Zhp a analyser

Résolu
jeje13131313 Messages postés 257 Statut Membre -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour,

j'aimerais l'aide d'un helpeur pour analysé ce zhp merci

https://pjjoint.malekal.com/files.php?read=ZHPDiag_j8i13r15z10s7b7n13b10d14g6l12u15y6z8h12s10p5w14d6y6

26 réponses

  • 1
  • 2
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    1/
    Désinstalle stp ce logiciel : CrazyLoader

    2/

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CrazyLoader]
    [MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][09/09/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\jerome\AppData\Local\Temp\AskSLib.dll [246440]
    O43 - CFD: 29/12/2010 - 00:54:20 - [1384973] ----D- C:\Users\jerome\AppData\Local\PokerStars.FR => PartyGaming PokerStars
    O43 - CFD: 23/08/2011 - 22:51:04 - [0] ----D- C:\Users\jerome\AppData\Local\{7B32FA27-AA6E-46C4-8422-940E3C0AC758}
    O43 - CFD: 23/08/2011 - 22:50:54 - [0] ----D- C:\Users\jerome\AppData\Local\{9CD6A378-2186-424E-83CB-DEA2EE9DEF24}
    O43 - CFD: 21/08/2011 - 23:47:16 - [0] ----D- C:\Users\jerome\AppData\Local\{A4E91CA6-B63D-4FB6-9E6D-D220A3F1CD87}
    O43 - CFD: 21/08/2011 - 23:47:44 - [0] ----D- C:\Users\jerome\AppData\Local\{DF196E09-543F-4121-BA22-C0E0E381DD1F}
    FirewallRAZ
    EmptyTemp
    EmptyFlash


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur le bouton GO

    Copie/Colle le rapport à l'écran dans ton prochain message.

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  2. jeje13131313 Messages postés 257 Statut Membre 19
     
    c'est fait voila ce que sa donne

    Rapport de ZHPFix 1.12.3368 par Nicolas Coolman, Update du 12/11/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-16-11-2011-18-22-48.txt
    Run by jerome at 16/11/2011 18:22:48
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Module(s) mémoire ==========
    SUPPRIME Memory Module: C:\Users\jerome\AppData\Local\Temp\AskSLib.dll

    ========== Clé(s) du Registre ==========
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CrazyLoader

    ========== Valeur(s) du Registre ==========
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :
    SUPPRIME FirewallRaz (Domain) : {CAE0B516-08D9-4720-A214-9CB52279FAF8}
    SUPPRIME FirewallRaz (Public) : TCP Query User{27D2A5C3-C368-450B-8F65-1EAC382A3B27}C:\program files (x86)\steam\steamapps\jejeje13131313\counter-strike source\hl2.exe
    SUPPRIME FirewallRaz (Public) : UDP Query User{0B38DE41-F126-4311-9080-F725CA400A56}C:\program files (x86)\steam\steamapps\jejeje13131313\counter-strike source\hl2.exe
    SUPPRIME FirewallRaz (Private) : {5CF6A0CB-1AE2-4AE8-984A-633B870A744F}
    SUPPRIME FirewallRaz (Private) : {44985D3A-4845-4E0A-A531-7F054EFF58BF}
    SUPPRIME FirewallRaz (None) : {1B4B540D-CDC9-4697-ABC5-068A96935403}

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\jerome\AppData\Local\PokerStars.FR
    SUPPRIME Folder: C:\Users\jerome\AppData\Local\{7B32FA27-AA6E-46C4-8422-940E3C0AC758}
    SUPPRIME Folder: C:\Users\jerome\AppData\Local\{9CD6A378-2186-424E-83CB-DEA2EE9DEF24}
    SUPPRIME Folder: C:\Users\jerome\AppData\Local\{A4E91CA6-B63D-4FB6-9E6D-D220A3F1CD87}
    SUPPRIME Folder: C:\Users\jerome\AppData\Local\{DF196E09-543F-4121-BA22-C0E0E381DD1F}
    SUPPRIME Temporaires Windows: : 158
    SUPPRIME Flash Cookies: 52

    ========== Fichier(s) ==========
    SUPPRIME File: c:\users\jerome\appdata\local\temp\askslib.dll
    SUPPRIME Temporaires Windows: : 71
    SUPPRIME Flash Cookies: 30

    ========== Récapitulatif ==========
    1 : Module(s) mémoire
    1 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    7 : Dossier(s)
    3 : Fichier(s)

    End of clean in 00mn 06s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 16/11/2011 18:22:48 [2187]
    0
  3. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    * Lance Malwarebytes' Anti-Malware
    * Fais la mise à jour
    * Clique dans l'onglet "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    *Vérifie que toutes les lignes sont cochées
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

    * Copie/colle le rapport dans le prochain message

    Remarque :
    - S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

    @+

    0
  4. jeje13131313 Messages postés 257 Statut Membre 19
     
    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8169

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 9.0.8112.16421

    16/11/2011 20:51:37
    mbam-log-2011-11-16 (20-51-37).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 376599
    Temps écoulé: 1 heure(s), 1 minute(s), 10 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag!

    Bonne nuit

    A demain

    0
  7. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu


    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Le rapport à l'héberger (comme tu as fait pour le rapport ZHPDiag)

    @+
    0
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Désactive les ensuite refais cette procédure stp..

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  9. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "ITBar7Layout"=-

    file::
    C:\Windows\EB6BE8A5-11AE-4e2b-8B6E-974168C301C8.DSI
    C:\Windows\MOD01SET74FR0N0003.enc
    C:\Windows\MOD01SET74FR0N0003.XML
    C:\Windows\MOD01SET75000N0006.enc
    C:\Users\jerome\AppData\Local\Temp\5985.dir\InstallFlashPlayer.exe

    folder::
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ImageMagick 6.7.0 Q16
    C:\Users\jerome\AppData\Roaming\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\Dofus-3.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\Dofus-4.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\Dofus-5.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\Dofus-6.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\DofusBeta-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\DofusBeta-3.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\DofusBeta.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\Reg.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    C:\Users\jerome\AppData\Roaming\RegBeta.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    @+
    0
  10. jeje13131313 Messages postés 257 Statut Membre 19
     
    re alors voila j'ai quelque question ^^ mon ordi avais quoi? A quoi on servie toutes les étapes précédentes? par quoi était il infecter ? ^^ je te colle le rapport pre scan ci-dessous

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.96 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Mise à jour : 17/10/2011 | 00.40 Par g3n-h@ckm@n
    Utilisateur : jerome (Administrateurs)
    Ordinateur : JEROME-PC
    Système d'exploitation : Windows 7 Home Premium (64 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 8.0 (fr)

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    attrib:: | txt:: | Host:: | NsLook::
    list:: | IP:: | ADS:: | Kill:: | clean::

    Script : 01:38:53

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Supprimé : C:\Windows\EB6BE8A5-11AE-4e2b-8B6E-974168C301C8.DSI
    Supprimé : C:\Windows\MOD01SET74FR0N0003.enc
    Supprimé : C:\Windows\MOD01SET74FR0N0003.XML
    Supprimé : C:\Windows\MOD01SET75000N0006.enc
    Supprimé : C:\Users\jerome\AppData\Local\Temp\5985.dir\InstallFlashPlayer.exe

    ¤

    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ImageMagick 6.7.0 Q16
    Supprimé : C:\Users\jerome\AppData\Roaming\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\Dofus-3.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\Dofus-4.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\Dofus-5.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\Dofus-6.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\DofusBeta-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\DofusBeta-3.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\DofusBeta.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\Reg.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    Supprimé : C:\Users\jerome\AppData\Roaming\RegBeta.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

    ¤

    Disques externes : 0 Objets réattribués
    Disque Local : 15 Objets réattribués
    Utilisateurs : 1 Objets réattribués
    ProgramFiles : 8 Objets réattribués
    Music : 71 Objets réattribués
    Pictures : 0 Objets réattribués
    Videos : 0 Objets réattribués
    Downloads : 5 Objets réattribués
    Desktop : 7 Objets réattribués
    Links : 0 Objets réattribués
    Searches : 3 Objets réattribués
    Contacts : 7 Objets réattribués
    Saved Games : 0 Objets réattribués
    Favorites : 0 Objets réattribués
    Documents : 8 Objets réattribués
    Windows : 96 Objets réattribués
    StartMenu : 2 Objets réattribués
    Librairies : 0 Objets réattribués
    Quick Launch : 2 Objets réattribués
    %AppData% : 22 Objets réattribués

    ¤

    explorer.exe -> Processus redémarré

    Fin : 01:39:31

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  11. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,
    1/
     Mise à jour Avast :

    On va faire maintenant la mise à jour d'Avast, pour cela :
    * Télécharge ce fichier à partir ce lien : http://www.commentcamarche.net/download/start/telecharger-151-avast-free-version
    * Téléchargez aswclear.exe sur ton bureau ici :http://files.avast.com/files/eng/aswclear.exe
    * Désactives le système d'autoprotection avast!
    * Exécute aswclear.exe
    * Clique sur "Uninstall"
    * Redémarres ton ordinateur
    * Exécute le fichier téléchargé au début pour l'installation de la dernière version d'avast

    2/
    Fais une analyse de ton PC avec Avast6 puis poste le rapport stp

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  12. jeje13131313 Messages postés 257 Statut Membre 19
     
    j ai tout fait mais ou recuperer le rapport de avast ?
    0
  13. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    1/
    Tu peux suivre : ces procédures

    2/
    Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer
    Laisse-toi guider. Colle son rapport ici.

    Bonne nuit
    0
  14. jeje13131313 Messages postés 257 Statut Membre 19
     
    *
    * Rapport de scan avast!
    * Ce fichier est généré automatiquement
    *
    * Tâche utilisée 'Scan minutieux'
    * Débuté le dimanche 20 novembre 2011 02:15:06
    * VPS : 111119-1, 19/11/2011
    *

    Fichiers infectés : 0
    Total des fichiers : 328306
    Total des dossiers : 33931
    Taille totale : 197,3 Go

    *
    * Tâche terminée : dimanche 20 novembre 2011 03:45:43
    * Programme qui était exécuté 1 heure(s), 30 minute(s), 37 seconde(s)
    *
    0
  15. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    1/
    Rapport de Bit défender stp

    2/
    Lance ZHPDiag depuis le bureau, lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag.

    @+
    0
  16. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    * Télécharge OTM (OldTimer) sur ton Bureau

    ICI >> OTM (OldTimer)
    * Double clic "OTMoveIt3.exe"
    * Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

    - Copie (Ctrl+C) le texte suivant en gras ci-dessous :

    :Reg
    [-HKLM\Software\CrazyLoader]
    [-HKCU\Software\JavaSoft\Prefs\crazyloader]

    :commands
    [emptytemp]



    - Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
    - Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.
    - Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    2/
    As tu de souci avant de finaliser ?

    @+
    0
  17. jeje13131313 Messages postés 257 Statut Membre 19
     
    voila le rapport:
    All processes killed
    Error: Unable to interpret <[emptytemp]> in the current context!

    OTM by OldTimer - Version 3.1.19.0 log created on 11202011_145913

    Files moved on Reboot...
    C:\Users\jerome\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    Registry entries deleted on Reboot...

    ques que tu entend par souci de finaliser ? et j'aimerais bien que tu m'explique ce que mon PC avais stp
    0
  • 1
  • 2