Rapport ZHPDiag suite à infection trojan

Résolu
Cralennon Messages postés 10 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
J'ai été infecté par un trojan. Depuis j'ai utilisé Malwarebytes et mon antivirus (MS Security) et j'ai aussi fait une restauration système à une date antérieure aux jours où je soupçonne le PC avoir été victime de l'infection. J'ai aussi été infecté par un rogue il y a quelques mois.
Avoir de pouvoir recommencer à me rendre depuis ce PC sur des sites sensibles (e-mail, facebook, banque en ligne,...), j'aimerais faire vérifier le PC pour savoir dans quel état il est.

J'ai préparé un rapport ZHPDiag consultable à l'adresse suivante :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120728_l11m7n10u11s6

Merci beaucoup pour votre aide.

14 réponses

  1. Utilisateur anonyme
     
    bonjour,

    désiçnstalle les anciennes versions de java de ton pc,

    installe la dernière evrsion de java, firefox et Adobe reader depuis leurs sites dédiés :D

    * Rends-toi sur cette page :
    https://www.virustotal.com/gui/
    * Clique sur "Choose File"
    * Vas sur ton disque chercher ce fichier à cet emplacement :

    C:\Windows\System32\CScript.exe

    un rapport va s'élaborer ligne à ligne
    attends un peu, il doit comprendre la taille du fichier envoyé
    une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

    * Lance ZHPFix via le raccourci sur ton Bureau

    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
    ---------------------------------------------------------

    O51 - MPSK:{0f333217-1ecc-11e1-a61f-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{0f33321a-1ecc-11e1-a61f-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{0f33321e-1ecc-11e1-a61f-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{20f3bf2f-195a-11df-8bae-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{619d2475-2f6e-11df-90f7-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{8bdd4ff1-feeb-11de-ad5e-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{8bdd4ff5-feeb-11de-ad5e-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{90ce7bf7-4b51-11e0-b3f1-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{a12ef9ef-f8ab-11de-8e1d-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{aef81efc-4383-11e0-9773-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{b529589c-1a22-11df-8b25-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{b52958a2-1a22-11df-8b25-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{ec3fe3a2-3ce2-11e0-909e-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{ec3fe3ad-3ce2-11e0-909e-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    O51 - MPSK:{f2196342-42a2-11e0-9d82-0026185d8fd3}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
    P2 - FPN: [HKLM] [@microsoft.com/VirtualEarth3D,version=4.0] - (...) -- (.not file.)
    O4 - Global Startup: C:\Users\Mon_nom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\TV-Browser.lnk . (...) -- C:\Program Files\TV-Browser\tvbrowser.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{918E8289-021B-4C91-A0AB-0920D31586D7}] (...) -- c:\program files\mozilla firefox\firefox.exe;disabledégoogle-chrome:notoffered;disabled (.not file.) [MD5.00000000000000000000000000000000] [APT] [{C8B51A4D-B317-4C7E-926E-E001E4B81438}] (...) -- C:\Users\Mon_nom\Downloads\mp3DC211.exe (.not file.)
    O53 - SMSR:HKLM\...\startupreg\SpybotSD TeaTimer [Key] . (...) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (.not file.)
    O42 - Logiciel: Norton Internet Security - (.Symantec Corporation.) [HKLM] -- {7B15D70E-9449-4CFB-B9BC-798465B2BD5C}
    [HKCU\Software\ESET]
    [HKLM\Software\Eset]
    [MD5.00000000000000000000000000000000] [APT] [{C6DA4F17-8832-4D56-AEA7-805AF781BB8D}] (...) -- C:\Program Files\Avira\AntiVir Desktop\setup.exe (.not file.)
    O43 - CFD: 20/03/2012 - 03:06:19 - [139,678] ----D C:\Program Files\ESET
    O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Search) - https://mystart.incredibar.com/
    R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://ww12.cherche.us
    O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}] =>Hijacker.ChercheUS
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (...) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (.not file.)
    Emptytemp
    Emptyflash


    ----------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :

    http://www.premiumorange.com/zeb-help-process/zhpfix.html
    0
  2. Cralennon Messages postés 10 Statut Membre
     
    Bonsoir,

    D'abord le lien du rapport virus total :
    https://www.virustotal.com/gui/file/bd7b57a9303f0156e0737e9768a70f841b222a3e07e1426ecccfffdf2737bfe9

    Et voici le rapport ZHPFix suite à l'action de nettoyage (je n'ai pas encore redémarré depuis ce nettoyage) :

    Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-07-2012-21-15-11.txt
    Run by Ronan at 28/07/2012 21:14:56
    Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Logiciel(s) ==========
    SUPPRIME Norton Internet Security

    ========== Clé(s) du Registre ==========
    ABSENT CLSID MPSK: {0f333217-1ecc-11e1-a61f-0026185d8fd3}
    ABSENT CLSID MPSK: {0f33321a-1ecc-11e1-a61f-0026185d8fd3}
    ABSENT CLSID MPSK: {0f33321e-1ecc-11e1-a61f-0026185d8fd3}
    ABSENT CLSID MPSK: {20f3bf2f-195a-11df-8bae-0026185d8fd3}
    ABSENT CLSID MPSK: {619d2475-2f6e-11df-90f7-0026185d8fd3}
    ABSENT CLSID MPSK: {8bdd4ff1-feeb-11de-ad5e-0026185d8fd3}
    ABSENT CLSID MPSK: {8bdd4ff5-feeb-11de-ad5e-0026185d8fd3}
    ABSENT CLSID MPSK: {90ce7bf7-4b51-11e0-b3f1-0026185d8fd3}
    ABSENT CLSID MPSK: {a12ef9ef-f8ab-11de-8e1d-0026185d8fd3}
    ABSENT CLSID MPSK: {aef81efc-4383-11e0-9773-0026185d8fd3}
    ABSENT CLSID MPSK: {b529589c-1a22-11df-8b25-0026185d8fd3}
    ABSENT CLSID MPSK: {b52958a2-1a22-11df-8b25-0026185d8fd3}
    ABSENT CLSID MPSK: {ec3fe3a2-3ce2-11e0-909e-0026185d8fd3}
    ABSENT CLSID MPSK: {ec3fe3ad-3ce2-11e0-909e-0026185d8fd3}
    ABSENT CLSID MPSK: {f2196342-42a2-11e0-9d82-0026185d8fd3}
    SUPPRIME Key: Mozilla Plugin: @microsoft.com/VirtualEarth3D,version=4.0
    SUPPRIME Key: StartupReg: SpybotSD TeaTimer
    ABSENT Key: HKCU\Software\ESET
    SUPPRIME Key: HKLM\Software\Eset
    ABSENT SearchScopes :{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
    ABSENT SearchScopes :{557C21FE-7274-410D-853E-9ED4471BF193}
    ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
    SUPPRIME Key: StartupReg: Adobe Reader Speed Launcher

    ========== Valeur(s) du Registre ==========
    ABSENT RunValue: QuickTime Task

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL

    ========== Dossier(s) ==========
    SUPPRIME Reboot Folder**: C:\Program Files\ESET
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Fichier(s) ==========
    ABSENT File: c:\users\mon_nom\appdata\roaming\microsoft\internet explorer\quick launch\tv-browser.lnk
    ABSENT File: c:\program files\tv-browser\tvbrowser.exe
    ABSENT File: c:\program files\spybot - search & destroy\teatimer.exe
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Tache planifiée ==========
    SUPPRIME Task: {918E8289-021B-4C91-A0AB-0920D31586D7}
    SUPPRIME Task: {C6DA4F17-8832-4D56-AEA7-805AF781BB8D}

    ========== Récapitulatif ==========
    23 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    3 : Dossier(s)
    5 : Fichier(s)
    1 : Logiciel(s)
    2 : Tache planifiée

    End of clean in 00mn 14s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 28/07/2012 11:36:06 [531]
    C:\ZHP\ZHPFix[R2].txt - 28/07/2012 20:14:30 [3065]
    C:\ZHP\ZHPFix[R3].txt - 28/07/2012 21:14:56 [3064]
    0
  3. Utilisateur anonyme
     
    ok,

    redémarre le pc pour voir ou s'en est :D

    est ce qu'il fonctionne normalement ou pas ?

    tiens moi au just :P

    0
  4. Cralennon Messages postés 10 Statut Membre
     
    J'ai redémarré. J'ai l'impression que tout fonctionne normalement.

    Merci beaucoup!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    ce n'est pas tout à fait términé :

    * pour supprimer les outils de désinfection
    :

    Télecharge Delfix sur ton bureau :

    ICI

    ou

    *Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
    **Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

    . télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    .double-cliques sur le fichier pour lancer l'installation

    /!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante !

    /!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur suivant
    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur installer
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    .coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .cliques maintenant sur registre et puis sur rechercher les erreurs
    .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et fermer tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner

    tuto installation & nettoyage :
    https://www.donnemoilinfo.com/tuto/CCleaner/

    * Supprimer les anciens points de restauration système après désinfection :

    Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

    Pour Windows 7 :

    https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

    * fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

    0
  7. Cralennon Messages postés 10 Statut Membre
     
    ok;)

    J'ai fais comme indiqué pour Ccleaner et la restauration système. Le scan de l'antivirus est en cours.

    voici le rapport DelFix:

    # DelFix v8.9 - Rapport créé le 28/07/2012 à 22:20:55
    # Mis à jour le 27/07/12 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
    # Nom d'utilisateur : mon_nom - PC-DE-mon_nom (Administrateur)
    # Exécuté depuis : C:\Users\mon_nom\Downloads\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Users\mon_nom\Desktop\RK_Quarantine
    Supprimé : C:\Program Files\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Users\mon_nom\Desktop\HiJackThis.exe
    Supprimé : C:\Users\mon_nom\Desktop\hijackthis.log
    Supprimé : C:\Users\mon_nom\Desktop\RogueKiller.exe
    Supprimé : C:\Users\mon_nom\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimé : C:\Users\mon_nom\Downloads\esetsmartinstaller_fra.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autres ~~~~~~

    Désinstallé : ESET Online Scanner
    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1233 octets] - [28/07/2012 22:20:55]

    ########## EOF - C:\DelFix[S1].txt - [1357 octets] ##########
    0
  8. Utilisateur anonyme
     
    bonjour,

    que dit ton antivirus ?

    0
  9. Cralennon Messages postés 10 Statut Membre
     
    Bonjour,

    Mon antivirus (MS Security Essentials) n'a rien trouvé.

    J'espère qu'il n'y a plus rien.

    Merci
    0
  10. Utilisateur anonyme
     
    bonjour,

    crée un nouveau point de restauration sytsème, ça peut servire :D

    sur ce , bon surf ;-)

    0
  11. Cralennon Messages postés 10 Statut Membre
     
    ok, merci beaucoup!

    Au fait, est-ce si dangereux d'utiliser des add-on firefox comme Stealthy, Foxyproxy ou encore proxtube (pour contrer via des proxy des vidéos youtube inaccessibles dans certains pays) ? Je crains que mon infection venait peut-être de là...
    0
  12. Utilisateur anonyme
     
    je en connais pas les plugin ou add on de FF, mais ils ne sont pas tous bons :

    certains provoques de relentissement de navigateur

    d'autres carrement des redirections !!!

    méfiance avec ces plugin !!!

    0
  13. Cralennon Messages postés 10 Statut Membre
     
    ok et merci encore!
    0
  14. malikantoine82 Messages postés 950 Statut Membre 164
     
    telecharges NOD 32 et version d'essai et lance une analyse complete, si y a rien, desinstalles le ton PC est clean
    -3
    1. Cralennon Messages postés 10 Statut Membre
       
      NOD 32 n'a rien trouvé non plus.
      Tant mieux et merci!
      0