Analyse ZHP Résolu/Fermé

Question

Bonjour, je sais que j'ai un petit Adware, voici le rapport :

https://pastebin.com/72P6UYK4


[HKCU\Software\Trymedia Systems] =>Adware.Trymedia
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia

C:\ProgramData\Trymedia =>Adware.Trymedia

Ce sont là les problèmes que j'ai trouvé, que dois-je faire ?

merci


Configuration: ASUS K52jr-x2, windows seven, processeur intel i3 "dual core" avec une ATI mobility radeon hd 5470

Lyonnais92 · Answer

Bonjour,

comment tu expliques que les lignes que tu cites ne figurent pas dans la rapport que tu as mis en lien ?

Vent d'ouest · Answer

Salut lyonnais,
Et que cette nouvelle année efface nos différents....

Soyons libres et cela définiera(un peu) le début d'une vrai démocratie...
a+

@ Woofwoofetc....

Il connait ZHP et veut se réconforter!!!!

Lyonnais92 · Answer

Re,

oui, je savais comment tu as créé le fichier du pastebin.

Ce que je te demande c'est avec quel outil tu as obtenu :


[HKCU\Software\Trymedia Systems]
[HKLM\Software\WOW6432Node\Trymedia Systems]

C:\ProgramData\Trymedia

Ces lignes ne figurent pas dans le rapport de ZHPDiag.

Vent d'ouest · Answer

OUPsssss.......

Lyonnais92 · Answer

Re,

OK, j'ai compris ce que tu as fait.

Relance ZHPDiag, clique sur la loupe à gauche pour lancer l'analyse.

Pour transmettre le rapport clique sur la flèche bleue.

Ton navigateur par défaut va s'ouvrir sur la page pjjoint.malekal.com (si il était resté ouvert, un onglet supplémentaire s'ouvre sur cette page).

Clique sur Parcourir et cherche le répertoire C:\ZHP

Sélectionne le fichier ZHPDiag.txt et clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Donne moi le lien qui figure dans la zone "L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est :"

Ce lien est de la forme https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_j10f7x12v13v

Lyonnais92 · Answer

Re,

mets à jour MBAM, fais un scan rapide, sélectionne et mets en quarantaine tout ce qu'il trouve.

===
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===

Sais tu à quoi correspond royaume.com ?

et cette ip : 172.16.42.1 ?

Tu accèdes comment à Internet ?

Lyonnais92 · Answer

Re,

 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\Trymedia Systems]
[HKLM\Software\Trymedia Systems]
O43 - CFD: 02/01/2012 - 21:06:30 - [0,001] ----D- C:\ProgramData\Trymedia
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O43 - CFD: 12/12/2011 - 22:00:24 - [0,002] ----D- C:\ProgramDataegid.1986-12.com.adobe
O52 - TDSD: \Drivers32\"vidc.tscc"="C:\Windows\SysWOW64	sccvid64.dll" . (...) -- (.not file.)
O52 - TDSD: \drivers.desc\"tsccvid64.dll"="TechSmith Screen Capture Codec (64-bit)" . (.TechSmith Corporation - TechSmith Screen Capture Codec.) -- (.not file.)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien.

Lyonnais92 · Answer

Re,

relance ZHPFix avec ces lignes 

[HKLM\Software\WOW6432Node\Trymedia Systems]
[HKCU\Software\Trymedia Systems]
[HKLM\Software\Trymedia Systems]
O43 - CFD: 02/01/2012 - 21:06:30 - [0,001] ----D- C:\ProgramData\Trymedia
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com

Copie le rapport directement dans ta réponse.

Lyonnais92 · Answer

Bonjour,

fais redémarrer l'ordi, relance ZHPDiag et copie le rapport dans un lien.

Lyonnais92 · Answer

Bonsoir,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Folder::
C:\ProgramData\Trymedia

File::
C:\ProgramData\regid.1986-12.com.adobe

 
Registry::
[-HKEY_LOCAL_MACHINE\Software\Trymedia Systems]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Trymedia Systems]


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lyonnais92 · Answer

Re,

tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.

On va voir si CF nous a débarrassé de Trymedia.

Lyonnais92 · Answer

Re,

tu avais fait redémarrer l'ordi avant de relancer ZHPDiag ?

Lyonnais92 · Answer

Re,

tu relances ZHPFix avec ces lignes :

[MD5.00000000000000000000000000000000] [APT] [{495E97B2-6609-4D55-88D3-B9345E767C02}] (...) -- C:\Users\ASUS\Desktop\VirtualDub-1.9.11\auxsetup.exe (.not file.)
O43 - CFD: 06/01/2012 - 17:58:50 - [0] ----D- C:\ProgramDataegid.1986-12.com.adobe
O52 - TDSD: \Drivers32\"vidc.tscc"="C:\Windows\SysWOW64	sccvid64.dll" . (...) -- (.not file.)
O52 - TDSD: \drivers.desc\"tsccvid64.dll"="TechSmith Screen Capture Codec (64-bit)" . (.TechSmith Corporation - TechSmith Screen Capture Codec.) -- (.not file.)
SS - | Demand  0 |  (X6va005) . (...) - C:\Users\ASUS\AppData\Local\Temp\005DF8.tmp
EmptyTemp

Poste le rapport dans ta réponse (pas besoin de lien).

===

Encore des soucis ?

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Driver::
X6va005

File::
c:\users\ASUS\AppData\Local\Temp\005DF8.tmp
 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation. 

===

Encore des soucis (bis) ?

Lyonnais92 · Answer

Re,

on nettoie les outils.

Fais ceci :

Démarrer, Exécuter, tape combofix /uninstall dans la zone de saisie puis clique sur OK.

Ensuite, 

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

Lyonnais92 · Answer

Re,

tu as toujours des problèmes avec Antivir ?

Lyonnais92 · Answer

Re,

oups, j'ai confondu avec un autre topic.

Kaspersky est un très bon choix.

Quelques conseils pour minimiser les risques de te réinfecter :

https://www.malekal.com/proteger-pc-virus-pirates/?t=381&start=

Analyse ZHP

19 réponses

Discussions similaires

Newsletters