Rapport ZHPDIAG Résolu/Fermé

Question

Bonjour, j'ai fait un scan ZHPDIAG, voici le rapport ;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijQYj2w4i.txt

Merci d'avance

balou · Answer

Toujours pas de réponses. Aidez moi s'il vous plait. Merci d'avance

crapoulou · Answer

Bonsoir,

Je veux bien m'occuper de ton rapport.
Quel est ton problème au juste ?
Cela m'aidera pour aiguiller mes recherches et les manipulations à réaliser.

*********

Supprime ce dossier :
C:\Program Files\Ad-Remover(5)

*********

Télécharge SystemLook sur ton Bureau.
* Clique droit sur SystemLook.exe puis "Exécuter en tant qu'administrateur" pour le lancer.
* Copie - colle le contenu du texte ci-dessous dans la zone texte de SystemLook :

:dir
C:\ProgramData\611E /s

Clique sur le bouton Look pour démarrer l'examen.
A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie - colle le rapport dans ta prochaine réponse.
Note :
Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

balou · Answer

Merci Crapoulou de m'aider. Donc en faite j'ai poster le rapport ZHPDIAG pour voir si j'étais infecté ou quoi que ce soit dans l'espoir qu'une personne confirmée me réponde.

Donc voila j'ai suivi ta procédure à la lettre. Voici le rapport ;

SystemLook 04.09.10 by jpshortstuff
Log created at 18:35 on 07/01/2011 by quentin
Administrator - Elevation successful

========== dir ==========

C:\ProgramData\611E - Parameters: "/s"

---Files---
{6D408066-0613-4515-A348-82F9F6AC3B98}.swf	--a---- 3172 bytes	[21:14 26/07/2010]	[20:48 26/07/2010]

No folders found.

-= EOF =-

crapoulou · Answer

Ce dossier existe-t-il sur ton PC ? C:\ProgramData\611E ********* Il y a en effet des petites choses à régler avec ton PC. Pour vérification : Suppression avec AD-R : Télécharge AD-R (de C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Exécute AD-R. * Au menu principal clique sur le bouton "Nettoyer". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt) ************ Télécharge SEAF.exe de C_XX sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = * Clique droit sur SEAF.exe et sélectionne "Exécuter en tant qu'administrateur" pour le lancer. * Une fenêtre va s'ouvrir. * Copie-colle ceci dans la barre de recherche blanche SCRIPTTTTTTTT * Coche sur la droite : "Chercher également dans le registre" * Coche en bas "Afficher les ADS" et "Informations supplémentaires" tape sur [Entrée] * Clique ensuite sur "Lancer la recherche". * Patiente pendant la recherche. * Une fenêtre avec un rapport au format ".txt" va s'afficher. * Copie/colle ce rapport dans ta prochaine réponse.

balou · Answer

Donc oui le dossier C:\ProgramData\611E est présent sur mon disque dur, c'est Shockwave Flash Objet.

Voici le rapport d' ad - remover ;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijkIfvZhC.txt


Voici le rapport de seaf ;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijPeMaXLp.txt

merci encore

balou · Answer

Et maintenant que puis je faire ?

balou · Answer

Voici le rapport d'ad - remover ; 


======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 ======= 

Mis à jour par TeamXscript le 03/01/11 à 14:20 
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com 
Site web: http://www.teamxscript.org 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:45:11 le 07/01/2011, Mode normal 

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86)  
quentin@PC-DE-QUENTIN (Hewlett-Packard HP Pavilion dv7 Notebook PC)  
  
============== ACTION(S) ============== 



(!) -- Fichiers temporaires supprimés. 




============== SCAN ADDITIONNEL ============== 

** Mozilla Firefox Version [3.6.13 (fr)] ** 

-- C:\Users\quentin\AppData\Roaming\Mozilla\FireFox\Profiles\co6a9elx.default\Prefs.js -- 
browser.search.defaultenginename, Google 
browser.search.defaulturl, hxxp://aim.search.aol.com/aol/search?query={searchTerms}&invocationType=tb50-ff-aim-chromesbo... 
browser.search.selectedEngine, AOL Search 
browser.startup.homepage_override.mstone, rv:1.9.2.13 
keyword.URL, hxxp://slirsredirect.search.aol.com/redirector/sredir?invocationType=bu10aiminstabie7&sredir=2706&query= 

-- C:\Users\Quintinou\AppData\Roaming\Mozilla\FireFox\Profiles\h3ji1kkp.default\Prefs.js -- 
browser.search.defaultenginename, Google 
browser.startup.homepage_override.mstone, rv:1.9.2.13 
keyword.URL, hxxp://www.google.com/search?sourceid=navclient&hl=fr&q= 

======================================== 

** Internet Explorer Version [9.0.7930.16406] ** 

[HKCU\Software\Microsoft\Internet Explorer\Main]  
AutoHide: yes 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Do404Search: 0x01000000 
Enable Browser Extensions: yes 
Local Page: C:\Windows\system32\blank.htm 
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 
Show_ToolBar: yes 
Start Page: hxxp://fr.msn.com/ 

[HKLM\Software\Microsoft\Internet Explorer\Main]  
AutoHide: yes 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896 
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Delete_Temp_Files_On_Exit: yes 
Local Page: C:\Windows\System32\blank.htm 
Search bar: hxxp://search.msn.com/spbasic.htm 
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Start Page: hxxp://fr.msn.com/ 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]  
Tabs: res://ieframe.dll/tabswelcome.htm 
Blank: res://mshtml.dll/blank.htm 

======================================== 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) 
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s) 

C:\Ad-Report-CLEAN[1].txt - 07/01/2011 (2656 Octet(s))  

Fin à: 18:46:47, 07/01/2011  
  
============== E.O.F ==============

balou · Answer

Voici le rapport de seaf ; 



1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:09:07 le 07/01/2011
4. 
5. Valeur(s) recherchée(s):
6. SCRIPTTTTTTTT
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Informations supplémentaires
11. (!) --- Affichage des ADS
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. Aucun fichier trouvé
17. 
18. 
19. ====== Entrée(s) du registre ======
20. 
21. Aucun élément dans le registre trouvé
22. 
23. =========================
24. 
25. Fin à: 21:14:27 le 07/01/2011
26. 564088 Éléments analysés
27. 
28. =========================
29. E.O.F

crapoulou · Answer

Oups, je suis allé trop vite... 

Envoie moi ce fichier par mail stp :

C:\ProgramData\611E\{6D408066-0613-4515-A348-82F9F6AC3B98}.swf

Si besoin archive le pour me l'envoyer.
Tu trouveras mon adresse mail sur mon profil.

T'as un problème ? Passe sur CCM! 
Il n'y a pas de problème sans solution.

balou · Answer

Bonjour Crapoulou, si j'ai bien compris je dois m'inscrire sur CCM pour pouvoir t'envoyer ce fichier par mail ?

balou · Answer

Merci à toi M@thew, j'ai pu envoyer le message.

M@thew · Answer

Pas de quoi... :o)

crapoulou · Answer

Salut M@thew et merci ;-).

Merci pour le fichier, bien reçu.
Ton fichier n'est pas Flash mais est un fichier Flash (swf).
Il ne contient rien (vidéo noire) mais se connecte au site player1234.net qui ne m'inspire pas confiance !

Étant donné qu'on ne sais pas ce qu'il fait en se connectant à ce site, on ne va pas garder ce dossier.

************

Je vois que tu as MBAM (MalwareBytes' Anti Malware).
Mets-le à jour, fais une analyse complète du système, supprime ce qu'il trouve et envoie moi le rapport généré stp.

balou · Answer

Donc MBAM me dit que l'examen s'est termine normalement et qu'aucun n'élément nuisible n'a été détecté. Mais après quand je veux l'ouvrir il me dise qu'aucun programme n'est associé à ce type de fichier pour exécuter cette action.
Comment faire ?

crapoulou · Answer

J'aimerais bien avoir le rapport de MBAM malgré tout car l'en-tête du rapport me donne des informations intéressantes.

Mais après quand je veux l'ouvrir il me dise qu'aucun programme n'est associé à ce type de fichier pour exécuter cette action. 
En ouvrant MBAM ?
Une capture d'écran serait pas de refus.
Pour me l'envoyer, héberge l'image ici :
http://www.cijoint.fr/
Donne moi l'url qui te sera communiquée ensuite.

balou · Answer

Oui voila ; 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijvULxOyj.jpg

C'est quand je veux ouvrir le rapport.

balou · Answer

Et donc comment puis je te l'envoyer maintenant ???

crapoulou · Answer

Euh, tu as viré Notepad (le bloc-notes) de ton PC ? 

Essaye de redéfinir Notepad pour ouvrir les .txt.

Pour ce faire (j'espère que c'est la même façon pour Vista) :

Va dans "Mes documents" par exemple. Ensuite, va dans Outils. Si le menu contextuel ne s'affiche pas, tape la touche [ALT].
Va ensuite dans "Options des dossiers".
Onglet "Types de fichiers".

Cherche TXT (clique une fois sur le premier et tape sur ton claviet txt, cela t'évitera de chercher.

Dans s'ouvre avec, regarde si c'est Notepad qui est sélectionné.

Sik ce n'est pas le cas (vieux programme inexistant, ...) modifie et  sélectionne le Bloc-notes dans la liste des programmes.
 
T'as un problème ? Passe sur CCM! 
Il n'y a pas de problème sans solution.

balou · Answer

Salut, je n'ai pas " type de fichier ", j'ai ça ;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijAbC9bIe.jpg

balou · Answer

Et non je n'ais pas enlever notepad

crapoulou · Answer

En effet, sous Vista ce n'est pas du tout pareil.
Regarde sur cette astuce :
https://www.commentcamarche.net/faq/6514-vista-associations-de-fichiers-sous-windows-vista

balou · Answer

Donc j'ai trouve le menu " définir les associations " après j'ai trouvé plusieurs fichier bloc note mais je ne sais pas quoi vraiment faire par la suite.

http://www.cijoint.fr/cjlink.php?file=cj201101/cijlNJbixU.jpg

crapoulou · Answer

Recherche dans la liste de gauche le .txt et associe le avec le bloc notes.
Si c'est déjà le cas, je veux bien des captures d'écran, c'est pratique :-)

balou · Answer

Enfin merci encore crapoulou j'ai reussi. Voici le rapport ;


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5481

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.7930.16406

08/01/2011 14:13:02
mbam-log-2011-01-08 (14-13-02).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 384447
Temps écoulé: 1 heure(s), 50 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

crapoulou · Answer

Parfait ! 

Lance ZHPFix (soit via le raccourci créé sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icône représentant la lettre H (coller les lignes Helper) 
Copie/colle la ligne suivante et place la dans ZHPFix : 

O53 - SMSR:HKLM\...\startupreg\myur  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\quentin\AppData\Local\Temp\posti_.exe 

- Clique sur "Tous", puis sur "Nettoyer". 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

********* 

Depuis la liste des programmes, désinstalle Java 6 Update 22 et installe la dernière version, Java 6 Update 23 : 
https://www.java.com/fr/ 

********* 

Suppression des outils :  
Clique droit sur l'icône ZHPFix.exe sur ton Bureau puis sélectionne "Exécuter en tant qu'administrateur".  
Clique sur le A rouge (Nettoyeur de Tools).  
Clique sur Nettoyer.  
Fais redémarrer l'ordi pour terminer le nettoyage. 

T'as un problème ? Passe sur CCM! 
Il n'y a pas de problème sans solution.

balou · Answer

Merci encore Crapoulou, j'aurai une question qu'est ce que c'était fichier flash qui se connecte a flash12345 ? Et voici le rapport de nettoyage de ZHPFIX ;


Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09-01-2011-09-47-52.txt
Run by quentin at 09/01/2011 09:47:52
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\myur [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\quentin\AppData\Local\Temp\posti_.exe  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\users\quentin\appdata\local	emp\posti_.exe  => Fichier absent


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)


End of the scan

crapoulou · Answer

Bien.
Passe maintenant à la suppression des outils utilisés.

balou · Answer

Voila, c'est fait. Et maintenant ?

crapoulou · Answer

Et maintenant, c'est tout bon alors si tu n'as plus les outils utilisés sur ton ordinateur : AD-R, ZHPDiag, ZHPFix et SEAF.

balou · Answer

Oui je ne l'ai ai plus mais j'aurai une question sur le fichier flash qui se trouvé sur mon ordinateur. C'était quoi ? C'était dangereux ?

balou · Answer

D'accord merci encore crapoulou.

crapoulou · Answer

A ton service.
Bon dimanche et bonne continuation.

Rapport ZHPDIAG

32 réponses

Discussions similaires