Bilan et diag

fred -  
 g3n-h@ckm@n -
Bonjour,

Quelqu'un accepterait-il de m'aider à faire un rapide bilan ?
Je souhaite me mettre à jour et vérifier que tout est ok.
J'ai déjà fait un ZHP diag que voici
http://pjjoint.malekal.com/files.php?id=2627f76d7251511
Merci

31 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  2. fred
     
    Bonjour et merci pour ton aide,

    Tout s'est bien déroulé...
    (J'ai pourtant oublié de couper mon antivir)

    Voici le rapport
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijYGlPqdL.txt

    J'espère qu'il est positif
    0
  3. fred
     
    J'ai cependant une petite question car plusieurs choses ont été modifiées sur mon bureau.
    En effet, j'ai désormais plusieurs icônes qui sont apparents sur le bureau (réseau - poste de travail - panneau de config...)
    0
  4. g3n-h@ckm@n
     
    c'est quoi ce chemin ?
    C:\Users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Pre_scan.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fred
     
    C'est le chemin vers mon bureau...
    c'est comme ça depuis que j'ai mon ordi et j'ai jamais rien pu y faire
    0
  7. g3n-h@ckm@n
     
    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    "HP Software Update"=-
    ""=-
    "SunJavaUpdateSched"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ehTray.exe]
    [-HKEY_CLASSES_ROOT\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}]

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  8. fred
     
    Voici le rapport de cette opération

    http://www.cijoint.fr/cjlink.php?file=cj201107/cij63aPkyl.txt

    4 nouveau icones viennent d'apparaitre dans mon bureau, dont 2 sous format word. (sarrette et Spola.g)
    Est ce normal ?
    0
  9. g3n-h@ckm@n
     
    ca doit etre des ancizns fichiers temporaires de travail que tu as effectué sous word ^^

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  10. fred
     
    Voici donc les rapports :
    OTL
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijZDVzQ7E.txt

    Extras
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijIytu5T2.txt

    Que dois je faire au sujet des nouveaux icones (public, poste de travail, réseau, panneau de config, Fredo) qui sont sur mon bureau ?
    0
    1. g3n-h@ckm@n
       
      tu peux les supprimer

      t'as pas respecté la config avec OTL recommence
      0
  11. fred
     
    OUps désolé.

    Voici pour otl

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijK7lqn84.txt
    0
  12. g3n-h@ckm@n
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\PhysicalDisk0_MBR.bin

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    0
  13. fred
     
    Je ne connaissais pas ce site... ça a l'air drôlement bien

    http://www.virustotal.com/file-scan/report.html?id=66a3f4646afe697262c06a68d008a554c2c3156eab439689187f63e9e29203dc-1309866960
    0
  14. g3n-h@ckm@n
     
    refais un scan zhpdiag en cochant tout au tournevis
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. fred
       
      j'ai tout coché sur le tournevis mais je ne comprends pas la suite de l'instruction.

      Dois je coller cela "g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤" dans ZHP diag ?
      0
  15. fred
     
    Je n'ai rien collé mais voici le rapport. Si je me suis trompé, pas de pblm, je recommence.

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijupVSU3X.txt
    0
  16. fred
     
    Depuis que nous avons commencé les scans, je constate que word ne s'ouvre plus comme avant. Un message d'erreur vient perturber le lancement...
    0
  17. g3n-h@ckm@n
     
    sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

    HiddenFix
    P2 - FPN: [HKLM] [Adobe Reader] - (.Adobe Systems Inc. - Adobe PDF Plug-In For Firefox and Netscape "9.4.5".) -- C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
    O4 - Global Startup: C:\Users\Fredo\Desktop\Jouer online avec Steam.lnk . (...) -- C:\Valve\Condition Zero\steaminstall.exe (.not file.)
    O4 - Global Startup: C:\Users\Fredo\Desktop\Team Fortress Classic Manual.lnk . (...) -- C:\SIERRA\Half-Life\tfc\manual\TFCcontents.htm (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{01D523FC-5634-4FA1-92FE-8CD87A1275DF}] (...) -- c:\users\Fredo\appdata\local\ebriieul.bat (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{35DC3473-A719-4d14-B7C1-FD326CA84A0C}] (...) -- C:\Users\Fredo\AppData\Local\Temp\Qtn.exe (.not file.)
    O42 - Logiciel: Adobe Reader 9.4.5 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A94000000001}
    O42 - Logiciel: Java SE Runtime Environment 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160000}
    [-HKLM\Software\BrowserChoice]
    O64 - Services: CurCS - ??/??/???? - C:\Users\Fredo\AppData\Local\Temp\kbeepm.sys (.not file.) - kbeepm (kbeepm) .(...) - LEGACY_KBEEPM
    O87 - FAEL: "TCP Query User{0914FB5D-D825-42DA-9058-0C5BC1DBCCD6}C:\sierra\cataclysm\cataclysm.exe" |In - Private - P6 - TRUE | .(...) -- C:\sierra\cataclysm\cataclysm.exe (.not file.)
    O87 - FAEL: "UDP Query User{B66A050F-6CE8-4C39-8E37-9BC68092A1B1}C:\sierra\cataclysm\cataclysm.exe" |In - Private - P17 - TRUE | .(...) -- C:\sierra\cataclysm\cataclysm.exe (.not file.)
    O87 - FAEL: "TCP Query User{7A65A0C3-B43E-40D2-9E8B-2A8C7A07A0AA}C:\sierra\homeworld\homeworld.exe" |In - Private - P6 - TRUE | .(...) -- C:\sierra\homeworld\homeworld.exe (.not file.)
    O87 - FAEL: "UDP Query User{217A89B6-7A97-479E-839A-5C0CBA780314}C:\sierra\homeworld\homeworld.exe" |In - Private - P17 - TRUE | .(...) -- C:\sierra\homeworld\homeworld.exe (.not file.)
    O87 - FAEL: "TCP Query User{954FB964-587A-4F66-9CD8-DDC2B93619D6}C:\program files\smokin' guns\smokinguns.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\smokin' guns\smokinguns.exe (.not file.)
    O87 - FAEL: "UDP Query User{1C322B91-B451-4078-B2C7-E6BA4B9E9012}C:\program files\smokin' guns\smokinguns.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\smokin' guns\smokinguns.exe (.not file.)
    O87 - FAEL: "TCP Query User{FB8DD0C5-B3E4-4A64-AD8A-60F1291DF41B}E:\roguespear.icd" |In - Private - P6 - TRUE | .(...) -- E:\roguespear.icd (.not file.)
    O87 - FAEL: "UDP Query User{34BF44AB-5535-4F5A-B1FF-EF3014058817}E:\roguespear.icd" |In - Private - P17 - TRUE | .(...) -- E:\roguespear.icd (.not file.)
    [HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]


    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    0
  18. fred
     
    Rapport de ZHPFix 1.12.3335 par Nicolas Coolman, Update du 04/07/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-05-07-2011-15-42-55.txt
    Run by Fredo at 05/07/2011 15:42:55
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    SUPPRIME Partiel Software Key: {AC76BA86-7AD7-1036-7B44-A94000000001}
    SUPPRIME Partiel Software Key: {3248F0A8-6813-11D6-A77B-00B0D0160000}
    SUPPRIME Key: Mozilla Plugin: Adobe Reader
    SUPPRIME Key: Service Legacy: LEGACY_KBEEPM
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}

    ========== Valeur(s) du Registre ==========
    SUPPRIME TCP Query User{0914FB5D-D825-42DA-9058-0C5BC1DBCCD6}C:/sierra/cataclysm/cataclysm.exe
    SUPPRIME UDP Query User{B66A050F-6CE8-4C39-8E37-9BC68092A1B1}C:/sierra/cataclysm/cataclysm.exe
    SUPPRIME TCP Query User{7A65A0C3-B43E-40D2-9E8B-2A8C7A07A0AA}C:/sierra/homeworld/homeworld.exe
    SUPPRIME UDP Query User{217A89B6-7A97-479E-839A-5C0CBA780314}C:/sierra/homeworld/homeworld.exe
    SUPPRIME TCP Query User{954FB964-587A-4F66-9CD8-DDC2B93619D6}C:/program files/smokin' guns/smokinguns.exe
    SUPPRIME UDP Query User{1C322B91-B451-4078-B2C7-E6BA4B9E9012}C:/program files/smokin' guns/smokinguns.exe
    SUPPRIME TCP Query User{FB8DD0C5-B3E4-4A64-AD8A-60F1291DF41B}E:/roguespear.icd
    SUPPRIME UDP Query User{34BF44AB-5535-4F5A-B1FF-EF3014058817}E:/roguespear.icd

    ========== Fichier(s) ==========
    SUPPRIME c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
    SUPPRIME c:\users\fredo\desktop\jouer online avec steam.lnk
    ABSENT File: c:\valve\condition zero\steaminstall.exe
    SUPPRIME c:\users\fredo\desktop\team fortress classic manual.lnk
    ABSENT File: c:\sierra\half-life\tfc\manual\tfccontents.htm (.not file.)

    ========== Tache planifiée ==========
    SUPPRIME Task: {01D523FC-5634-4FA1-92FE-8CD87A1275DF}
    SUPPRIME Task: {35DC3473-A719-4d14-B7C1-FD326CA84A0C}

    ========== Dossiers/Fichiers cachés restaurés ==========
    Mes images (My Pictures) : 2 Restauré(s) avec succès
    Ma musique (My Music) : 1 Restauré(s) avec succès
    Ma Video (My Video) : 2 Restauré(s) avec succès
    Mes Favoris (My Favorites) : 2 Restauré(s) avec succès
    Mes Documents (My Documents) : 1 Restauré(s) avec succès
    Mon Bureau (My Desktop) : 176 Restauré(s) avec succès
    Menu demarrer (Programs) : 6 Restauré(s) avec succès
    Dossier utilisateur (AppData) : 59 Restauré(s) avec succès
    Programmes (Program Files) : 36 Restauré(s) avec succès

    ========== Autre ==========
    NON TRAITE [-HKLM\Software\BrowserChoice]

    ========== Récapitulatif ==========
    5 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    5 : Fichier(s)
    2 : Tache planifiée
    285 : Dossiers/Fichiers cachés restaurés
    1 : Autre

    ========== Chemin du fichier rapport ==========
    C:\Program Files\ZHPDiag\ZHPFixReport.txt

    End of the scan in 01mn 56s
    0
  19. fred
     
    lorsque j'ouvre word, ce message apparait désormais

    le modèle de complément non valide (C:users\...\~$nereader6.sprint.dot)

    Est ce grave ?
    0
  20. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  21. fred
     
    voici le rapport après 2 h de diag.
    tout semble ok sauf ce fameux message word... j'espère qu'on pourra résoudre ce pblm

    http://www.cijoint.fr/cjlink.php?file=cj201107/cij7lRG3AE.txt
    0
  • 1
  • 2