Bilan et diag
fred
-
g3n-h@ckm@n -
g3n-h@ckm@n -
Bonjour,
Quelqu'un accepterait-il de m'aider à faire un rapide bilan ?
Je souhaite me mettre à jour et vérifier que tout est ok.
J'ai déjà fait un ZHP diag que voici
http://pjjoint.malekal.com/files.php?id=2627f76d7251511
Merci
Quelqu'un accepterait-il de m'aider à faire un rapide bilan ?
Je souhaite me mettre à jour et vérifier que tout est ok.
J'ai déjà fait un ZHP diag que voici
http://pjjoint.malekal.com/files.php?id=2627f76d7251511
Merci
31 réponses
- 1
- 2
Suivant
-
salut
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
-
Bonjour et merci pour ton aide,
Tout s'est bien déroulé...
(J'ai pourtant oublié de couper mon antivir)
Voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201107/cijYGlPqdL.txt
J'espère qu'il est positif -
J'ai cependant une petite question car plusieurs choses ont été modifiées sur mon bureau.
En effet, j'ai désormais plusieurs icônes qui sont apparents sur le bureau (réseau - poste de travail - panneau de config...) -
c'est quoi ce chemin ?
C:\Users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Pre_scan.exe -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
C'est le chemin vers mon bureau...
c'est comme ça depuis que j'ai mon ordi et j'ai jamais rien pu y faire -
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
""=-
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ehTray.exe]
[-HKEY_CLASSES_ROOT\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}]
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail -
Voici le rapport de cette opération
http://www.cijoint.fr/cjlink.php?file=cj201107/cij63aPkyl.txt
4 nouveau icones viennent d'apparaitre dans mon bureau, dont 2 sous format word. (sarrette et Spola.g)
Est ce normal ? -
ca doit etre des ancizns fichiers temporaires de travail que tu as effectué sous word ^^
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
-
Voici donc les rapports :
OTL
http://www.cijoint.fr/cjlink.php?file=cj201107/cijZDVzQ7E.txt
Extras
http://www.cijoint.fr/cjlink.php?file=cj201107/cijIytu5T2.txt
Que dois je faire au sujet des nouveaux icones (public, poste de travail, réseau, panneau de config, Fredo) qui sont sur mon bureau ? -
-
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\PhysicalDisk0_MBR.bin
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse. -
Je ne connaissais pas ce site... ça a l'air drôlement bien
http://www.virustotal.com/file-scan/report.html?id=66a3f4646afe697262c06a68d008a554c2c3156eab439689187f63e9e29203dc-1309866960 -
refais un scan zhpdiag en cochant tout au tournevis
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ -
Je n'ai rien collé mais voici le rapport. Si je me suis trompé, pas de pblm, je recommence.
http://www.cijoint.fr/cjlink.php?file=cj201107/cijupVSU3X.txt -
Depuis que nous avons commencé les scans, je constate que word ne s'ouvre plus comme avant. Un message d'erreur vient perturber le lancement...
-
sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)
HiddenFix
P2 - FPN: [HKLM] [Adobe Reader] - (.Adobe Systems Inc. - Adobe PDF Plug-In For Firefox and Netscape "9.4.5".) -- C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
O4 - Global Startup: C:\Users\Fredo\Desktop\Jouer online avec Steam.lnk . (...) -- C:\Valve\Condition Zero\steaminstall.exe (.not file.)
O4 - Global Startup: C:\Users\Fredo\Desktop\Team Fortress Classic Manual.lnk . (...) -- C:\SIERRA\Half-Life\tfc\manual\TFCcontents.htm (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{01D523FC-5634-4FA1-92FE-8CD87A1275DF}] (...) -- c:\users\Fredo\appdata\local\ebriieul.bat (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{35DC3473-A719-4d14-B7C1-FD326CA84A0C}] (...) -- C:\Users\Fredo\AppData\Local\Temp\Qtn.exe (.not file.)
O42 - Logiciel: Adobe Reader 9.4.5 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A94000000001}
O42 - Logiciel: Java SE Runtime Environment 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160000}
[-HKLM\Software\BrowserChoice]
O64 - Services: CurCS - ??/??/???? - C:\Users\Fredo\AppData\Local\Temp\kbeepm.sys (.not file.) - kbeepm (kbeepm) .(...) - LEGACY_KBEEPM
O87 - FAEL: "TCP Query User{0914FB5D-D825-42DA-9058-0C5BC1DBCCD6}C:\sierra\cataclysm\cataclysm.exe" |In - Private - P6 - TRUE | .(...) -- C:\sierra\cataclysm\cataclysm.exe (.not file.)
O87 - FAEL: "UDP Query User{B66A050F-6CE8-4C39-8E37-9BC68092A1B1}C:\sierra\cataclysm\cataclysm.exe" |In - Private - P17 - TRUE | .(...) -- C:\sierra\cataclysm\cataclysm.exe (.not file.)
O87 - FAEL: "TCP Query User{7A65A0C3-B43E-40D2-9E8B-2A8C7A07A0AA}C:\sierra\homeworld\homeworld.exe" |In - Private - P6 - TRUE | .(...) -- C:\sierra\homeworld\homeworld.exe (.not file.)
O87 - FAEL: "UDP Query User{217A89B6-7A97-479E-839A-5C0CBA780314}C:\sierra\homeworld\homeworld.exe" |In - Private - P17 - TRUE | .(...) -- C:\sierra\homeworld\homeworld.exe (.not file.)
O87 - FAEL: "TCP Query User{954FB964-587A-4F66-9CD8-DDC2B93619D6}C:\program files\smokin' guns\smokinguns.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\smokin' guns\smokinguns.exe (.not file.)
O87 - FAEL: "UDP Query User{1C322B91-B451-4078-B2C7-E6BA4B9E9012}C:\program files\smokin' guns\smokinguns.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\smokin' guns\smokinguns.exe (.not file.)
O87 - FAEL: "TCP Query User{FB8DD0C5-B3E4-4A64-AD8A-60F1291DF41B}E:\roguespear.icd" |In - Private - P6 - TRUE | .(...) -- E:\roguespear.icd (.not file.)
O87 - FAEL: "UDP Query User{34BF44AB-5535-4F5A-B1FF-EF3014058817}E:\roguespear.icd" |In - Private - P17 - TRUE | .(...) -- E:\roguespear.icd (.not file.)
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse -
Rapport de ZHPFix 1.12.3335 par Nicolas Coolman, Update du 04/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-07-2011-15-42-55.txt
Run by Fredo at 05/07/2011 15:42:55
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Partiel Software Key: {AC76BA86-7AD7-1036-7B44-A94000000001}
SUPPRIME Partiel Software Key: {3248F0A8-6813-11D6-A77B-00B0D0160000}
SUPPRIME Key: Mozilla Plugin: Adobe Reader
SUPPRIME Key: Service Legacy: LEGACY_KBEEPM
SUPPRIME Key: HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}
========== Valeur(s) du Registre ==========
SUPPRIME TCP Query User{0914FB5D-D825-42DA-9058-0C5BC1DBCCD6}C:/sierra/cataclysm/cataclysm.exe
SUPPRIME UDP Query User{B66A050F-6CE8-4C39-8E37-9BC68092A1B1}C:/sierra/cataclysm/cataclysm.exe
SUPPRIME TCP Query User{7A65A0C3-B43E-40D2-9E8B-2A8C7A07A0AA}C:/sierra/homeworld/homeworld.exe
SUPPRIME UDP Query User{217A89B6-7A97-479E-839A-5C0CBA780314}C:/sierra/homeworld/homeworld.exe
SUPPRIME TCP Query User{954FB964-587A-4F66-9CD8-DDC2B93619D6}C:/program files/smokin' guns/smokinguns.exe
SUPPRIME UDP Query User{1C322B91-B451-4078-B2C7-E6BA4B9E9012}C:/program files/smokin' guns/smokinguns.exe
SUPPRIME TCP Query User{FB8DD0C5-B3E4-4A64-AD8A-60F1291DF41B}E:/roguespear.icd
SUPPRIME UDP Query User{34BF44AB-5535-4F5A-B1FF-EF3014058817}E:/roguespear.icd
========== Fichier(s) ==========
SUPPRIME c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
SUPPRIME c:\users\fredo\desktop\jouer online avec steam.lnk
ABSENT File: c:\valve\condition zero\steaminstall.exe
SUPPRIME c:\users\fredo\desktop\team fortress classic manual.lnk
ABSENT File: c:\sierra\half-life\tfc\manual\tfccontents.htm (.not file.)
========== Tache planifiée ==========
SUPPRIME Task: {01D523FC-5634-4FA1-92FE-8CD87A1275DF}
SUPPRIME Task: {35DC3473-A719-4d14-B7C1-FD326CA84A0C}
========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 2 Restauré(s) avec succès
Ma musique (My Music) : 1 Restauré(s) avec succès
Ma Video (My Video) : 2 Restauré(s) avec succès
Mes Favoris (My Favorites) : 2 Restauré(s) avec succès
Mes Documents (My Documents) : 1 Restauré(s) avec succès
Mon Bureau (My Desktop) : 176 Restauré(s) avec succès
Menu demarrer (Programs) : 6 Restauré(s) avec succès
Dossier utilisateur (AppData) : 59 Restauré(s) avec succès
Programmes (Program Files) : 36 Restauré(s) avec succès
========== Autre ==========
NON TRAITE [-HKLM\Software\BrowserChoice]
========== Récapitulatif ==========
5 : Clé(s) du Registre
8 : Valeur(s) du Registre
5 : Fichier(s)
2 : Tache planifiée
285 : Dossiers/Fichiers cachés restaurés
1 : Autre
========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt
End of the scan in 01mn 56s -
lorsque j'ouvre word, ce message apparait désormais
le modèle de complément non valide (C:users\...\~$nereader6.sprint.dot)
Est ce grave ? -
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX
▶ Potasses le Tuto pour te familiariser avec le prg :
( cela dit, il est très simple d'utilisation ).
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
-
voici le rapport après 2 h de diag.
tout semble ok sauf ce fameux message word... j'espère qu'on pourra résoudre ce pblm
http://www.cijoint.fr/cjlink.php?file=cj201107/cij7lRG3AE.txt
- 1
- 2
Suivant