Zhpdiag ->gen hackman..

Résolu
zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   -  
 gen-hackman -
Bonjour gen hackman,

voici mon zhpdiag d'une machine malade. merci pour ton aide.

http://www.cijoint.fr/cjlink.php?file=cj201104/cijUXMqhwy.txt

71 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Diagnostic et nettoyage d'un poste Windows XP via ZHPDiag et ZHPFix face à une infection informatique, avec des propositions pour désactiver les protections puis lancer un pré-scan et analyser les résultats. Des étapes clés consistent à lancer Pre_Scan et MBR_Repair, puis à supprimer des clés de registre et des barres d’outils indésirables comme Conduit Toolbar et Setuprog, ainsi que les éléments de démarrage associés. Le rapport d’exécution détaille les clés et valeurs supprimées, et les logiciels désinstallés comme Adobe Reader 7.0 et Java 6 Update 18, avec la suppression de barres d’outils et de services malveillants. D’autres interventions soulignent la prudence avec les outils de nettoyage sur des systèmes récents et recommandent de vérifier sources et supports amovibles avant utilisation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    re

    c'en est une autre ?
    0
    1. gen-hackman
       
      ah ouais


      ▶ Télécharge ici : Ad-remover sur ton bureau :


      ▶ Déconnecte toi et ferme toutes applications en cours !

      si tu as XP => double clique
      si tu as Vista ou windows 7 => clic droit "executer en tant que...."


      ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

      ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

      ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

      ▶ Laisse travailler l'outil et ne touche à rien ...

      ▶ Poste le rapport qui apparait à la fin , sur le forum ...

      ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
      ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
      0
  2. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 19:53:45 le 12/04/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Administrateur@SDRP-SRAPT-1 ( )

    ============== ACTION(S) ==============

    Fichier supprimé: C:\WINDOWS\system32\ConduitEngine.tmp
    Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    Erreur suppression dossier: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\uyffeu2w.default\extensions\toolbar@ask.com
    Dossier supprimé: C:\Program Files\Ask.com
    Dossier supprimé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\AskToolbar
    Dossier supprimé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\Conduit
    Dossier supprimé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\ConduitEngine
    Dossier supprimé: C:\Program Files\ConduitEngine

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\uyffeu2w.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.asktb.abar-war-timeout", "4000");
    Ligne supprimée: user_pref("extensions.asktb.cbid", "J7");
    Ligne supprimée: user_pref("extensions.asktb.config-updated", false);
    Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...
    Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYYYCM");
    Ligne supprimée: user_pref("extensions.asktb.dyn-weather-do-locid-lookup-weatherWidget", true);
    Ligne supprimée: user_pref("extensions.asktb.first-restart-after-config-update", true);
    Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);
    Ligne supprimée: user_pref("extensions.asktb.hxxp-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com...
    Ligne supprimée: user_pref("extensions.asktb.l", "dis");
    Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1302628654879");
    Ligne supprimée: user_pref("extensions.asktb.locale", "fr_US");
    Ligne supprimée: user_pref("extensions.asktb.o", "14979");
    Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
    Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
    Ligne supprimée: user_pref("extensions.asktb.r", "2");
    Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);
    Ligne supprimée: user_pref("extensions.asktb.silent-upgrade", true);
    Ligne supprimée: user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", true);
    Ligne supprimée: user_pref("extensions.asktb.socialmini-first", true);
    Ligne supprimée: user_pref("extensions.asktb.socialmini-interval", "1200000");
    Ligne supprimée: user_pref("extensions.asktb.socialmini-max-char-ticker", "33");
    Ligne supprimée: user_pref("extensions.asktb.socialmini-max-items", "30");
    Ligne supprimée: user_pref("extensions.asktb.socialmini-native-on", true);
    Ligne supprimée: user_pref("extensions.asktb.socialmini-speed", "5000");
    Ligne supprimée: user_pref("extensions.asktb.socialmini-transition-first-open", false);
    Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.11.3.15590,{3f963a5b-e555-4543-90e2-c3908898...
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{9D7CA14E-CAF2-42C6-A67C-C788386FB1F8}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9D7CA14E-CAF2-42C6-A67C-C788386FB1F8}
    Clé supprimée: HKLM\Software\Classes\CLSID\{AA615CD7-F75C-4E22-88CE-FB4099A6051F}
    Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé supprimée: HKLM\Software\Classes\Conduit.Engine
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2552113
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKLM\Software\AskToolbar
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\conduitEngine
    Clé supprimée: HKCU\Software\Ask.com
    Clé supprimée: HKCU\Software\AskToolbar
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\conduitEngine
    Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A79401E2-3A0F-43BC-AA04-3235339CE399}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.5.18 (fr)] ****

    Plugins\npFoxitReaderPlugin.dll (Foxit Software Company)
    HKLM_MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 (x)
    Searchplugins\babylon.xml (hxxp://search.babylon.com/web/{searchTerms})
    Components\aboutCertError.js
    Components\aboutPrivateBrowsing.js
    Components\aboutRights.js
    Components\aboutRobots.js
    Components\aboutSessionRestore.js
    Components\nsPostUpdateWin.js
    HKLM_Extensions|{3f963a5b-e555-4543-90e2-c3908898db71} - C:\Program Files\AVG\AVG10\Firefox\
    HKLM_Extensions|{1E73965B-8B48-48be-9C8D-68B920ABC1C4} - C:\Program Files\AVG\AVG10\Firefox4\
    HKCU_Extensions|mozilla_cc@internetdownloadmanager.com - C:\Documents and Settings\Administrateur\Application Data\IDM\idmmzcc3

    -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\uyffeu2w.default --
    Extensions\toolbar@ask.com (?)
    Prefs.js - browser.download.lastDir, F:
    Prefs.js - browser.search.defaultenginename, Search the web (Babylon)
    Prefs.js - browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=10588
    Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.18
    Prefs.js - keyword.URL, hxxp://utils.babylon.com/abt/index.php?url=

    ========================================

    **** Internet Explorer Version [6.0.2900.5512] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Local Page - hxxp://i.-k-f-.j-z-0-3-0-u-u-x-f-1l-3-l-h-w-b-q-z-u-5-n-l-l-m-s-5-v-s-z-g.info/7-7-w-5-m-2-r-1-4-7-1-
    HKCU_Main|Search bar - hxxp://www.google.com/ie
    HKCU_Main|Search Page - hxxp://www.google.com
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Local Page - hxxp://c-y-0-d-2-t-a-b-1-2-f-7-z-s-g-9-o-9-.6-3-t-i-.5-b-e-n-t-f-p-p-7-1-1-0-7-c-q-0-3-00-6-u-7-t-1-n-y-q-u-f-u.info/1-q...
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} - "setuprog Toolbar" (C:\Program Files\Setuprog\prxtbSet0.dll)
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
    HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
    HKCU_Toolbar\WebBrowser|{F4EF4468-9BBB-45A1-A2CE-F0C430A9A7E5} (C:\Program Files\Setuprog\prxtbSet0.dll)
    HKLM_Toolbar|{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} (C:\Program Files\Setuprog\prxtbSet0.dll)
    HKCU_ElevationPolicy\{1902485B-CE75-42C1-BA2D-57E660793D9A} - C:\Program Files\Internet download manager\IEMonitor.exe (Tonec Inc.)
    HKCU_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet download manager\IDMan.exe (Tonec Inc.)
    HKLM_ElevationPolicy\52e176b2-bb15-4f4e-b718-ecfbced32b28 - C:\Program Files\Setuprog\SetuprogToolbarHelper.exe (?)
    HKLM_ElevationPolicy\ef96fce7-d271-4ae3-bae8-878513e45407 - C:\Program Files\Setuprog\SetuprogToolbarHelper.exe (?)
    HKLM_ElevationPolicy\{38CBFBC9-2AC4-4092-BF0F-4FBE8E1A589A} - C:\Program Files\Setuprog\SetuprogToolbarHelper1.exe (?)
    HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar2user.exe (x)
    HKLM_ElevationPolicy\{971DBD45-EF8F-4EBB-B00D-D9E9BC42580B} - G:\diskformatte\Mes documents\Downloads\Compressed\IDMan.exe (x)
    HKLM_ElevationPolicy\{D03453E3-F7D8-47BA-B2FB-57660E6EDC21} - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Conduit\CT2552113\SetuprogAutoUpdaterHelper.exe (x)
    HKLM_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet download manager\IDMan.exe (Tonec Inc.)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{0055C089-8582-441B-A0BF-17B458C2A3A8} - "IDMIEHlprObj Class" (C:\Program Files\Internet download manager\IDMIECC.dll)
    BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
    BHO\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} - "setuprog Toolbar" (C:\Program Files\Setuprog\prxtbSet0.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 310 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 29 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/03/2011 17:58:50 (7825 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 12/04/2011 19:54:32 (10018 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 03/03/2011 17:42:45 (5736 Octet(s))

    Fin à: 19:55:24, 12/04/2011

    ============== E.O.F ==============
    0
  3. gen-hackman
     
    je voi sque tu n'as pas fait le menage de ta precedente desinfection , pas bien !!
    0
  4. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    j'avais pas le choix, je suis bloqué avec ce Dr web cure it qui refuse de s'executer quand je le lance.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    tu ne as parlé sur le topic en question à ce moment là ?
    0
  7. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    si si, mais j'ai pas de reponse depuis plus de deux semaines donc...

    deja slmt avec ad remover, je vois une grosse difference
    0
  8. gen-hackman
     
    execute ceci et remets le rapport a.txt par cijoint.fr stp

    http://dl.dropbox.com/u/21363431/exp.bat
    0
  9. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    j'ai lancé, et j'ai eu une petite fenetre dos qui s'est ouverte et aussitot refermée
    0
  10. gen-hackman
     
    et tu as pas un a.txt à coté de ce que tu viens de telecharger ?
    0
  11. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    j'ai un a.txt,

    le voici

    http://www.cijoint.fr/cjlink.php?file=cj201104/cij0NSMFyU.txt
    0
  12. gen-hackman
     
    ok refais AD-Remover en mode sans echec
    0
  13. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cij7ALg2Ni.txt
    0
  14. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    j'y arrive pas...

    [Numéro d'erreur : 0x80090008]
    Le site Web a rencontré une erreur et ne peut pas afficher la page demandée. Les options fournies ci-dessous peuvent vous aider à résoudre le problème.
    0
  15. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    oui il est légal, c'est la meme version que j'ai installé sur mon laptop qui marche sans probleme
    0
  16. gen-hackman
     
    Télécharge SEAF.exe de C_XX

    *Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

    *Une fenêtre va s'ouvrir .

    *Tape TheWorld.exe

    dans cette fenêtre

    confirme la recherche "aussi" dans le registre et [Entrée].

    *Patiente pendant la recherche.

    *Une fenêtre avec un log.txt va s'afficher.

    *Copie/colle ce rapport dans ta prochaine réponse.
    0
  17. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 15:21:26 le 13/04/2011
    4.
    5. Valeur(s) recherchée(s):
    6. TheWorld.exe
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Recherche registre
    11.
    12. ====== Fichier(s) ======
    13.
    14. Aucun fichier trouvé
    15.
    16.
    17. ====== Entrée(s) du registre ======
    18.
    19.
    20. [HKU\S-1-5-21-163273837-1565519680-2310801610-500\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_LMZ_SCRIPT]
    21. "TheWorld.exe"="0" (REG_DWORD)
    22.
    23. [HKU\S-1-5-21-163273837-1565519680-2310801610-500\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE]
    24. "TheWorld.exe"="1" (REG_DWORD)
    25.
    26. =========================
    27.
    28. Fin à: 15:24:07 le 13/04/2011
    29. 179779 Éléments analysés
    30.
    31. =========================
    32. E.O.F
    0
  18. zanu Messages postés 108 Date d'inscription   Statut Membre Dernière intervention   38
     
    il y a plus rien a faire ici?
    0
  • 1
  • 2
  • 3
  • 4