Analyse ZHP
Résolu
WoofWoofDude
Messages postés
362
Date d'inscription
Statut
Membre
Dernière intervention
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour, je sais que j'ai un petit Adware, voici le rapport :
https://pastebin.com/72P6UYK4
[HKCU\Software\Trymedia Systems] =>Adware.Trymedia
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia
C:\ProgramData\Trymedia =>Adware.Trymedia
Ce sont là les problèmes que j'ai trouvé, que dois-je faire ?
merci
https://pastebin.com/72P6UYK4
[HKCU\Software\Trymedia Systems] =>Adware.Trymedia
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia
C:\ProgramData\Trymedia =>Adware.Trymedia
Ce sont là les problèmes que j'ai trouvé, que dois-je faire ?
merci
A voir également:
- Analyse ZHP
- Zhp cleaner - Télécharger - Informations & Diagnostic
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Zhp diag - Télécharger - Informations & Diagnostic
19 réponses
Bonjour,
comment tu expliques que les lignes que tu cites ne figurent pas dans la rapport que tu as mis en lien ?
comment tu expliques que les lignes que tu cites ne figurent pas dans la rapport que tu as mis en lien ?
WoofWoofDude
Messages postés
362
Date d'inscription
Statut
Membre
Dernière intervention
12
Les lignes sont créées par le petit diable rouge de ZHP ... je ne sais pas si c'est utile pour les helpers mais c'est ce que ça me donne...
Salut lyonnais,
Et que cette nouvelle année efface nos différents....
Soyons libres et cela définiera(un peu) le début d'une vrai démocratie...
a+
@ Woofwoofetc....
Il connait ZHP et veut se réconforter!!!!
Et que cette nouvelle année efface nos différents....
Soyons libres et cela définiera(un peu) le début d'une vrai démocratie...
a+
@ Woofwoofetc....
Il connait ZHP et veut se réconforter!!!!
Re,
oui, je savais comment tu as créé le fichier du pastebin.
Ce que je te demande c'est avec quel outil tu as obtenu :
[HKCU\Software\Trymedia Systems]
[HKLM\Software\WOW6432Node\Trymedia Systems]
C:\ProgramData\Trymedia
Ces lignes ne figurent pas dans le rapport de ZHPDiag.
oui, je savais comment tu as créé le fichier du pastebin.
Ce que je te demande c'est avec quel outil tu as obtenu :
[HKCU\Software\Trymedia Systems]
[HKLM\Software\WOW6432Node\Trymedia Systems]
C:\ProgramData\Trymedia
Ces lignes ne figurent pas dans le rapport de ZHPDiag.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
OK, j'ai compris ce que tu as fait.
Relance ZHPDiag, clique sur la loupe à gauche pour lancer l'analyse.
Pour transmettre le rapport clique sur la flèche bleue.
Ton navigateur par défaut va s'ouvrir sur la page pjjoint.malekal.com (si il était resté ouvert, un onglet supplémentaire s'ouvre sur cette page).
Clique sur Parcourir et cherche le répertoire C:\ZHP
Sélectionne le fichier ZHPDiag.txt et clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Donne moi le lien qui figure dans la zone "L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est :"
Ce lien est de la forme https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_j10f7x12v13v
OK, j'ai compris ce que tu as fait.
Relance ZHPDiag, clique sur la loupe à gauche pour lancer l'analyse.
Pour transmettre le rapport clique sur la flèche bleue.
Ton navigateur par défaut va s'ouvrir sur la page pjjoint.malekal.com (si il était resté ouvert, un onglet supplémentaire s'ouvre sur cette page).
Clique sur Parcourir et cherche le répertoire C:\ZHP
Sélectionne le fichier ZHPDiag.txt et clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Donne moi le lien qui figure dans la zone "L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est :"
Ce lien est de la forme https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_j10f7x12v13v
J'ai déjà poster le rapport...
le rapport est ici
https://pastebin.com/72P6UYK4
et j'ai regardé un peu et les lignes
[HKCU\Software\Trymedia Systems] =>Adware.Trymedia
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia
C:\ProgramData\Trymedia =>Adware.Trymedia
ligne # 1604 à 1606 du rapport
le rapport est ici
https://pastebin.com/72P6UYK4
et j'ai regardé un peu et les lignes
[HKCU\Software\Trymedia Systems] =>Adware.Trymedia
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia
C:\ProgramData\Trymedia =>Adware.Trymedia
ligne # 1604 à 1606 du rapport
le rapport c'est la loupe, et les ligne c'est le diable...
edit:
j'ai vue que le rapport du lien avais un petit problème :S dsl
Voici le bon:
https://pastebin.com/Ugvm3WvS
edit:
j'ai vue que le rapport du lien avais un petit problème :S dsl
Voici le bon:
https://pastebin.com/Ugvm3WvS
Re,
mets à jour MBAM, fais un scan rapide, sélectionne et mets en quarantaine tout ce qu'il trouve.
===
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
===
Sais tu à quoi correspond royaume.com ?
et cette ip : 172.16.42.1 ?
Tu accèdes comment à Internet ?
mets à jour MBAM, fais un scan rapide, sélectionne et mets en quarantaine tout ce qu'il trouve.
===
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
===
Sais tu à quoi correspond royaume.com ?
et cette ip : 172.16.42.1 ?
Tu accèdes comment à Internet ?
j'utilise Cageco pour aller sur internet et Cable axion (différente maison), je viens du Québec.
Je ne sais pas ce qu'est royaume.com
172.16.42.1 est l'ip local de ma box ....
Rapport AdwCleaner:
https://pastebin.com/4JcAnYHU
Je fais la suppression mais je ne vois pas où sont les problèmes...
https://pastebin.com/vujKQcgZ
et les 3 lignes cité plus haut sont toujours présentes dans le zhp
Je ne sais pas ce qu'est royaume.com
172.16.42.1 est l'ip local de ma box ....
Rapport AdwCleaner:
https://pastebin.com/4JcAnYHU
Je fais la suppression mais je ne vois pas où sont les problèmes...
https://pastebin.com/vujKQcgZ
et les 3 lignes cité plus haut sont toujours présentes dans le zhp
Re,
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
[HKCU\Software\Trymedia Systems]
[HKLM\Software\Trymedia Systems]
O43 - CFD: 02/01/2012 - 21:06:30 - [0,001] ----D- C:\ProgramData\Trymedia
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O43 - CFD: 12/12/2011 - 22:00:24 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
O52 - TDSD: \Drivers32\"vidc.tscc"="C:\Windows\SysWOW64\tsccvid64.dll" . (...) -- (.not file.)
O52 - TDSD: \drivers.desc\"tsccvid64.dll"="TechSmith Screen Capture Codec (64-bit)" . (.TechSmith Corporation - TechSmith Screen Capture Codec.) -- (.not file.)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
https://pastebin.com/319CHCGP
rapport ZHP fix
Il reste toujours 2 lignes:
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia
C:\ProgramData\Trymedia =>Adware.Trymedia
rapport ZHP fix
Il reste toujours 2 lignes:
[HKLM\Software\WOW6432Node\Trymedia Systems] =>Adware.Trymedia
C:\ProgramData\Trymedia =>Adware.Trymedia
Re,
relance ZHPFix avec ces lignes
Copie le rapport directement dans ta réponse.
relance ZHPFix avec ces lignes
[HKLM\Software\WOW6432Node\Trymedia Systems]
[HKCU\Software\Trymedia Systems]
[HKLM\Software\Trymedia Systems]
O43 - CFD: 02/01/2012 - 21:06:30 - [0,001] ----D- C:\ProgramData\Trymedia
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{7A5DA319-5F35-40F6-9873-C5DFA317FD53}: DhcpDomain = royaume.com
Copie le rapport directement dans ta réponse.
Rapport de ZHPFix 1.12.3377 par Nicolas Coolman, Update du 26/12/2011
Fichier d'export Registre :
Run by ASUS at 06/01/2012 19:04:06
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\WOW6432Node\Trymedia Systems
ABSENT Key: HKCU\Software\Trymedia Systems
ABSENT Key: HKLM\Software\Trymedia Systems
========== Valeur(s) du Registre ==========
ABSENT TCPIP:
========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\ProgramData\Trymedia
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
End of clean in 00mn 00s
Fichier d'export Registre :
Run by ASUS at 06/01/2012 19:04:06
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\WOW6432Node\Trymedia Systems
ABSENT Key: HKCU\Software\Trymedia Systems
ABSENT Key: HKLM\Software\Trymedia Systems
========== Valeur(s) du Registre ==========
ABSENT TCPIP:
========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\ProgramData\Trymedia
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
End of clean in 00mn 00s
Bonsoir,
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
Re,
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Folder:: C:\ProgramData\Trymedia File:: C:\ProgramData\regid.1986-12.com.adobe Registry:: [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems] [-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Trymedia Systems]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
Re,
tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.
On va voir si CF nous a débarrassé de Trymedia.
tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.
On va voir si CF nous a débarrassé de Trymedia.
Re,
tu relances ZHPFix avec ces lignes :
Poste le rapport dans ta réponse (pas besoin de lien).
===
Encore des soucis ?
tu relances ZHPFix avec ces lignes :
[MD5.00000000000000000000000000000000] [APT] [{495E97B2-6609-4D55-88D3-B9345E767C02}] (...) -- C:\Users\ASUS\Desktop\VirtualDub-1.9.11\auxsetup.exe (.not file.)
O43 - CFD: 06/01/2012 - 17:58:50 - [0] ----D- C:\ProgramData\regid.1986-12.com.adobe
O52 - TDSD: \Drivers32\"vidc.tscc"="C:\Windows\SysWOW64\tsccvid64.dll" . (...) -- (.not file.)
O52 - TDSD: \drivers.desc\"tsccvid64.dll"="TechSmith Screen Capture Codec (64-bit)" . (.TechSmith Corporation - TechSmith Screen Capture Codec.) -- (.not file.)
SS - | Demand 0 | (X6va005) . (...) - C:\Users\ASUS\AppData\Local\Temp\005DF8.tmp
EmptyTemp
Poste le rapport dans ta réponse (pas besoin de lien).
===
Encore des soucis ?
ZHP Diag:
https://pastebin.com/P6hMttiy
ZHP FIX:
https://pastebin.com/7viLZ1EL
Je crois que tous est bon :) merci !
https://pastebin.com/P6hMttiy
ZHP FIX:
https://pastebin.com/7viLZ1EL
Je crois que tous est bon :) merci !
Re,
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===
Encore des soucis (bis) ?
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver:: X6va005 File:: c:\users\ASUS\AppData\Local\Temp\005DF8.tmp
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===
Encore des soucis (bis) ?
Re,
on nettoie les outils.
Fais ceci :
Démarrer, Exécuter, tape
Ensuite,
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
on nettoie les outils.
Fais ceci :
Démarrer, Exécuter, tape
combofix /uninstalldans la zone de saisie puis clique sur OK.
Ensuite,
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
Re,
tu as toujours des problèmes avec Antivir ?
tu as toujours des problèmes avec Antivir ?
Re,
oups, j'ai confondu avec un autre topic.
Kaspersky est un très bon choix.
Quelques conseils pour minimiser les risques de te réinfecter :
https://www.malekal.com/proteger-pc-virus-pirates/?t=381&start=
oups, j'ai confondu avec un autre topic.
Kaspersky est un très bon choix.
Quelques conseils pour minimiser les risques de te réinfecter :
https://www.malekal.com/proteger-pc-virus-pirates/?t=381&start=
