Zhpdiag & intégrité des fichiers avec SFC
Résolu
soulsy
Messages postés
2739
Date d'inscription
Statut
Membre
Dernière intervention
-
soulsy Messages postés 2739 Date d'inscription Statut Membre Dernière intervention -
soulsy Messages postés 2739 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Après un scan avec zhpdiag, est-ce que je dois m'inquieter de ça :
---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Amandine at 15/05/2011 18:38:34
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x8467D1F8]<<
1 ntkrnlpa!IofCallDriver[0x82085912] -> \Device\Harddisk0\DR0[0x84AA7528]
3 CLASSPNP[0x867A48B3] -> ntkrnlpa!IofCallDriver[0x82085912] -> [0x846EEEB8]
5 acpi[0x807386BC] -> ntkrnlpa!IofCallDriver[0x82085912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x846EC030]
\Driver\SI3112[0x846E6988] -> IRP_MJ_CREATE -> 0x8467D1F8
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x8467c1f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
Run by Amandine at 15/05/2011 18:38:36
J'ai effectué un fixmbr avec un cd de winre, ça n'a rien changé.
Le log zhpdiag complet pour les courageux : https://pastebin.com/83vk3w8h
D'autres part, en faisant la commande sfc /scannow (en mode normal, en mode sans échec et depuis le cd winre), j'ai un message d'erreur comme quoi il n'a pas réussi à récupérer certains fichiers et qu'il faut voir dans CBS.log, dont voici quelques lignes :
https://pastebin.com/iYtAVrHp
Si quelqu'un à une idée pour corigée ça (ou le comprendre) si y'a besoin...Je suis preneur.
Dernière chose, le système semble propre (du moins aucun pb detecté avec malwarebytes, mrt et avast).
Merci d'avance!
Après un scan avec zhpdiag, est-ce que je dois m'inquieter de ça :
---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Amandine at 15/05/2011 18:38:34
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x8467D1F8]<<
1 ntkrnlpa!IofCallDriver[0x82085912] -> \Device\Harddisk0\DR0[0x84AA7528]
3 CLASSPNP[0x867A48B3] -> ntkrnlpa!IofCallDriver[0x82085912] -> [0x846EEEB8]
5 acpi[0x807386BC] -> ntkrnlpa!IofCallDriver[0x82085912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x846EC030]
\Driver\SI3112[0x846E6988] -> IRP_MJ_CREATE -> 0x8467D1F8
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x8467c1f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
Run by Amandine at 15/05/2011 18:38:36
J'ai effectué un fixmbr avec un cd de winre, ça n'a rien changé.
Le log zhpdiag complet pour les courageux : https://pastebin.com/83vk3w8h
D'autres part, en faisant la commande sfc /scannow (en mode normal, en mode sans échec et depuis le cd winre), j'ai un message d'erreur comme quoi il n'a pas réussi à récupérer certains fichiers et qu'il faut voir dans CBS.log, dont voici quelques lignes :
https://pastebin.com/iYtAVrHp
Si quelqu'un à une idée pour corigée ça (ou le comprendre) si y'a besoin...Je suis preneur.
Dernière chose, le système semble propre (du moins aucun pb detecté avec malwarebytes, mrt et avast).
Merci d'avance!
A voir également:
- Zhpdiag & intégrité des fichiers avec SFC
- Sfc scannow - Guide
- Vérificateur des fichiers système - Guide
- Zhpdiag - Télécharger - Informations & Diagnostic
- Renommer des fichiers en masse - Guide
- Fichiers epub - Guide
18 réponses
soulsy, suit les conseils de juju666, tu peux lui faire confiance, c'est un très
bon élève en fin de formation
bon élève en fin de formation
Bonsoir
sptd.sys est le fichier légitime de Daemon Tool qui installe un hook légitime
sur le secteur d'amorçage du disque dur
sptd.sys est le fichier légitime de Daemon Tool qui installe un hook légitime
sur le secteur d'amorçage du disque dur
@Vent d'ouest :
Persiste et signe....
Si tu n'as pas d'autres meilleurs conseils à prodiguer sur ce forum, merci de t'abstenir de poster.
Persiste et signe....
Si tu n'as pas d'autres meilleurs conseils à prodiguer sur ce forum, merci de t'abstenir de poster.
Bonsoir,
Je me permet d'intervenir.
Où ça du TDL4 ??????
L'outil MBR de Gmer réagit car le driver sptd de Daemon Tool est présent sur le pc.
Le plus judicieux aurais été de demandé un virustotal du dump : C:\PhysicalDisk0_MBR.bin
========
Seconde question : pourquoi ComboFix ??
La seule infection présente étant l'adware PopCap qui est supprimé entièrement par AD-Remover [TeamXScript]
Remarque : ComboFix risque de ne pas fonctionner correctement sur un pc où les protections résidentes [ici, TeaTimer et Avast] restent actives.
A+
Je me permet d'intervenir.
Où ça du TDL4 ??????
L'outil MBR de Gmer réagit car le driver sptd de Daemon Tool est présent sur le pc.
Le plus judicieux aurais été de demandé un virustotal du dump : C:\PhysicalDisk0_MBR.bin
========
Seconde question : pourquoi ComboFix ??
La seule infection présente étant l'adware PopCap qui est supprimé entièrement par AD-Remover [TeamXScript]
Remarque : ComboFix risque de ne pas fonctionner correctement sur un pc où les protections résidentes [ici, TeaTimer et Avast] restent actives.
A+
Qu'entends-tu par : "Le plus judicieux aurais été de demandé un virustotal du dump" ?
J'ai supprimé le dossier popcap games (dans lequel y'avait pas grand chose, juste un dossier avec le nom d'un jeu installé, un faux positif peut-être.)
Pour le cbs.log, j'ai enfin trouvé les lignes intéressante (avec un ctrl+f sur "cannot') et en fait il ne s'agit que des vidéos d'exemple installés par défaut qu'il n'arrive pas à remettre... (normal, je l'ai supprimé du dossier winsxs, je sais, c'est mal, mais un dossier de 12go et 66000fichiers, c'est pas terrible non plus).
Merci à vous, je met en résolu
PS : j'ai pas vu de teatimer et je ne crois pas l'avoir
J'ai supprimé le dossier popcap games (dans lequel y'avait pas grand chose, juste un dossier avec le nom d'un jeu installé, un faux positif peut-être.)
Pour le cbs.log, j'ai enfin trouvé les lignes intéressante (avec un ctrl+f sur "cannot') et en fait il ne s'agit que des vidéos d'exemple installés par défaut qu'il n'arrive pas à remettre... (normal, je l'ai supprimé du dossier winsxs, je sais, c'est mal, mais un dossier de 12go et 66000fichiers, c'est pas terrible non plus).
Merci à vous, je met en résolu
PS : j'ai pas vu de teatimer et je ne crois pas l'avoir
Bonsoir,
Je vois pourtant PopCap sur ton rapport ZHPDiag:
O42 - Logiciel: Plants vs. Zombies Demo - (.PopCap.) [HKLM] -- Steam App 3592
O43 - CFD: 07/11/2010 - 19:45:42 - [25] ----D- C:\ProgramData\PopCap Games
C:\ProgramData\PopCap Games
[HKCU\Software\SteamPopCap]
TeaTimer, c'est le résident de Spybot :
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1
O43 - CFD: 06/01/2011 - 23:47:16 - [53640149] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 03/03/2011 - 23:39:24 - [3662] ----D- C:\ProgramData\Spybot - Search & Destroy
Celui-ci gène les outils de désinfection.
Avast qui n'est pas à jour, et Java qui ne l'est pas non plus.
Encore deux autres petites bricoles à vérifier car louches.
Voilà mon diagnostic.
A+
Je vois pourtant PopCap sur ton rapport ZHPDiag:
O42 - Logiciel: Plants vs. Zombies Demo - (.PopCap.) [HKLM] -- Steam App 3592
O43 - CFD: 07/11/2010 - 19:45:42 - [25] ----D- C:\ProgramData\PopCap Games
C:\ProgramData\PopCap Games
[HKCU\Software\SteamPopCap]
TeaTimer, c'est le résident de Spybot :
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1
O43 - CFD: 06/01/2011 - 23:47:16 - [53640149] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 03/03/2011 - 23:39:24 - [3662] ----D- C:\ProgramData\Spybot - Search & Destroy
Celui-ci gène les outils de désinfection.
Avast qui n'est pas à jour, et Java qui ne l'est pas non plus.
Encore deux autres petites bricoles à vérifier car louches.
Voilà mon diagnostic.
A+
J'oubliais : le dump est si tu veux "une image" de ton secteur d'amorçage qui est créée par l'outil MBRCheck [lui même intégré à ZHPDiag].
Il se dépose là : C:\PhysicalDisk0_MBR.bin
L'envoyer sur VirusTotal, permet de l'analyser par 42 antivirus, et là tu es presque sur si ton MBR est infecté ou non.
Il se dépose là : C:\PhysicalDisk0_MBR.bin
L'envoyer sur VirusTotal, permet de l'analyser par 42 antivirus, et là tu es presque sur si ton MBR est infecté ou non.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mouais ...
tes processus : ok
updater : fait comme tu le sens, c est toi qui coure un risque avec des logiciels obsolètes bourrés de failles; pas moi.
Désinstalle ton IE9.
▶ Télécharge ici : PureRa (par l''editeur de JavaRa)
▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)
=> Choisi "Check All"
▶ clique sur "Clean"
▶ L''outil va faire son scan puis son nettoyage
▶ à la fin du rapport tu auras une ligne comme ca :
Total space cleaned: 8140878 bytes
▶ transmets juste cette ligne , le reste importe peu
------
▶ télécharge et installe Ccleaner et enregistre le sur le bureau
▶ double-clique sur le fichier pour lancer l''installation
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »
▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
▶ ▶ cliques sur nettoyeur
▶ cliques sur windows et dans la colonne avancé
▶ coches la première case "vieilles données du perfetch"
▶ cliques sur analyse une fois l''analyse terminé
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"
▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
▶ tu peux fermer Ccleaner
------
Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.
-----
Retente d installer IE9 !
@+
tes processus : ok
updater : fait comme tu le sens, c est toi qui coure un risque avec des logiciels obsolètes bourrés de failles; pas moi.
Désinstalle ton IE9.
▶ Télécharge ici : PureRa (par l''editeur de JavaRa)
▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)
=> Choisi "Check All"
▶ clique sur "Clean"
▶ L''outil va faire son scan puis son nettoyage
▶ à la fin du rapport tu auras une ligne comme ca :
Total space cleaned: 8140878 bytes
▶ transmets juste cette ligne , le reste importe peu
------
▶ télécharge et installe Ccleaner et enregistre le sur le bureau
▶ double-clique sur le fichier pour lancer l''installation
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »
▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
▶ ▶ cliques sur nettoyeur
▶ cliques sur windows et dans la colonne avancé
▶ coches la première case "vieilles données du perfetch"
▶ cliques sur analyse une fois l''analyse terminé
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"
▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
▶ tu peux fermer Ccleaner
------
Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.
-----
Retente d installer IE9 !
@+
J'ai pas encore essayer pour IE9, j'ai pris un peu de retard avec une mise à jours du net.framework 1.1 qui voulait pas passer...Je vous fais par de deux outils qui m'ont servi :
Pour desinstaller/nettoyer les installations des différentes version des net.framework, quand la désinstallation classie ne marche pas : https://docs.microsoft.com/en-us/archive/blogs/
Et un "Outil d'analyse de l'installation conforme des mises à jour du système pour Windows " qui existe pour seven et pour vista (pour vista : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=b4d90b06-c27d-4483-bc1f-04d43fa7b293 )
Voilà, si jamais ça peut aider quelqu'un...
Du coup, il me semble que j'ai plus le problème de windows update qui s'affole un peu et ralentit le pc quand il vérifie les mises à jours mais faut attendre encore un peu avant de confirmer...pas eu le temps de regarder en détail. Je continue...
Pour desinstaller/nettoyer les installations des différentes version des net.framework, quand la désinstallation classie ne marche pas : https://docs.microsoft.com/en-us/archive/blogs/
Et un "Outil d'analyse de l'installation conforme des mises à jour du système pour Windows " qui existe pour seven et pour vista (pour vista : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=b4d90b06-c27d-4483-bc1f-04d43fa7b293 )
Voilà, si jamais ça peut aider quelqu'un...
Du coup, il me semble que j'ai plus le problème de windows update qui s'affole un peu et ralentit le pc quand il vérifie les mises à jours mais faut attendre encore un peu avant de confirmer...pas eu le temps de regarder en détail. Je continue...
Salut,
---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Amandine at 15/05/2011 18:38:34
Ce TDL4 n'est pas de bonne augure !
Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau:
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu''administrateur)
Clique sur Start Scan
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
A la fin clique sur Reboot Now
Le PC va redémarrer, et un rapport va s''ouvrir
Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Amandine at 15/05/2011 18:38:34
Ce TDL4 n'est pas de bonne augure !
Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau:
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu''administrateur)
Clique sur Start Scan
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
A la fin clique sur Reboot Now
Le PC va redémarrer, et un rapport va s''ouvrir
Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
Merci pour ta réponse,
Le log de tdsskiler https://pastebin.com/anKjabFL
En résumé :
2011/05/15 20:22:58.0381 3692 sptd (d15da1ba189770d93eea2d7e18f95af9) C:\Windows\system32\Drivers\sptd.sys
2011/05/15 20:22:58.0381 3692 Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys. md5: d15da1ba189770d93eea2d7e18f95af9
2011/05/15 20:22:58.0397 3692 sptd - detected LockedFile.Multi.Generic (1)
2011/05/15 20:23:01.0772 3640 Detected object count: 1
2011/05/15 20:23:29.0772 3640 LockedFile.Multi.Generic(sptd) - User select action: Skip
Il me semble que sptd vient de daemon tools (qui n'est plus installé je viens de m'en rendre compte).
Je vais le desinstaller à partir du gestionnaire de périphérique, je pense et refaire un scan zhpdiag&tdsskiller.
Le log de tdsskiler https://pastebin.com/anKjabFL
En résumé :
2011/05/15 20:22:58.0381 3692 sptd (d15da1ba189770d93eea2d7e18f95af9) C:\Windows\system32\Drivers\sptd.sys
2011/05/15 20:22:58.0381 3692 Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys. md5: d15da1ba189770d93eea2d7e18f95af9
2011/05/15 20:22:58.0397 3692 sptd - detected LockedFile.Multi.Generic (1)
2011/05/15 20:23:01.0772 3640 Detected object count: 1
2011/05/15 20:23:29.0772 3640 LockedFile.Multi.Generic(sptd) - User select action: Skip
Il me semble que sptd vient de daemon tools (qui n'est plus installé je viens de m'en rendre compte).
Je vais le desinstaller à partir du gestionnaire de périphérique, je pense et refaire un scan zhpdiag&tdsskiller.
Bon sptd.sys supprimer du registre/de system32 en manuel, plus rien dans tdsskiler ni dans zhpdiag. Enfin la ligne TDL4 est toujours présente, mais plus de potentiel infection du MBR :
---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Amandine at 15/05/2011 21:32:30
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll SCSIPORT.SYS SI3112.sys
C:\Windows\system32\DRIVERS\SI3112.sys Silicon Image, Inc SiI 3x12 SATALink controller
1 ntkrnlpa!IofCallDriver[0x82055912] -> \Device\Harddisk0\DR0[0x84849030]
3 CLASSPNP[0x863A48B3] -> ntkrnlpa!IofCallDriver[0x82055912] -> [0x844B3530]
5 acpi[0x806176BC] -> ntkrnlpa!IofCallDriver[0x82055912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x8448E030]
kernel: MBR read successfully
user & kernel MBR OK
Par contre avec sfc /scannow, toujours pas mieux (fichiers endommagés, pas réussi à réparer et les lignes de CBS.log incompréhensible). Je vais continuer à chercher de mon côté, y'a toujours eu des problèmes de droits d'accès sur ce pc (peut-être du à un changement du nom du compte admin...)
Merci en tout cas, ça m'a permis de virer cet m**** de sptd...
---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Amandine at 15/05/2011 21:32:30
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll SCSIPORT.SYS SI3112.sys
C:\Windows\system32\DRIVERS\SI3112.sys Silicon Image, Inc SiI 3x12 SATALink controller
1 ntkrnlpa!IofCallDriver[0x82055912] -> \Device\Harddisk0\DR0[0x84849030]
3 CLASSPNP[0x863A48B3] -> ntkrnlpa!IofCallDriver[0x82055912] -> [0x844B3530]
5 acpi[0x806176BC] -> ntkrnlpa!IofCallDriver[0x82055912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x8448E030]
kernel: MBR read successfully
user & kernel MBR OK
Par contre avec sfc /scannow, toujours pas mieux (fichiers endommagés, pas réussi à réparer et les lignes de CBS.log incompréhensible). Je vais continuer à chercher de mon côté, y'a toujours eu des problèmes de droits d'accès sur ce pc (peut-être du à un changement du nom du compte admin...)
Merci en tout cas, ça m'a permis de virer cet m**** de sptd...
Télécharge ComboFix (de sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE !.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE !.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
@soulsy :
Bonsoir.
Si tu n'en vois pas l'inconvénient, il serait judicieux de te débarrasser définitivement de l'adware PopCap qui est installé sur ton pc.
▶ Télécharge de AD-Remover sur ton Bureau. (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Bonsoir.
Si tu n'en vois pas l'inconvénient, il serait judicieux de te débarrasser définitivement de l'adware PopCap qui est installé sur ton pc.
▶ Télécharge de AD-Remover sur ton Bureau. (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Du calme pas tous en même temps :)
Popcap games fait parti de steam et d'un jeu installer avec, donc je pense pas que y'ait de soucis la dessous.
C'est exact pour teatimer, mais spybot n'est pas utiliser pour la protection résidente.
Je vais voir pour scanner le dmp du mbr, le fichier est en attente.
Puisque je vous sens motivié héhé, j'ai un problème avec ie9 sur ce pc, par exemple sur virustotal, il faut que j'active l'affichage de compatibilité pour que ça marche..
Sur beaucoup de site, ça me fait ça, on me dit que j'ai pas la dernière version de flash, que java peut pas s'exécuter correctement, que mon navigateur est trop vieux...bref on dirait que les sites ne reconnaissent pas cette version de IE9.
Voilà, j'ai déja tout réinstaller pour flash, java etc et quand je vais sur les sites de test de flash java, tout est ok. J'ai réinitialisé aussi IE9 sans plus de succès.
Popcap games fait parti de steam et d'un jeu installer avec, donc je pense pas que y'ait de soucis la dessous.
C'est exact pour teatimer, mais spybot n'est pas utiliser pour la protection résidente.
Je vais voir pour scanner le dmp du mbr, le fichier est en attente.
Puisque je vous sens motivié héhé, j'ai un problème avec ie9 sur ce pc, par exemple sur virustotal, il faut que j'active l'affichage de compatibilité pour que ça marche..
Sur beaucoup de site, ça me fait ça, on me dit que j'ai pas la dernière version de flash, que java peut pas s'exécuter correctement, que mon navigateur est trop vieux...bref on dirait que les sites ne reconnaissent pas cette version de IE9.
Voilà, j'ai déja tout réinstaller pour flash, java etc et quand je vais sur les sites de test de flash java, tout est ok. J'ai réinitialisé aussi IE9 sans plus de succès.
Hm en fait, je l'ai uploader avec opera (vu les problèmes que j'ai avec ie...) et il est resté bloqué sur queued assez lomgtemps, j'y suis retourné avec IE pour le reupload et là ça m'a mis qu'il avait déja été analysé (ce qui n'étais pas le cas la première fois) donc j'imagine que c'est bien mon fichier, même si l'heure est un peu suspecte.
Donc ton MBR est clean.
C'est bien ce que je disais.
Concernant AD-Remover, il a bien détecté une clé du registre mauvaise.
▶ Relance AD-Remover, clique sur Nettoyer
▶ Laisse le pc redémarrer.
▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt
C'est bien ce que je disais.
Concernant AD-Remover, il a bien détecté une clé du registre mauvaise.
▶ Relance AD-Remover, clique sur Nettoyer
▶ Laisse le pc redémarrer.
▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt
Rapport de suppression de ad-remover : http://pastebin.com/uugD10sL
Par contre j'ai pris le temps de faire une recherche dans le registre avant et d'exporter les clés concernées : http://pastebin.com/UDw9mfub
Est-ce que les clés contenant 00020424-0000-0000-C000-000000000046 et 817C1EAD-74EA-4839-B46E-8DB10AC02C2C sont potentiellement infectées aussi ? j'ai mis le topic en résolu un peu trop vide on dirait :)
Par contre j'ai pris le temps de faire une recherche dans le registre avant et d'exporter les clés concernées : http://pastebin.com/UDw9mfub
Est-ce que les clés contenant 00020424-0000-0000-C000-000000000046 et 817C1EAD-74EA-4839-B46E-8DB10AC02C2C sont potentiellement infectées aussi ? j'ai mis le topic en résolu un peu trop vide on dirait :)
C'était attaché à PopCap, épicétou :p
Je vais me coucher, demain lis mon message plus bas : https://forums.commentcamarche.net/forum/affich-22109561-zhpdiag-integrite-des-fichiers-avec-sfc#27
Bonne nuit ;)
Je vais me coucher, demain lis mon message plus bas : https://forums.commentcamarche.net/forum/affich-22109561-zhpdiag-integrite-des-fichiers-avec-sfc#27
Bonne nuit ;)
Exporter les clés? Inutile, ad-remover s'en charge ;)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)
Pourrais-tu me faire un ZHPDiag tout neuf stp?
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)
Pourrais-tu me faire un ZHPDiag tout neuf stp?
En effet, je ne savais pas pour ad-remover (il exporte avec erunt en plus, c'est un peu volumineux en taille de fichier mais efficace) et j'aime bien voir ce qu'il y a derrière aussi.
Il est plus efficace que spybot en tout cas (sauf si on veut supprimer 2 ou 3 cookies...).
Le rapport zhpdiag : http://cjoint.com/data3/3EqaxrgMu67.htm
Et toujours ce genre de message sur IE9 : Votre lecteur Flash n'est pas à jour Installer la dernière version (j'ai bien sur la dernière version) et avec opera aucun soucis.
Alors au début je me disais que les sites étaient un peu dépassés par les nouvelles versions de flash , mais sur un autre pc avec windows 7 et IE9, pas du tout ce problème.
Je sais pas si ces deux choses peuvent avoir un rapport :
---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSO/SSODL) (O21)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Contrôleur de site Web.) -- C:\Windows\System32\webcheck.dll
---\\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\Windows\system32\browseui.dll
Il est plus efficace que spybot en tout cas (sauf si on veut supprimer 2 ou 3 cookies...).
Le rapport zhpdiag : http://cjoint.com/data3/3EqaxrgMu67.htm
Et toujours ce genre de message sur IE9 : Votre lecteur Flash n'est pas à jour Installer la dernière version (j'ai bien sur la dernière version) et avec opera aucun soucis.
Alors au début je me disais que les sites étaient un peu dépassés par les nouvelles versions de flash , mais sur un autre pc avec windows 7 et IE9, pas du tout ce problème.
Je sais pas si ces deux choses peuvent avoir un rapport :
---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSO/SSODL) (O21)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Contrôleur de site Web.) -- C:\Windows\System32\webcheck.dll
---\\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\Windows\system32\browseui.dll
Hello,
Je repasse ce soir :)
Essaye de faire une réparation de tes fichiers système :
en invite de commande, tape sfc /scannow
==========
Spybot est obsolète, tu peux le désinstaller
==========
A+
Je repasse ce soir :)
Essaye de faire une réparation de tes fichiers système :
en invite de commande, tape sfc /scannow
==========
Spybot est obsolète, tu peux le désinstaller
==========
A+
Avec sfc /scannow j'ai plus de problème ou du moins les fichiers qu'il veut remplacer ne m'intéresse pas, voir ce post : https://forums.commentcamarche.net/forum/affich-22109561-zhpdiag-integrite-des-fichiers-avec-sfc#12
Merci
Merci
Pourquoi tu ne veux pas remplacer tes fichiers système?
Windows illégal ? Dans ce cas, tu n'auras que des soucis.
Windows illégal ? Dans ce cas, tu n'auras que des soucis.
Non, c'est un vista officiel, et comme je le dis dans ce post https://forums.commentcamarche.net/forum/affich-22109561-zhpdiag-integrite-des-fichiers-avec-sfc#12 (bis) , les fichiers concernés sont des exemples de vidéo fournit par défaut avec vista que j'ai supprimé du dossier winsxs.
http://www.picdo.net/fichiers/2011/5/16/e1dcf65e-79d5-4656-9ad6-29a481a39263_active.jpg
Je peux prendre une photo de l'étiquette au dos du pc également si tu veux.
J'ai regardé dans l'observateur d'événement, au niveau de windows update, il dit "Windows Update a trouvé 30 mises à jour." et il s'est écoule 5min avant l'événement précédent ou il est dit que la connexion est établi. Ca correspond au nombre de mise à jours masquées (maj de office, je l'ai arrêter au SP3, maj de windows mail, pas utilisé, et média center, pas utilisé non plus).
Donc on est obligé de les installés même si on en a pas l'utilité de ces mises à jours pour être tranquille, ou on peut lui faire comprendre une bonne fois pour toute qu'on en veut pas ?
http://www.picdo.net/fichiers/2011/5/16/e1dcf65e-79d5-4656-9ad6-29a481a39263_active.jpg
Je peux prendre une photo de l'étiquette au dos du pc également si tu veux.
J'ai regardé dans l'observateur d'événement, au niveau de windows update, il dit "Windows Update a trouvé 30 mises à jour." et il s'est écoule 5min avant l'événement précédent ou il est dit que la connexion est établi. Ca correspond au nombre de mise à jours masquées (maj de office, je l'ai arrêter au SP3, maj de windows mail, pas utilisé, et média center, pas utilisé non plus).
Donc on est obligé de les installés même si on en a pas l'utilité de ces mises à jours pour être tranquille, ou on peut lui faire comprendre une bonne fois pour toute qu'on en veut pas ?
Dsl de t'inportuner juju.....vraiment....!!!!!
Sute à certaines circonstences connues par la plus part des menbres de CCM, j'ai du changer de pseudo....
Par rapport à ta refection sur Combo..
==> Bien intelligent sera le juju ou autre qui égalera le tool deSuSb et m'expliquera
ses tenants et aboutissants....
Sute à certaines circonstences connues par la plus part des menbres de CCM, j'ai du changer de pseudo....
Par rapport à ta refection sur Combo..
==> Bien intelligent sera le juju ou autre qui égalera le tool deSuSb et m'expliquera
ses tenants et aboutissants....