rapport ZHPdiag (virus....)

Question

Bonjour,  


je suspecte la presence de virus sur mon pc, j'ai deja effectué plusieurs scans avec differents logiciels comme mawarebytes, housecalllauncher, trojan remover qui m'ont effectivement trouvé des infections que j'ai pu eliminer sans probleme, depuis le pc reagit mieux mais malgré ceci je pense encore avoir d'autres salopperies qui n'ont pas été detectés par les logiciels citées plus haut, donc j'ai fait un scan avec ZHPdiag qui m'a généré un rapport que je poste ici en esperant que qqn puisse me dire si le rapport est clean ou bien s'il existe des infections et si oui comment faire pour m'en debarrasser. 

voici le rapport de ZHPdiag : http://cjoint.com/12jn/BFbqUuhsuna.htm

merci d'avance. 


Configuration: Windows XP / Firefox 3.6.28

Destrio5 · Answer

Bonjour,

Plusieurs infections différentes.

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

mehdispecialone · Answer

merci de ta reponse.

voici le rapport de AqwCleaner :

http://www.cjoint.com/confirm.php?cjoint=BFbrCwT8xfT

Destrio5 · Answer

C'est quoi ce rapport ZHPFix ?

Qui t'a demandé de faire cela ?

mehdispecialone · Answer

désolé j'ai posté le mauvais rapport, 

voici le rapport de AdwCleaner : 

http://cjoint.com/12jn/BFbrS36PDS5.htm

Destrio5 · Answer

--> Relance AdwCleaner et choisis "Désinstallation".

--> Fais un scan avec RogueKiller et poste le rapport :
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller

mehdispecialone · Answer

voici le rapport de RogueKiller :

http://cjoint.com/12jn/BFbsfMsPtjb.htm

Destrio5 · Answer

--> Relance RogueKiller, utilise l'option "Suppression" et poste le rapport.

mehdispecialone · Answer

http://cjoint.com/12jn/BFbsnyClon4.htm

Destrio5 · Answer

Le PC fonctionne mieux ?

Je voudrais un nouveau rapport ZHPDiag.

mehdispecialone · Answer

http://cjoint.com/12jn/BFbsFHTfU04.htm

Destrio5 · Answer

Et pour ma question ?

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
M2 - MFEP: prefs.js [Zineb - w8bsyoru.default\{364d4e0c-543f-4b85-abe3-19551139da4f}] [] Softonic_France Toolbar v2.7.1.3 (.Conduit Ltd..)   
M2 - MFEP: prefs.js [Zineb - w8bsyoru.default\{3796e649-4334-4cbf-89d3-a927554ad438}] [] PC Gear EN Generic Community Toolbar v3.8.1.0 (.Conduit Ltd..)      
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Clé orpheline 
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline    
O4 - HKUS\S-1-5-20\..\Run: [provmgraudit.exe] C:\Program Files\provmgraudit.exe (.not file.)  
O4 - HKCU\..\Run: [ISUSPM] C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe (.not file.)   
O4 - HKUS\S-1-5-21-527237240-1935655697-1417001333-1003\..\Run: [ISUSPM] C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe (.not file.) 
O23 - Service: AMService (AMService) . (...) - C:\WINDOWS\TEMP\ikij\setup.exe (.not file.)    
[HKCU\Software\Safer Networking Limited]  
[HKLM\Software\Dlnkfxxz]
[HKLM\Software\Safer Networking Limited] 
O43 - CFD: 25/04/2011 - 07:53:11 - [3,272] ----D C:\Program Files\Spybot - Search & Destroy   
O47 - AAKE:Key Export SP - "C:\Program Files\P2Pcontrol\winrun.exe" [Enabled] .(...) -- C:\Program Files\P2Pcontrol\winrun.exe (.not file.)  
O47 - AAKE:Key Export SP - "C:\WINDOWS\Temp\ms0cfg32.exe" [Enabled] .(...) -- C:\WINDOWS\Temp\ms0cfg32.exe (.not file.) 
O47 - AAKE:Key Export DP - "C:\WINDOWS\Temp\ms0cfg32.exe" [Enabled] .(...) -- C:\WINDOWS\Temp\ms0cfg32.exe (.not file.)    
O53 - SMSR:HKLM\...\startupreg\bipro  [Key] . (...) -- rundll32 "C:\WINDOWS\$XNTUninstall643$\mbdwt.dll (.not file.) 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[MD5.7361337B9439D4342D2E3E8BFC658B6C] [SPRF][03/05/2011] (...) -- C:\Documents and Settings\All Users\Application Data\5WoKx0ow.dat   [112] 
SS - | Auto  0 |  (AMService) . (...) - C:\WINDOWS\TEMP\ikij\setup.exe   
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]
[HKLM\SYSTEM\CurrentControlSet\Services\AMService]    
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]    => Infection PUP (Spyware.Soft2PC)  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C348BB9A-995C-404A-8185-76325B4BED9F}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C348BB9A-995C-404A-8185-76325B4BED9F}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F96A7C1E-38CA-4F0A-9D2D-A42C226BCDC8}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F96A7C1E-38CA-4F0A-9D2D-A42C226BCDC8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]    
C:\Program Files\Hotspot Shield
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

mehdispecialone · Answer

je te remercie pour toute l'attention que tu portes à la resolution de  mon probleme. 

alors pour repondre a ta question, oui je sens une legere difference au demarrage, celui ci demarre un peu plus rapidement. 

voici le rapport de ZHPFix : 

http://cjoint.com/12jn/BFbtPpmEVEM.htm

voici le rapport de ZHPExportRegistry :

http://cjoint.com/12jn/BFbtYK69uAl.htm

Destrio5 · Answer

"O42 - Logiciel: avast! Internet Security v6.0.1000.0"

--> Installe la version 7 :
https://www.01net.com/operations/avast/telecharger/

Je voudrais un nouveau rapport ZHPDiag.

mehdispecialone · Answer

pourquoi faut il que j'installe la version 7? la version 6 d'avast internet security est deja largement suffisante, non ? en fait ma soeur avait desactivé Avast parce qu'elle ne voulait plus recevoir les messages d'alertes de mises a jours et c'est ce qui a fait qu'elle a attrapé des salopperie mais depuis je le lui ai activé de nouveau et tout se passe bien, sauf un message qu'elle reçoit lors de la mise a jour lui disant que sa version d'avast est illegale et qu'elle va devoir acheter une version legale, et je dois dire que c'est assez chiant de recevoir ce message plusieurs fois par jour, donc tu ne saurais pas comment ne plus recevoir ce message d'erreur ?

voici le rapport de ZHPdiag : http://cjoint.com/12jn/BFcnHnKI35U.htm

Destrio5 · Answer

Désinstalle avast! Internet Security 6 illégal et installe avast! Free Antivirus 7 à la place.

Mets à jour Adobe Reader et Java aussi.

https://get2.adobe.com/fr/reader/otherversions/ (décoche McAfee Security Scan Plus)

https://www.java.com/fr/download/

mehdispecialone · Answer

j'ai installé avast internet security 7 et je n'ai plus le message me disant que la version est illegale.

par contre mnt j'ai remarqué que certaines applications s'ouvrent tres lentement
elles mettent entre 30s et 1 min pour s'ouvrir et c'est tres chiant.

cela pourrait-il etre a cause d'autres infections qui seraint encore presentes sur mon pc ?

tu as vu le dernier rapport de ZHPdiag ? est il clean ?

Destrio5 · Answer

Je ne pense plus que la lenteur vienne d'une infection.

Désinstalle Trojan Remover.

Peut-être que la suite de sécurité d'Avast est trop gourmande pour ton PC.

mehdispecialone · Answer

j'ai repéré des lignes suspectes dans le dernier rapport de ZHPdiag, je voudrais ton avis avant de les supprimer O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] C:\WINDOWS\system32 scupgrd.exe (.not file.) O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] C:\WINDOWS\system32 scupgrd.exe (.not file.) O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) . (...) - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (.not file.) O47 - AAKE:Key Export SP - "C:\Program Files\IP Hider\IP Hider.exe" [Disabled] .(...) -- C:\Program Files\IP Hider\IP Hider.exe (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\procexp90.Sys . (...) -- C:\WINDOWS\system32\Drivers\procexp90.Sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sermouse.sys . (...) -- C:\WINDOWS\system32\Drivers\sermouse.sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vgasave.sys . (...) -- C:\WINDOWS\system32\Drivers\vgasave.sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Network m.sys . (...) -- C:\WINDOWS\system32\Drivers m.sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\procexp90.Sys . (...) -- C:\WINDOWS\system32\Drivers\procexp90.Sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Network dpdd.sys . (...) -- C:\WINDOWS\system32\Drivers dpdd.sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sermouse.sys . (...) -- C:\WINDOWS\system32\Drivers\sermouse.sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vgasave.sys . (...) -- C:\WINDOWS\system32\Drivers\vgasave.sys (.not file.) O51 - MPSK:{b07d04cf-117f-11df-a441-f735c597b08e}\AutoRun\command. (...) -- F:\setupSNK.exe (.not file.) O51 - MPSK:{e78a1448-56b3-11df-a49e-806d6172696f}\AutoRun\command. (...) -- F:\NokiaPCIA_Autorun.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\Program Files\Mozilla Firefox\uninstall\helper.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\Program Files\Google\Chrome\Application\chrome.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Program Files\Mozilla Firefox\uninstall\helper.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Program Files\Google\Chrome\Application\chrome.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\WINDOWS\system32\ie4uinit.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\WINDOWS\system32\ie4uinit.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Program Files\Mozilla Firefox\uninstall\helper.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Program Files\Google\Chrome\Application\chrome.exe (.not file.) O68 - StartMenuInternet: [HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\WINDOWS\system32\ie4uinit.exe (.not file.) et sinon j'ai lancé un scan complet avec avast 7 et il m'a déja trouvé 17 infections, j'attends que le sacn s'acheve avant de les supprimer. donc je pense que la lenteur vient forcement d'autres infections encore presentes.

Destrio5 · Answer

Ok, j'attends le rapport du scan d'Avast.

mehdispecialone · Answer

et sinon est ce que les lignes que j'ai citées plus haut sont suspectes ? dois je les supprimer ?

mehdispecialone · Answer

j'ai maladroitement supprimé 14 des 17 virus apres les avoir mis en quarantaine, voici les 3 infections qu'il a trouvé et que j'ai mises en quarantaine sans les avoir suppriméés.

http://img15.hostingpics.net/pics/146025Capture01.jpg

sinon concernant ma question ?

Destrio5 · Answer

Certaines de ces lignes sont inutiles.

Pour Avast, va dans Lancer un scan > Rapports de scans et tu y trouveras peut-être ce qu'on cherche.

mehdispecialone · Answer

que veux tu dire par "tu y trouveras peut etre ce qu'on cherche" ?

et sinon concernant ces lignes inutiles, dois je les supprimer ?

Destrio5 · Answer

Les noms et emplacements des fichiers supprimés par Avast.

mehdispecialone · Answer

oui je les ai trouvés, tu veux que je te fasse un screenshot des infections ? 

et sinon ta pas repondu,les lignes que j'ai postées et qui sont selon tes dire inutiles, dois je les supprimer ?

Destrio5 · Answer

"oui je les ai trouvés, tu veux que je fasse un screenshot des infections ?"

--> Oui.

"et sinon ta pas repondu,les lignes que j'ai postées et qui sont selon tes dire inutiles, dois je les supprimer ?"

--> Je n'en suis pas sûr mais elles ne sont pas gênantes.

mehdispecialone · Answer

voici le screenshot : http://img15.hostingpics.net/pics/434330Capture03.jpg

dis moi tu pourrais me dire comment tu arrives a reperer quelles lignes sont suspectes et infectées dans un rapport ZHPdiag ? j'aimerais apprendre a analyser moi meme le rapport ZHPdiag et le comprendre pour detecter quelles lignes je dois supprimer , donc si tu pouvais me dire comment faire pour comprendre le rapport, ce serait sympa, merci.

Destrio5 · Answer

Tu as cet outil pour analyser les rapports ZHPDiag :
https://www.zebulon.fr/telechargements/securite/systeme/zeb-help-process.html

Il ne faut pas se fier qu'à lui.

Au vue des rapports, j'ai bien envie de te faire passer ComboFix. Il faudrait un autre avis d'un helper.

mehdispecialone · Answer

de quels rapports tu veux parler ?

tu as vu le dernier rapport de ZHPdiag que j'ai posté ? est il clean ou est ce qu'il contient d'autres infections ?

juju666 · Answer

Salut :)

Suite à la demande de Destrio5 je viens donner mon avis aussi ;)
J'aurais envoyé combofix d'emblée car il traite pas mal d'infections qui ont été dégagées par plusieurs outils en lisant le sujet, mais il n'est jamais trop tard et je suis convaincu qu'il fera du bien au PC :)

Par contre, j'ai l'impression que vous pratiquez du streaming au vu des détections d'Avast! dans le cache Java .... 
Et à mon avis que tout ce que vous avez chopé sur l'ordi vient de là donc il faudrait arrêter momentanément ces pratiques (durant la désinfection du moins) afin d'éviter les réinfections ... ça simplifierai le travail de Destrio5 ;)

A+

mehdispecialone · Answer

salut juju666,

merci de ton inervention alors pour te repondre, en fait le pc n'est pas a moi, mais celui a qui il appartient, a en effet la facheuse habitude d'aller sur des sites de streaming.

je viens d'effectuer un scan avec Combofix et je n'ai pas vraiment l'impression que le pc est plus rapide avant le scan, mais il reagit deja tres bien apres avoir eliminé les infections trouvées par avast et ZHPdiag.

voici le rapport de combofix en esperant que qqn puisse l'examiner pour me dire s'il contient encore des infections.

http://cjoint.com/12jn/BFdqOFA8Xko.htm

Destrio5 · Answer

/!\ Seul mehdispecialone peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

Driver::
ememeaal

NetSvc::
qusqbjzn

File::
c:\documents and settings\Zineb\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk   
c:\windows\pss\Antimalware Doctor.lnkStartup 
c:\windows\system32\drivers\ememeaal.sys 

Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Zineb^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]    






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.lavasoftsupport.com/uploads/monthly_01_2009/post-65-1231535972.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C.\ComboFix\ComboFix.txt

mehdispecialone · Answer

voici le nouveau rapport combofix :

http://cjoint.com/12jn/BFdrsV6gDGZ.htm

juju666 · Answer

@Destrio5 :

La clé bootexecute est modifiée :

BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt\0OODBS      

+ tous les ports ouverts

Destrio5 · Answer

Pour ça, je te laisse faire ^^

mehdispecialone · Answer

bon alors est ce qu'il reste encore des infections dans le raport combofix ?

juju666 · Answer

Commence par réparer ta clé BootExecute:

Ouvre l'explorateur registre ( Démarrer -> Exécuter ->  tape RegEdit.exe et appuie sur ENTER)

Navigue jusque cette clé dans la partie gauche :

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\Session Manager

Dans le volet de droite tu dois voir la valeur BootExecute. Tu fais clic droit -> modifier sur celle ci et tu supprime ce qu'il y a après : autocheck autochk *

Puis tu appuie sur OK et tu peux fermer le registre.

Redémarre le pc, refais un combofix pour voir :)

mehdispecialone · Answer

merci de ton aide juju,

j'ai corrigé la clé de registre infectée. redemarré le pc puis lancé de nouveau combofix,

voici le rapport combofix : http://cjoint.com/12jn/BFduEJH6yCo.htm

y a t-il encore des infections ?

juju666 · Answer

refais un script avec ça :

KillAll::

RegLock::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

Registry::
[HKEY_LOCAL_MAHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"45701:TCP"=-
"25734:TCP"=-
"32902:TCP"=-
"35460:TCP"=-
"34438:TCP"=-
"30084:TCP"=-
"57218:TCP"=-
"19670:TCP"=-
"46545:TCP"=-
"6361:TCP"=-
"1491:TCP"=-
"48853:TCP"=-
"31698:TCP"=-
"60118:TCP"=-
"54481:TCP"=-
"51665:TCP"=-
"22480:TCP"=-
"39121:TCP"=-
"46033:TCP"=-
"48081:TCP"=-
"52694:TCP"=-
"29655:TCP"=-
"13265:TCP"=-
"52688:TCP"=-
"27088:TCP"=-

mehdispecialone · Answer

http://cjoint.com/12jn/BFdveOlEkBp.htm

juju666 · Answer

bizarre t'as bien fait le cfscript ? y'a rien de changé

mehdispecialone · Answer

tu veux dire par CFScript , "ouvrir le bloc note puis coller les lignes que tu m'as postées puis enregistrer le fichier sous CFScript  puis glisser le fichier CFScript  dans combofix.exe" ?    

si c'est ce que tu veux dire, je l'ai bien fait. 

d'ailleurs, il est ecrit en haut du rapport "Commutateurs utilisés :: c:\documents and settings\Zineb\Bureau\CFScript.txt" donc ca doit bien etre le fichier CFscript.

juju666 · Answer

ben oui je sais lire mais t'as vraiment mis que mes lignes en gras ? 
en général quand ça ne fonctionne pas c'est parce qu'il y a des choses en plus qui n'ont rien à faire là ...

bref c'est pas tellement important en fin de compte ...

mehdispecialone · Answer

bein oui je pense, je vais refaire le cfscript pour en etre sur.  
mais c'est bien la methode que j'ai indiqué juste au dessus qu'il faut appliquer ?  

et sinon pourquoi tu dis que ce n'est pas important en fin de compte ? tu veux dire que les lignes citées plus haut ne sont pas considérées comme des infections ? 

voici le rapport : http://cjoint.com/12jn/BFen5uR5KfI.htm 
j'ai collé exactement que tes lignes dans le bloc notes.

juju666 · Answer

Bizarre ^^

Merci G-H :)

En fait j'ai essayé de virer les ports ouverts, ces ports peuvent permettre à des malwares de communiquer avec le web pour envoyer des trucs ou en télécharger ...

et une clé "locked" que je voulais "unlock" pour faire propre mais bon ça appartient à OODefrag et jme demande si la clé bootexecute (celle qu'on a remis à sa valeur d'origine) n'avait justement pas été modifié par OODefrag ^^ 
mais t'façon "ça sert à rien" les défragmenteurs : https://forum.malekal.com/viewtopic.php?t=26069&start=

@gros helpeur :
à ton avis on ferme les ports avec OTx ? pourquoi combo il y arrive pas ? j'crois que si les ports se réouvre c'est qu'autre chose derrière les réouvre après combo nan ?

g3n-h@ckm@n · Answer

non combofix ne fait pas grand chose dans le registre....en script sur des clés simples comme ca :)

ca m'est arrivé plein de fois qu il fasse pas ce que je lui demande en script dans le registre....

mehdispecialone · Answer

j'ai publié le rapport juste apres ton dernier post, alors i y a du changement ?

juju666 · Answer

pouarf c'est un noob alors combofix ! MDR :)

_________________________________________________

@mehdispecialone :

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

mehdispecialone · Answer

rapport OLT.txt : http://cjoint.com/12jn/BFepbeKiKri.htm

rapport extra.txt : http://cjoint.com/12jn/BFepc3bCTMG.htm

juju666 · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}  
IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
CHR - default_search_provider: Search Results (Enabled)      
CHR - default_search_provider: search_url = http://www1.search-results.com/web?l=dis&q=&o=APN10645&apn_dtid=%5EBND406%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG6&d=406-113&lang=en&atb=sysid%3D406%3Aappid%3D113%3Auid%3D611e7d30d0300491%3Asrc%3Dcrb%3Ao%3DAPN10645%3Atg%3D&p2=%5EAG6%5EBND406%5EYY%5EFR{searchTerms}      

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"45701:TCP"=-
"25734:TCP"=-
"32902:TCP"=-
"35460:TCP"=-
"34438:TCP"=-
"30084:TCP"=-
"57218:TCP"=-
"19670:TCP"=-
"46545:TCP"=-
"6361:TCP"=-
"1491:TCP"=-
"48853:TCP"=-
"31698:TCP"=-
"60118:TCP"=-
"54481:TCP"=-
"51665:TCP"=-
"22480:TCP"=-
"39121:TCP"=-
"46033:TCP"=-
"48081:TCP"=-
"52694:TCP"=-
"29655:TCP"=-
"13265:TCP"=-
"52688:TCP"=-
"27088:TCP"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]  
"45701:TCP"=-
"25734:TCP"=-
"32902:TCP"=-
"35460:TCP"=-
"34438:TCP"=-
"30084:TCP"=-
"57218:TCP"=-
"19670:TCP"=-
"46545:TCP"=-
"6361:TCP"=-
"1491:TCP"=-
"48853:TCP"=-
"31698:TCP"=-
"60118:TCP"=-
"54481:TCP"=-
"51665:TCP"=-
"22480:TCP"=-
"39121:TCP"=-
"46033:TCP"=-
"48081:TCP"=-
"52694:TCP"=-
"29655:TCP"=-
"13265:TCP"=-
"52688:TCP"=-
"27088:TCP"=- 

:commands
[EMPTYTEMP]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

mehdispecialone · Answer

voici le rapport : http://cjoint.com/12jn/BFepKD2Dj2R.htm

juju666 · Answer

Bon ben je crois qu'on a fait le tour.


Quels soucis perdurent ? 

J'ai vu par contre qu'OTL n'a rien pu faire pour chrome, y'a toujours des trucs qui pourraient merder avec quoi.
Si tu ne l'utilise pas je te conseille carrément de le désinstaller...

mehdispecialone · Answer

merci beaucoup, mon pc reagit beaucoup mieux.
ok, je vais desinstaller chrome puisque le proprio du pc ne l'utilise jamais.

sinon il y a 2 malwares qui n'ont pas pu etre corrigées pae ZHPfix.
les voici :

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)

Malware (2)

comment je pourrais m'en debarrasser ?

juju666 · Answer

Zeb Help Process dit parfois des conneries.

Fais tourner ça tu verras qu'il n'y a plus de tdss.tdl4 :

https://support.kaspersky.com/fr/14421

mehdispecialone · Answer

je viens de lancer tdsskiller et il ne m'a rien trouvé de suspect.
donc les 2 malwares seraient des faux positifs ?

juju666 · Answer

nan, juste une trace que laisse tous les outils quand ils suppriment le tdl4 \o/

tu peux les coller dans ZHPFix et cliquer sur GO

mehdispecialone · Answer

"tu peux les coller dans ZHPFix et cliquer sur GO" 

=> c'est ce que j'ai fait mais j'ai remarqué que les lignes etaient toujours presentes lors d'une nouvelle anlyse avec Zeb help process. 

sinon qu'est ce que le tdl4 ?

juju666 · Answer

https://forum.malekal.com/viewtopic.php?t=29496&start=

j'vais dire à nicolas de passer voir je pense qu'il s'agit d'un bug de zhpdiag

mehdispecialone · Answer

ok merci,

sinon tu pourrais me dire comment faire pour analyser les rapports de combofix, OTL et extras, j'aimerais apprendre a analyser ces rapports pour reperer moi meme les lignes suspectes pour les corriger juste apres.

pour analyser le rapport de ZHPdiag , il ya Zeb Help process qui permet de reperer les lingnes suspectes pour te permettre apres de les corriger grace a ZHPfix, mais pour les autres rapports comment faire pour les analyser, existe t-il des logiciels pour le faire?

juju666 · Answer

bah juste un conseil te fie pas à 100% à zeb help process, comme tout logiciel, il peut faire erreur.

tu peux mettre n'importe quel rapport dans ZHP il coloriera les lignes mais encore une fois : pas le croire à tous les coups.

sinon y'a des "écoles" en ligne qui proposent des formations

mehdispecialone · Answer

il y a juste combofix que j'ai pu analyser avec ZHP, il n'a pu analyser les rapports OTL et Extras, au moment ou je veux ouvrir le rapport, il me sort des schiffres incomprehensibles.

sinon toi comment tu fais pour analyser les differents rapports, tu utilises des logicels pour le faire ou bien tu arrives a reperer les lignes suspectes grace a ta propre experience ?

juju666 · Answer

parce que tu sais pas t'y prendre pour les rapports OTL :D

mehdispecialone · Answer

et comment faut s'y prendre pour les rapports OTL ?

juju666 · Answer

copier/coller dans le cadre en haut. ^^

mehdispecialone · Answer

de quel cadre tu veux parler ?

voici un screenshot de ZHP : http://img15.hostingpics.net/pics/731040Capture01.jpg

tu peux me dire de quel cadre il s'agit ?

juju666 · Answer

celui au dessus où apparait le rapport non colorié

mehdispecialone · Answer

désolé mais je ne vois tjrs pas,

voici le screenshot : http://img15.hostingpics.net/pics/401450Capture03.jpg

est ce que c'est l'un des 2 cadres entourés en rouge ? si oui c'est lequel des deux?

si ce n'est aucun des deux tu peux me dire quel est celui dont tu parles ? tu pourrais me l'entourer comme je l'ai fait ?

merci.

juju666 · Answer

meuh non x)

https://dl.dropbox.com/u/22950063/Forum/CCM/noob.png

g3n-h@ckm@n · Answer

sinon tu cliques là et y a tout qui se colle ^^

https://www.cjoint.com/?BFesmy0s9ao

mehdispecialone · Answer

ok merci ;), ca marche.

sinon j'attends tjrs confirmation concernant les 2 malwares pour savoir si c'est vraiment des infections.

juju666 · Answer

je t'ai prouvé par A+B que non.

mehdispecialone · Answer

oui je te crois mais ce n'est pas toi qui m'a dit que tu devais consulter nicolas pour voir avec lui si c'etait un bug ?

je te cite "j'vais dire à nicolas de passer voir je pense qu'il s'agit d'un bug de zhpdiag "

juju666 · Answer

ouvre ton bloc note colle ça dedans :


Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-

Fichier -> Enregistrer sous -> "test.reg" (avec les guillemets)
ensuite tu exécute ce fichier et tu accepte la fusion.

redémarre le pc refais un zhpdiag voir si les 2 clés svchost.exe sont encore là.

mehdispecialone · Answer

merci juju, les clés ne sont plus presentes lors du scan avec ZHP.
un grand merci a toi ainsi qu'a Destrio5, vous m'avez été d'une grande aide et merci d'avoir pris de votre temps pour m'aider a supprimer toutes les infections présentes sur mon pc.
je peux dire mnt que mon pc est propre, débarassé de toutes les salopperies attrapées sur je ne sais quels sites.
et sinon avant de mettre résolu dans le titre, comment savoir si les ports dans le rapports sont ouverts ou pas ? coment reconnaitre ceux qui sont ouverts de ceux qui ne le sont pas ?
merci encore.

g3n-h@ckm@n · Answer

salut pour avancer :

juju voudrait voir un nouveau zhpdiag

redémarre le pc refais un zhpdiag voir si les 2 clés svchost.exe sont encore là.

Rapport ZHPdiag (virus....)

75 réponses

Votre réponse

Discussions similaires

Newsletters