Le Pc semble infecté par un certain John Sina

Question

Bonjour, 


oila je viens de recevoir un pc d'occasion, d'aprés l'ancien proprio il serait infecté par des virus.
Chose étrange, quand je lance Internet explorer il marque à côté "John Sina" !!!!

Qezako ?

Merci de votre aide, je viens vers vous car vous m'avez déjà dépatouillé avec succés sur d'autre bécanes...

Configuration: Windows XP / Internet Explorer 6.0

A+
Berni

Lyonnais92 · Answer

Bonjour,

pour voir ce qui peut se passer :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

berni13 · Answer

Voilà chers amis


http://www.cijoint.fr/cjlink.php?file=cj201101/cij5xWkoXd.txt 


encore merci

Lyonnais92 · Answer

Re,

infecté (mais pas de trace de John Sina).

Pourquoi le SP3  n'est pas installé ? ni les navigateurs à jour ?

===

On attaque comme ça :

Double clique sur l'icône de ZHPFix sur ton Bureau.

Clique sur HOSTFix et suis les instructions.

===

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes ' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4 

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

berni · Answer

Le pc n'a pas été bien entretenu...voila pourquoi les vesion ne sont pas à jours.

Dois je d'abord installer SP3 et MAJ mes navigateur avant de faire tes manips ? 

Merci
Berni

Lyonnais92 · Answer

Bonjour,

fais mes manips.

De toute manière, il n'est pas opérationnel si j'ai bien compris.

On fera les majs quand le PC sera stable (un crash pendant ce type de maj ça peut être désastreux).

Il faut que l'ordi soit "stable" (pas de ralentissements, pas de freeze, pas d'écrans bleus).

berni13 · Answer

chers docteur voici le rapport de mbam:

------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5480

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07/01/2011 20:46:22
mbam-log-2011-01-07 (20-46-22).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 208940
Temps écoulé: 21 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\PDFFORGE TOOLBAR\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\PDFFORGE TOOLBAR\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\pdfforge toolbar\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\program files\pdfforge toolbar\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.
------------------------------------------------------------------------

what else ?
Merci
Berni

Lyonnais92 · Answer

Bonsoir,

toujours le souci ? 

Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

berni13 · Answer

Bonjour,

Il y a toujours "John Sina marquer sur mon internet explorer.

Voici le rapport zhpdiag

 http://www.cijoint.fr/cjlink.php?file=cj201101/cijPEywh1E.txt

merci
Berni

Lyonnais92 · Answer

Bonjour,

 * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

===

Double clique sur l'icône de ZHPFix sur ton Bureau.

Clique sur HOSTFix et suis les instructions.

berni13 · Answer

Re,

Le rapport de Ad remover:
http://www.cijoint.fr/cjlink.php?file=cj201101/cij9axhhw1.txt 


Le rapport de host fix:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijVXh2U7T.txt


La mention "John Sina" n'est plus là !

Que dois je faire maintenant ?
Merci
Berni

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

On ne devrait pas être loin du but.

berni13 · Answer

Re,

Rapport de ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201101/cijkb03Oft.txt 

ça à l'air bon ?



Une fois terminé pourras tu me dire comment faire les mise à jours critiques ?

Merci
Berni

Lyonnais92 · Answer

Re,

non, toujours des soucis.

Télécharge GMER Rootkit Scanner ici :

http://www.gmer.net/

- Clique sur le bouton "Download EXE"
- Sauvegarde-le sur ton Bureau.
- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
- Ferme les fenêtres de navigateur ouvertes.
- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan  clique "NO"
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

[*]Sections
[*]**Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan[ et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"Rapgmer.txt" et sauvegarde-le sur le Bureau ;
- Copie/colle le contenu de ce rapport dans ta réponse.

berni13 · Answer

voilà

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-08 23:50:22
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHT2030AT rev.009B
Running: hmpuc8ju.exe; Driver: C:\DOCUME~1\borne\LOCALS~1\Temp\uxtdqpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs    TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

Device          \FileSystem\Fastfat \Fat  EDA0BC8A

AttachedDevice  \FileSystem\Fastfat \Fat  TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- EOF - GMER 1.0.15 ----

alors ?
Berni

Lyonnais92 · Answer

Re,

tu es sûr que seuls Sections et Show All étaient décochées ?

berni13 · Answer

Oui Oui c'était bien décoché.

Je l'ai refai le scan dure plus de 45min ci dessous le log:

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-09 14:27:47
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHT2030AT rev.009B
Running: hmpuc8ju.exe; Driver: C:\DOCUME~1\borne\LOCALS~1\Temp\uxtdqpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs    TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

Device          \FileSystem\Fastfat \Fat  EDAFDC8A
Device          \FileSystem\Fastfat \Fat  EDB01958

AttachedDevice  \FileSystem\Fastfat \Fat  TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- EOF - GMER 1.0.15 ----


Voilà
Berni

Berni13 · Answer

Que dois je faire maintenant ?

Merci
Berni

Lyonnais92 · Answer

Bonjour,

j'ai toujours un doute sur ce résultat.

Les autres cases étaient cochées ?

Berni13 · Answer

Bonjour,

Oui les atres cases étaient cochées.

Je viens de refaire la manip, quand je lance le logiciel ça donne:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijodQZ0Yo.jpg

Enuite à la fin du scan ça fait:
http://www.cijoint.fr/cjlink.php?file=cj201101/cij3ObCNcs.jpg

Et donc le rapport donne:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijV1lsPfk.txt

Alors que faire ???
Merci
Berni

Lyonnais92 · Answer

Bonsoir,

on avance comme ça :

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O42 - Logiciel: pdfforge Toolbar v1.0 - (.GreenTree Applications, Inc..) [HKLM] -- {B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
O64 - Services: CurCS - C:\DOCUME~1\ACOUDE~1.VAL\LOCALS~1\Temp\cportclm.sys - cportclm (cportclm)  .(.Pas de propriétaire - Pas de description.) - LEGACY_CPORTCLM


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Berni13 · Answer

Voilà,

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-01-2011-22-39-13.txt
Run by BORNE at 11/01/2011 22:39:13
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: pdfforge Toolbar v1.0 - (.GreenTree Applications, Inc..) [HKLM] -- {B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}  => Clé supprimée avec succès
O64 - Services: CurCS - C:\DOCUME~1\ACOUDE~1.VAL\LOCALS~1\Temp\cportclm.sys - cportclm (cportclm)  .(.Pas de propriétaire - Pas de description.) - LEGACY_CPORTCLM  => Clé supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi, refais tourner ZHPDiag et poste le rapport.

Si tu as des messages au démarrage, dis le moi.

Berni13 · Answer

Voila,

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-01-2011-22-39-13.txt
Run by BORNE at 11/01/2011 22:39:13
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: pdfforge Toolbar v1.0 - (.GreenTree Applications, Inc..) [HKLM] -- {B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}  => Clé supprimée avec succès
O64 - Services: CurCS - C:\DOCUME~1\ACOUDE~1.VAL\LOCALS~1\Temp\cportclm.sys - cportclm (cportclm)  .(.Pas de propriétaire - Pas de description.) - LEGACY_CPORTCLM  => Clé supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan

Lyonnais92 · Answer

Re,

relis l'avant dernier post.

Ne confonds pas ZHPDiag et ZHPFix.

Berni13 · Answer

Oups j'ai répondu 2 fois la même chose.

Voici le rapport ZHPDIAG
http://www.cijoint.fr/cjlink.php?file=cj201101/cijBoxvvXu.txt

Merci Berni

Lyonnais92 · Answer

Re,

que sais tu de ceci :

---\ Redirection du fichier Hosts (O1)
O1 - Hosts: 10.203.33.183 GESTION
O1 - Hosts: 10.204.65.1 SE19
O1 - Hosts: 10.203.35.13 QTZIMA1.SUD.GTIE
O1 - Hosts: 10.203.35.11 ORAMA1.SUD.GTIE

Berni13 · Answer

Re,

Je sais pas, mais étant donné que c'était le Pc de mon patron je supose que ça doit être des logiciels de gestion.
Sinon je vois pas

Lyonnais92 · Answer

Re,

Double clique sur l'icône de ZHPFix sur ton Bureau.

Clique sur HOSTFix et suis les instructions.


Je t'ai déjà demandé de le faire.

Tu avais fait ou tu avais zappé (c'est pour savoir si c'est revenu ou si ça a toujours été là).

Berni13 · Answer

Voila le rapport

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : 
Run by BORNE at 12/01/2011 22:57:57
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier HOSTS ==========
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Fichier HOSTS


End of the scan

ça à l'air pas mal non ?
Berni

Lyonnais92 · Answer

Re,

tu peux me copier le fichier host (après redémarrage de l'ordi) dans ta réponse

(c:\windows\system32\drivers\etc\host)

Il s'ouvre avec le Bloc notes, c'est un fichier texte, même si il n'a pas d'extension.

Berni13 · Answer

Voilà

10.203.33.183	GESTION
10.204.65.1	SE19
10.203.35.13	QTZIMA1.SUD.GTIE
10.203.35.11	ORAMA1.SUD.GTIE

Lyonnais92 · Answer

Re,

c'est bien ce qu'il me semblait.

Réouvre le fichier dans le Bloc-Notes et supprime ces 4 lignes.

Fais redémarrer l'ordi et refais tourner ZHPDiag.

Poste le rapport dans un lien Cijoint.

Berni13 · Answer

here it is

http://www.cijoint.fr/cjlink.php?file=cj201101/cijPSeWhl8.txt

Merci
Berni

Lyonnais92 · Answer

Re,

si l'ordi est stable (pas d'écran bleu, pas de blocage), il est temps d'installer le SP3.

Tu le télécharges ici :

https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

tu l'enregistres puis tu l'exécutes.

Avant, tu prends un point de restauration.

Ensuite, fais les mises à jour via Windows update, en particulier installe IE8.

Tu dis quand c'est fait.

Berni13 · Answer

Comment faire pour prendre un point de restauration ?

Merci
Berni

Lyonnais92 · Answer

Bonjour,

comme ceci :

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/#6-creer-un-point-de-restauration

Berni13 · Answer

Voilà j'ai fait toutes les maj de windows updates

And now ?

Merci Berni

Lyonnais92 · Answer

Bonsoir,

redémarrage de l'ordi,

mise à jour de ZHPdiag (par la flèche verte quand tu l'auras lancé) 

et poste du rapport dans un lien Cijoint.

Berni13 · Answer

Voila

http://www.cijoint.fr/cjlink.php?file=cj201101/cij2og6r2H.txt

Berni

Lyonnais92 · Answer

Bonsoir,

mets à jour Adobe reader :

https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/

(et désinstalle la version 5)

==

Mets à jour la console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===

Supprime C:\WINDOWS\005501_.tmp

===

Tu utilises un proxy ?

Le domaine Valette est encore nécessaire sur le PC ?

Berni13 · Answer

nom le domaine valette ne sert plus

impossible d'installer adobe acrobat reader erreur window:

AppName: msiexec.exe	 AppVer: 4.5.6001.22159	 ModName: msihnd.dll
ModVer: 3.1.4001.5512	 Offset: 00036935

Berni

Berni13 · Answer

Javara log

http://www.cijoint.fr/cjlink.php?file=cj201101/cijDNQSNyi.txt

Lyonnais92 · Answer

Bonjour,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.204.65.*;ora*;qtz*;<local>
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VALETTE
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 13/01/2011 - 21:36:09 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\005501_.tmp   [19569]
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} . (.not file.) - (.not file.)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} . (.not file.) - (.not file.
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)




Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Réessaye l'installation de Adobe Reader 10

Berni13 · Answer

Voila

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-01-2011-17-34-30.txt
Run by BORNE at 15/01/2011 17:34:30
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} . (.not file.) - (.not file.)  => Clé absente
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} . (.not file.) - (.not file.  => Clé absente
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)  => Clé absente

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.204.65.*;ora*;qtz*;<local>  => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\windows\005501_.tmp  => Fichier absent


========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Elément(s) de donnée du Registre
1 : Fichier(s)


End of the scan

Lyonnais92 · Answer

Re,

pour Adobe Reader ?

Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

Berni13 · Answer

Voila pour zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201101/ciji86bcWH.txt

toujour la même erreur avec adobe reader...

Berni

Lyonnais92 · Answer

Re,

la O17 est revenue.

Refais tourner ZHPFix avec ce script :

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VALETTE
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VALETTE
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VALETTE
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = VALETTE
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = VALETTE

Poste le rapport dans ta réponse.

Berni13 · Answer

Le O17 ???

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-01-2011-20-47-03.txt
Run by BORNE at 15/01/2011 20:47:03
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès


========== Récapitulatif ==========
5 : Elément(s) de donnée du Registre


End of the scan

Lyonnais92 · Answer

Re,

ouvre le registre, cherche la clé HKLM\System.

Combien y-a-t-il de ControlSet0xx ?

Berni13 · Answer

tu peux m'expliquer comment faire ?

Berni13 · Answer

j'ai trouvé, il y a controlset001 et controlset003 donc 2

Lyonnais92 · Answer

Re,

clique sur Démarrer, puis Exécuter.

Tape regedit dans la zone de saisie.

Clique sur OK.

Utilise les + et les - pour trouver la clé (HKLM : HotKey_Local_Machine)

Berni13 · Answer

re c'est bon j'avais vu il y en a 2

Lyonnais92 · Answer

Re,

redémarrage, ZHPDiag, rapport dans un lien Cijoint.

Berni13 · Answer

voila

http://www.cijoint.fr/cjlink.php?file=cj201101/cijrT2LZhF.txt

Lyonnais92 · Answer

Re,

encore là.

Ces 3 comptes sont encore utiles : SUPPORT_3f151ab9, SUPPORT_388945a0, HelpAssistant ?

Si non, tu les supprimes.

Ensuite, tu refais ce qui est dit ici :

https://forums.commentcamarche.net/forum/affich-20425097-le-pc-semble-infecte-par-un-certain-john-sina?page=3#49

Berni13 · Answer

comptes de quoi ?

Lyonnais92 · Answer

Re,

un compte, ou une session, ou un utilisateur du PC.

Berni13 · Answer

impossible de les suprimer.

Pour le zphfix:

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-01-2011-22-59-17.txt
Run by BORNE at 15/01/2011 22:59:17
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = VALETTE  => Donnée supprimée avec succès


========== Récapitulatif ==========
5 : Elément(s) de donnée du Registre


End of the scan

Lyonnais92 · Answer

Re,

démarre en mode sans échec.

N'ouvre pas ta session habituelle (BORNE) mais la session Administrateur.

Reéssaye de supprimer ces comptes.

Berni13 · Answer

j'ai essayé sans succés.

Est ce vraiment un problème ?

le pc semble stable

Merci
Berni

Lyonnais92 · Answer

Re,

un fonctionnement anormal est toujours un problème.

Là on en a 2 : la suppression des comptes, la suppression de la ligne O17.

Tu fais bien comme c'est dit dans le point 1 ici (avec le Panneau de configuration, pas avec la commande DOS) :

http://www.kachouri.com/tutoriel-186-supprimer-un-compte-utilisateur-windows-xp.html

berni13 · Answer

Bon je viens de me connecter sur de cpt administrateur et j'ai relancé zhpdiag, vois tu une différence ?

http://www.cijoint.fr/cjlink.php?file=cj201101/cij2M4rM2n.txt

Depuis le début je pense que j'étais sur un compte pas admin

Lyonnais92 · Answer

Bonjour,

non, ce rapport ne change rien.

Mais il y a quelque chose que je ne comprends pas.

Quand tu démarres Windows, tu dois avoir à choisir un compte sur lequel tu te connectes.

Donne moi la totalité des choix possibles (en mode normal).

Lyonnais92 · Answer

Re,

merci mOe, je pense que je n'avais encore jamais vu ce type de compte dans un rapport. Je pensais, à tort, qu'ils étaient liés aux anciennes utilisations de cet ordi.

berni13, dans ces conditions, on refait un scan avec Malwarebytes (après mise à jour).

Si il n'y a rien, on finalisera.

Si tu as un peu de temps et d'énergie, mais c'est seulement pour mon info, tu peux faire ce que propose mOe :

ouvre le Bloc-Notes; copie ces lignes dans un nouveau documents :

SET LogFile="%USERPROFILE%\bureau
et.txt"
FOR %%A IN (SUPPORT_3f151ab9 SUPPORT_388945a0 HelpAssistant) DO NET USER %%A>>%LogFile%
NOTEPAD %LogFile%

Sauvegarde le sur ton Bureau sous le nom utilisateur.bat

Fais un double clic dessus pour le lancer.

Copie dans ta réponse le contenu du fichier qui va se créer.

berni13 · Answer

voici le rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5531

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/01/2011 15:09:27
mbam-log-2011-01-16 (15-09-27).txt

Scan type: Quick scan
Objects scanned: 147542
Time elapsed: 13 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

berni13 · Answer

Nom d'utilisateur                              SUPPORT_3f151ab9
Nom complet                                    CN=Dell Computer Corporation,L=Round Rock,S=Texas,C=US
Commentaire                                    Ceci est le compte d'un fournisseur pour les service Aide et support
Commentaires utilisateur                       
Code du pays                                   000 (Valeur par d'faut du systSme)
Compteÿ: actif                                 Non
Le compte expire                               Jamais

Mot de passeÿ: dernier changmt.                12/16/2004 4:14 PM
Le mot de passe expire                         Jamais
Le mot de passe modifiable                     12/16/2004 4:14 PM
Mot de passe exig'                             Oui
L'utilisateur peut changer de mot de passe     Non

Stations autoris'es                            Tout
Script d'ouverture de session                  
Profil d'utilisateur                           
R'pertoire de base                             
Dernier accSs                                  Jamais

Heures d'accSs autoris'                        Tout

Appartient aux groupes locaux                  *HelpServicesGroup    
Appartient aux groupes globaux                 *Aucun                
La commande s'est termin'e correctement.

Nom d'utilisateur                              SUPPORT_388945a0
Nom complet                                    CN=Microsoft Corporation,L=Redmond,S=Washington,C=US
Commentaire                                    Ceci est le compte d'un fournisseur pour les service Aide et support
Commentaires utilisateur                       
Code du pays                                   000 (Valeur par d'faut du systSme)
Compteÿ: actif                                 Non
Le compte expire                               Jamais

Mot de passeÿ: dernier changmt.                3/30/2004 1:12 AM
Le mot de passe expire                         Jamais
Le mot de passe modifiable                     3/30/2004 1:12 AM
Mot de passe exig'                             Oui
L'utilisateur peut changer de mot de passe     Non

Stations autoris'es                            Tout
Script d'ouverture de session                  
Profil d'utilisateur                           
R'pertoire de base                             
Dernier accSs                                  Jamais

Heures d'accSs autoris'                        Tout

Appartient aux groupes locaux                  *HelpServicesGroup    
Appartient aux groupes globaux                 *Aucun                
La commande s'est termin'e correctement.

Nom d'utilisateur                              HelpAssistant
Nom complet                                    Compte Assistant de l'aide sur le Bureau ... distance
Commentaire                                    Compte d'assistance ... distance
Commentaires utilisateur                       
Code du pays                                   000 (Valeur par d'faut du systSme)
Compteÿ: actif                                 Non
Le compte expire                               Jamais

Mot de passeÿ: dernier changmt.                12/30/2004 11:42 AM
Le mot de passe expire                         Jamais
Le mot de passe modifiable                     12/30/2004 11:42 AM
Mot de passe exig'                             Oui
L'utilisateur peut changer de mot de passe     Non

Stations autoris'es                            Tout
Script d'ouverture de session                  
Profil d'utilisateur                           
R'pertoire de base                             
Dernier accSs                                  Jamais

Heures d'accSs autoris'                        Tout

Appartient aux groupes locaux                  
Appartient aux groupes globaux                 *Aucun                
La commande s'est termin'e correctement.

Lyonnais92 · Answer

Re,

merci pour le rapport;

MBAM ne trouve rien.

On désinstalle :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

Tu vérifies que Adobe Reader 9 figure dans la liste des logiciels supprimables par Panneau de configuration, Ajout Suppression de programmes.

Si oui, tu désinstalles Acrobat reader 5.

On désinstalle le 5 et on garde le 9.

berni13 · Answer

Voila c'est fait

Lyonnais92 · Answer

Re,

si l'ordi fonctionne normalement, on en restera là.

Le Pc semble infecté par un certain John Sina

70 réponses

Votre réponse

Newsletters