-ci se bloque souvent.

Merci

Jean claude
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Ok, on va faire un diagnostic complet pour être sûr de ne rien laisser passer. Le rapport ZHPDiag est bon, à l'exception d'un fichier à vérifier stp :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\System32\Euphoria.scr
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.



Ensuite, lance MalwareBytes, mets le à jour et fais un scan rapide stp



Et pour finir :

/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Messages postés
13
Date d'inscription
samedi 6 mars 2010
Statut
Membre
Dernière intervention
13 mars 2010

Je poste le rapport anticipant ainsi un nouveau blocage de l'ordi.

Je continue avec le scan MBAM et la suite


"""""""


Information additionnelle
File size: 266240 bytes
MD5...: c6382d04029c3df0d786e0581e83189e
SHA1..: 11a1d58082d35f247d3ca8e76842b2539b00a1fe
SHA256: 640c7817b54af89bac53d1cb1d3330912ae1844cb2577db3e9beda69605e8009
ssdeep: 3072:H+/5a6Ygwk1jiIeU89/JWQot/62rWGitqCQ4GAwA+xn2sRKbOiJCVkDqjS5
YEc7X:qapfeiIO9/0QGif+xPKstd7KljX1iM
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ac0
timedatestamp.....: 0x388264cf (Mon Jan 17 00:39:43 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xabb0 0xb000 6.57 1d03a72bfa0ac9404f72062e5e61ec8e
.rdata 0xc000 0x1514 0x2000 4.05 d3ea5074a5b70c66d3ae6f60a82238da
.data 0xe000 0x32758 0x31000 7.34 f1587194a9fc802d412daddc210b1875
.rsrc 0x41000 0x1278 0x2000 2.44 f4805c821a7caa9186a69f474879fa9c

( 9 imports )
> KERNEL32.dll: Sleep, GetCurrentThread, RtlUnwind, FreeEnvironmentStringsW, WideCharToMultiByte, GetTickCount, ExitProcess, GetModuleHandleA, MultiByteToWideChar, FreeLibrary, GetOEMCP, GetACP, GetCPInfo, SetFilePointer, GetLastError, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, IsBadWritePtr, HeapReAlloc, VirtualAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, GetStringTypeA, GetStringTypeW, FreeEnvironmentStringsA, GetModuleFileNameA, GetCurrentProcess, TerminateProcess, HeapFree, FlushFileBuffers, SetStdHandle, LCMapStringW, LCMapStringA, CloseHandle, SetEnvironmentVariableA, UnhandledExceptionFilter, GetVersionExA, GetProcAddress, HeapAlloc, GetCommandLineA, LoadLibraryA, CompareStringW, CompareStringA, GetStartupInfoA, SetThreadPriority, GetTimeZoneInformation, GetSystemTime, GetLocalTime, GetVersion
> USER32.dll: GetSysColor, GetDlgItem, CheckDlgButton, SendDlgItemMessageA, DialogBoxParamA, SetTimer, IsDlgButtonChecked, KillTimer, TranslateMessage, GetMessageA, GetForegroundWindow, SystemParametersInfoA, DefWindowProcA, ChangeDisplaySettingsA, DestroyWindow, PostMessageA, GetCursorPos, SetCursor, IsWindow, GetParent, PostQuitMessage, EnumDisplaySettingsA, DispatchMessageA, SendMessageA, LoadIconA, CreateWindowExA, RegisterClassA, SetForegroundWindow, FindWindowA, GetSystemMetrics, GetDC, GetClientRect, PeekMessageA, CharNextA, GetSysColorBrush, EndDialog, ReleaseDC
> GDI32.dll: SetBkColor, SetPixelFormat, ChoosePixelFormat, DescribePixelFormat, GetStockObject, SetTextColor
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegSetValueExA, RegOpenKeyA, RegCreateKeyExA, RegQueryValueExA
> SHELL32.dll: ShellExecuteA
> OPENGL32.dll: wglDeleteContext, wglCreateContext, wglMakeCurrent, glViewport, glMatrixMode, glClearColor, glClearAccum, glEnable, glLineWidth, glGenTextures, glBindTexture, glTexEnvf, glTexParameteri, glDisable, glClear, glBlendFunc, glFlush, wglSwapLayerBuffers, glColor4f, glTranslatef, glVertex3f, glLoadIdentity, glColor3f, glTexCoord2d, glBegin, glVertex3fv, glEnd
> GLU32.dll: gluPerspective, gluBuild2DMipmaps
> COMCTL32.dll: -
> WINMM.dll: timeGetTime

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Messages postés
13
Date d'inscription
samedi 6 mars 2010
Statut
Membre
Dernière intervention
13 mars 2010

Le rapport MBAM

A ce sujet, je ne comprends pas pourquoi la date du rapport indique "30/03/2009", alors que la date de l'horloge ordi est correcte.
Je transmets ce rapport maintenant Anthony car je viens de subir un deuxième blocage en l'espace de 20mn, juste à la fin de l'analyse MBAM. Je poursuis avec l'analyse Rootkit, tu me répondras seulement après celle-ci je pense


"""""""""""""



Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1917
Windows 5.1.2600 Service Pack 2

30/03/2009 13:46:10
mbam-log-2009-03-30 (13-46-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 118660
Temps écoulé: 50 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
13
Date d'inscription
samedi 6 mars 2010
Statut
Membre
Dernière intervention
13 mars 2010

Un problème Anthony

J'ai fait un scann avec GMER, après quelques minutes j'ai eu droit au blocage. Donc reset et je recommence. Le scann s'est fait après bien 45mn, ce fut très long. J'enregistre le fichier sur le bureau, je l'héberge sur ci-joint. Et là ça me dit que les fichiers "log" ne sont pas pris en compte. j'héberge de nouveau le rapport et ça me dit ""vous n'avez pas sélectionné de fichier". Donc rien. J'ai ouvert le rapport, il ne comporte que quelques lignes. Etonnant après 45mn de scann.

Je n'ai que ce qui suit dans le rapport. Est-ce normal.

""""""""""

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-06 14:47:37
Windows 5.1.2600 Service Pack 2
Running: psdoxm1p.exe; Driver: C:\DOCUME~1\BARTHE~1\LOCALS~1\Temp\uxrdrpow.sys


---- System - GMER 1.0.15 ----

SSDT F7A67EFE ZwCreateKey
SSDT F7A67EF4 ZwCreateThread
SSDT F7A67F03 ZwDeleteKey
SSDT F7A67F0D ZwDeleteValueKey
SSDT F7A67F12 ZwLoadKey
SSDT F7A67EE0 ZwOpenProcess
SSDT F7A67EE5 ZwOpenThread
SSDT F7A67F1C ZwReplaceKey
SSDT F7A67F17 ZwRestoreKey
SSDT F7A67F08 ZwSetValueKey
SSDT F7A67EEF ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device \FileSystem\Fastfat \Fat B1D6FC8A

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----