Infection joint Log ZHPDIAG

Salut,

Il faut être loggé sur une session ADMIN Pour désinfecter !!

Si tu utilise vista ou windows 7 et SEULEMENT pour vista et 7 !!!, désactive l'UAC :

VISTA :https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

7 : https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/

Laisse désactivé durant toute la désinfection, je te dirai quand réactiver

LIS BIEN LES INSTRUCTIONS :) et tant que je ne t'ai PAS confirmé la fin de la désinfection il FAUT revenir consulter REGULIEREMENT le forum même si les symptômes ont disparu :)


-+-+-+-+-> USBFix <-+-+-+-+-

Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici.

[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.

[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.

[x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.

[x] Double clic sur le raccourci UsbFix présent sur le bureau .

[x] Choisir l'option suppression

[x] USBFix va rechercher les infections possibles, ne t'inquiète pas si le menu démarrer et les incônes de ton bureau disparaissent, c'est normal

[x] Il est possible que USBFix te demande de redémarrer ton PC, fais le.

[x] Au redémarrage, USBFix va se lancer pour appliquer les fix, laisse le faire

[x] Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse, pour info : le rapport UsbFix.txt est sauvegardé a la racine du disque ( C:\UsbFix.txt ).

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Bonsoir ou Bonjour Excessimo

Tu trouvera le rapport USBFix après suppression ici :

https://www.cjoint.com/?0mubktb5c8m


j'attends la suite STP.

===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Bonjour Excessimo

J'ai déjà posté un log de ZHPDIAG au tout début de mon poste Avec le log du 1er nettoyage fait avec MBM qui montre la ribombelle d'infection qu'avait le PC

A+

* Télécharge TDSSKiller sur votre bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

* Créer un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Coche les et clique sur "Delete/Repair Selected".

* Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").



Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350

J'ai fait TDSSKiller, il a trouver une bebete et il l'a supprimer.
Le PC à bien démarrer ma connexion s'améliore de plus en plus.

que faire pour la suite SVP

Bonsoir

Voici le nouveau Log :
https://www.cjoint.com/?0musZANPQFq

Par contre la personne s'est rendu compte que son McAfee ne fonctionnait pas alors il a pris la décision de le remplacer par Avast et pourtant et pourtant je lui ai dis de ne rien faire avant la fin. Mais bon

=============AD-REMOVER==================

* Télécharge AD-Remover ici
ferme toutes les applications en cours !!!

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

############### Malwarebytes' Anti-Malware ###############

Lance malwarebytes va dans l'onglet mise à jour et met le à jour

[x] ensuite, clique sur " Exécuter un examen complet" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.

quand ce sera fait :

* Lance ZHPFix il se trouve dans le même répertoire que zhpdiag (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------

[HKLM\Software\Boonty]
[HKLM\Software\BrowserChoice]
O43 - CFD: 11/04/2007 - 08:14:20 ----D- C:\Program Files\Boonty
O43 - CFD: 11/04/2007 - 08:16:02 ----D- C:\Program Files\BoontyGames
O43 - CFD: 21/02/2007 - 18:45:00 ----D- C:\Program Files\Fichiers Communs\BOONTY Shared
O47 - AAKE:Key Export SP - "C:\Program Files\Pearl Harbor - Zero Hour\PHarborFrench.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Sandrine\Local Settings\Temporary Internet Files\Content.IE5\AR83FSP0\incredimail_install[1].exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Sandrine\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\IncMail.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O64 - Services: CurCS - (.not file.) - 02a60feb7076ad5d (02a60feb7076ad5d) .(.Pas de propriétaire - Pas de description.) - LEGACY_02A60FEB7076AD5D
O64 - Services: CurCS - (.not file.) - 1733fbef95128818 (1733fbef95128818) .(.Pas de propriétaire - Pas de description.) - LEGACY_1733FBEF95128818
O64 - Services: CurCS - (.not file.) - 47541eb6690ab147 (47541eb6690ab147) .(.Pas de propriétaire - Pas de description.) - LEGACY_47541EB6690AB147
O64 - Services: CurCS - (.not file.) - 4b9f86729f546ea4 (4b9f86729f546ea4) .(.Pas de propriétaire - Pas de description.) - LEGACY_4B9F86729F546EA4
O64 - Services: CurCS - (.not file.) - 6056d87297f64e1c (6056d87297f64e1c) .(.Pas de propriétaire - Pas de description.) - LEGACY_6056D87297F64E1C
O64 - Services: CurCS - (.not file.) - 69dd4951147e4ae0 (69dd4951147e4ae0) .(.Pas de propriétaire - Pas de description.) - LEGACY_69DD4951147E4AE0
O64 - Services: CurCS - (.not file.) - b3be82c83e9dde77 (b3be82c83e9dde77) .(.Pas de propriétaire - Pas de description.) - LEGACY_B3BE82C83E9DDE77
O64 - Services: CurCS - "C:\Program Files\Bonjour\mDNSResponder.exe (.not file.) - Service Bonjour (Bonjour Service) .(.Pas de propriétaire - Pas de description.) - LEGACY_BONJOUR_SERVICE
O64 - Services: CurCS - "C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (.not file.) - Boonty Games (Boonty Games) .(.Pas de propriétaire - Pas de description.) - LEGACY_BOONTY_GAMES
O64 - Services: CurCS - (.not file.) - ec1fcf3f950f77d0 (ec1fcf3f950f77d0) .(.Pas de propriétaire - Pas de description.) - LEGACY_EC1FCF3F950F77D0
O64 - Services: CurCS - (.not file.) - f49d8eedf37a3ee5 (f49d8eedf37a3ee5) .(.Pas de propriétaire - Pas de description.) - LEGACY_F49D8EEDF37A3EE5
O64 - Services: CurCS - (.not file.) - PRAGMAvpexreeogc (PRAGMAvpexreeogc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PRAGMAVPEXREEOGC
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Softonic_France Customized Web Search) - http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
SS - | Demand 21/02/2007 69120 | "C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (Boonty Games) . (.BOONTY.) - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
[HKCU\Software\Live-Player]
[HKCU\Software\PriceGong]
O59 - HSMI:Heuristic Search MagicControl Infection - C:\windows\pack.epk
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe




---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »

post le rapport

Bonjour Exessimo.

Vous m'avez fait 2 posts successifs. Là je vais répondree à celui de 19h24

Voici le rapport d'AdRemover : https://www.cjoint.com/?0mvqexNTsym

Et voici le rapport de MBM (Scan fait après nettoyage avec AdRemover) https://www.cjoint.com/?0mvqgppeD5

Donc comme vous allez le voir AdRemover a fait du boulot et le log MBM est clean.

Maintenant on va passer au message suivant avec ZHPFix et je vous fait parvenir le log.

Encore Merci

Rebonjour

Ok là j'ai le Log de ZHPFix c'est en deux parties :

1er log / au 1er Message : https://www.cjoint.com/?0mvtGE8wpiU
Le 2ème c'est par rapport à la dernière ligne que vous m'avez donné : https://www.cjoint.com/?0mvtHRV8y6h
Et là il a nettoyé la ligne.

Supper

Confortez moi j'epère qu'il ne reste plus rien. Faut - il encore un rapport ZHPDiag ?

En effet Norman je ne le comprend pas, on l'a desinstallé par Ajout-Suppression de programme de Win XP qui a procedé à la desinstallation(On n'avais pas trouvé d'outil de desinstallation spécifique), il en est de m^me pour le McAfee qu'il avait sur le PC et qui ne se mettait pas à jour (LE 1er Log ZHPDiag le fait apparaitre). A ce moment on a installé Avast.

Problème Normane on ne le voit plus sur Ajout suppression de programme, Par contre j'ai un dossier et Fichier Normane sur la racine (Normane à été livré avec le PC à ce qu'il m'a dit). Et là il apparait sur les Logs.

Que faire ?

Hello EL Excessimo

Bon enfin voici le log de ZHPDiag jen ai fait deux :
1 En mode sans echec sur l'admin de mon XP Home :
https://www.cjoint.com/?0mwr5iNZKck

2/ Un log ZHPDiag sur une session Administrateur
https://www.cjoint.com/?0mwr57Jg5n

Vous allez voir il y a un delta peutêtre due au services de la session.
Merci pour tout

* Lance ZHPFix il se trouve dans le même répertoire que zhpdiag (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------

O64 - Services: CurCS - C:\Windows\System32\drivers\svvkenw.sys - qhmss (qhmss) .(.Pas de propriétaire - Pas de description.) - LEGACY_QHMSS
O64 - Services: CurCS - C:\Windows\System32\drivers\uwxt.sys - bteo (bteo) .(.Pas de propriétaire - Pas de description.) - LEGACY_BTEO
O64 - Services: CurCS - C:\Windows\System32\drivers\rpvsldjr.sys - hlbgccew (hlbgccew) .(.Pas de propriétaire - Pas de description.) - LEGACY_HLBGCCEW
O58 - SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 05/09/2010 - 15:08:09 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\svvkenw.sys [54016]
O58 - SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 05/09/2010 - 15:25:08 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\rpvsldjr.sys [54016]
O58 - SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 05/09/2010 - 15:15:44 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\uwxt.sys [54016]
SS - | Auto 15/09/2010 0 | C:\Norman\NVC\BIN\Zanda.exe (Norman ZANDA) . (.Pas de propriétaire.) - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: (Norman ZANDA) - Clé orpheline
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Possible Infection BT (Emusic.Adw)
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\mshta.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => Microsoft HTML Application Host


---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »

post le rapport

bonsoir

il est là le Log ZHPFix https://www.cjoint.com/?0mwvCtzDuAg

Encore merci de ta patience.

1- NOUS ALLONS METTRE A JOUR TON PC

Tout dabord désistalle tout ce qui ne te sert pas !

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

1ère étape : Java

> Télécharge JavaRa puis décompresse le sur ton bureau.
> Ouvre le dossier JavaRa puis exécute JavaRa.exe.
> Clique sur "Search For Updates".
> Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
> Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
> Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
> Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
> Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader

> Si tu utilises adobe reader, il est important qu'il soit à jour.
> Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC
> Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]

3ème étape : Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

> Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
> Télécharge USBfix puis lance le. (Clique droit/Exéuter en tant qu'administrateur pour Vista/7).
> Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner].
> Appuie sur [Ok] au message de confirmation.
> Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

> Télécharge DelFix sur ton bureau.
> Lance le.
> Clique sur Supression puis valide en appuyant sur [Entrée].
> Patiente pendant le scan jusqu'à l'ouverture du rapport.
> Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch


4- Optimisation

1ère étape : Suppression des fichiers inutiles

> Télécharge CCleaner
> Installe le, puis lance le.
> Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
> Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
> Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées].
> Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après

la suppression )
> Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
> Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Defragmenter maintenant] puis sélectionne le disque dur à défragmenter (le C:\ en temps normal).

3ème étape : Vérification des disques

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
> Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

> Clique sur [Démarrer] puis [Exécuter].
> Tape msconfig et valide par [ok].
> A l'onglet [Démarrage] , décoche les éléments qui ne te servent pas (s'il y en a bien sûr) et sauf ceux se rapportant à ton antivirus / pare-feu.
> Clique sur [Appliquer] puis [ok] et redémarre ton PC.


4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

> Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

> Tutoriels :

- Windows XP
- Windows Vista
- Windows 7


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Secunia PSI

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

->met à jour les autres avec secunia téléchargeable ici.
->TUTO

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Bon surf et @+++ ;)
(je te conseille de garder Malwarebyte's et de passer des scans complet de temps en temps, ne pas oublier de le mettre à jour avant un scan ;)
Et n'oublies pas de passer ton sujet en RESOLU.

[FIN]