Rapport zhpdiag

Résolu
pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour,

Suite à des détections de virus par Antivir je demande de l'aide svp et je laisse

un rapport ZHPDIAG

https://www.cjoint.com/?BGEpzm9ZGpD

23 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut precise les detections d antivir ?
    0
  2. Utilisateur anonyme
     
    bonjour,

    * [*] Télécharger et enregistre RogueKiller sur le bureau
    https://www.luanagames.com/index.fr.html (by tigzy)

    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

    Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
    0
    1. g3n-h@ckm@n
       
      coucou ^^
      0
    2. Utilisateur anonyme
       
      yo GH, ça farte ?
      0
    3. g3n-h@ckm@n
       
      ca rootke ^^
      0
  3. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    bonjour gene hackman, bonjour Electricien 69

    Gene Hackman je ne peux pas obtenir le rapport antivir il est précisé:

    impossible de trouver le fichier...

    j'ai juste: dernier résultat positif EXP/2012-1723.AQ.1

    Electricien 69 j'ai essayé de télécharger Roguekiller mais ça m'envoie un

    virus Adware/Aware.gen7
    0
  4. Utilisateur anonyme
     
    roguekiller n'est pas un adware :P

    télécharge le :D

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    Voici le rapport:

    RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: eric [Droits d'admin]
    Mode: Recherche -- Date: 30/07/2012 16:00:25

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
    --- User ---
    [MBR] b56df88b34ffc684ac11a048271cd821
    [BSP] fbcf241dc6e7ad0a972e1c3de9547573 : Acer tatooed MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 469966 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 989960192 | Size: 470489 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  7. g3n-h@ckm@n
     
    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  8. g3n-h@ckm@n
     
    pourquoi t'as pas desactivé antivir comme demandé ?
    0
  9. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    re

    Oups désolé je n'ai pas fais attention...peut on reprendre cette manip?
    0
  10. g3n-h@ckm@n
     
    tu installes que des mer$es !!!

    desinstalle registrybooster
    desinstalle DriverScanner
    desinstalle pseedupMyPC
    desinstalle tout softonic et ne telecharges plus chez eux , ils pourrissent les installleurs des progs
    desinstalle Force_Download toolbar
    desinstalle bitTorrent_BAR FR
    desinstalle BelFix

    =

    Clique sur ce lien : https://www.cjoint.com/?BGEue7nyKR2

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  11. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    Re

    j'en suis a la partie désinstallation j'ai réussi à retirer Bittorrent j'ai vu Force_downoad toolbar mais j'ai le message suivant: le fichier Install.log n'as pas pu être ouvert donc je n'arrive pas a l'enlever

    pour le reste je n'ai rien dans les programmes ni dans rechercher les programmes et fichiers.ou trouver ça stp?

    comment stp je peux voir les prog softonic afin de supprimer?je précise que je
    ne télécharge jamais...mon fils faisait ça à outrance mais les choses vont changer
    0
  12. g3n-h@ckm@n
     
    pas graves c est donc des restes ca va sauter :)
    0
  13. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    voici:

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.730 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    eric : Windows 7 Home Premium (64 bits)

    Switchs : https://gen-hackman.kanak.fr/

    Script : 21:46:21

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

    Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
    Value Deleted : [HKU\S-1-5-21-1127783761-763690792-1441059427-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:RegistryBooster
    Value Deleted : [HKU\S-1-5-21-1127783761-763690792-1441059427-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:DriverScanner
    Value Deleted : [HKU64\S-1-5-21-1127783761-763690792-1441059427-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:RegistryBooster
    Value Deleted : [HKU64\S-1-5-21-1127783761-763690792-1441059427-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:DriverScanner
    Value Deleted : [HKU64\S-1-5-21-1127783761-763690792-1441059427-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:SpeedUpMyPC
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^ggg.exe
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Users^eric^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ggg.exe
    Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\URLSearchHooks]:{4daac69c-cba7-45e2-9bc8-1044483d3352}
    Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\URLSearchHooks]:{6e454792-2f36-46d3-bb20-4be949b6fb8a}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0ad665fb-ba1b-42cd-a0b3-139e5101d5fa
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\a512feea-197d-47e8-a986-2599580cc15f
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{014E4F21-75FF-4275-9830-889E622128DE}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5AA5ADF0-CA5E-4096-8875-BA15A2BE9C92}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{63435521-BE15-44D9-A4BE-A5A0000D9662}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2A26A94-FD77-4B21-AAAE-C71EC6B2B627}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F5C273B7-FE7B-4895-B27C-EA71C0E5DE22}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
    Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4562096d-4b1e-46b4-aaf2-e3492d44118e}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6e454792-2f36-46d3-bb20-4be949b6fb8a}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B24D9234-CFC5-46D2-95C5-0DE695A7895E}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Key Deleted : HKLM\Software\ilivid
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:TCP Query User{FEEE6297-4676-4DE3-BE72-7FF31DFA37B2}C:\users\aurélien\appdata\roaming\ecuqos\yfqi.exe
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:UDP Query User{FEB6BAB6-4F47-4C89-B0D6-E16318C90253}C:\users\aurélien\appdata\roaming\ecuqos\yfqi.exe

    ¤

    C:\Program Files (x86)\allsearch : Not Found !
    File Deleted : |A| - C:\tmp1
    File Deleted : |A| - C:\tmp2
    Folder Deleted : |D| - C:\tmpDownload
    File Deleted : |A| - C:\Windows\fados.exe
    Folder Deleted : |D| - C:\Windows\Installer\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
    Folder Deleted : |D| - C:\Windows\Installer\{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
    Folder Deleted : |D| - C:\Windows\Installer\{C878CD69-85DB-426B-81A3-E71175AAEB91}
    File Deleted : |A| - C:\Users\eric\Downloads\*.exe
    Folder Deleted : |D| - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pwn3d
    Folder Deleted : |D| - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TheBflix

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: Packard Bell
    BIOS Manufacturer: Phoenix Technologies, LTD
    System Manufacturer: Packard Bell BV
    System Product Name: IMEDIA S3210
    Logical Drives Mask: 0x000007fc

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Acer MBR code detected

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    Fin : 21:47:32

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  14. g3n-h@ckm@n
     
    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    (Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste son rapport.
    0
  15. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    # AdwCleaner v1.703 - Rapport créé le 30/07/2012 à 22:03:07
    # Mis à jour le 20/07/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : eric - ERICB
    # Exécuté depuis : C:\Users\eric\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\ProgramData\DownloadnSave
    Dossier Supprimé : C:\ProgramData\InstallMate
    Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DownloadnSave

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\DT Soft
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A8B0DBDE-8119-48B0-8088-D12DA01C36BA}

    ***** [Registre - GUID] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.7601.17514

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v14.0.1 (fr)

    Nom du profil : default
    Fichier : C:\Users\eric\AppData\Roaming\Mozilla\Firefox\Profiles\5e2i7ax7.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Users\aline\AppData\Roaming\Mozilla\Firefox\Profiles\g73aph0i.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Users\audrey\AppData\Roaming\Mozilla\Firefox\Profiles\87m5mhm1.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Users\aurelien\AppData\Roaming\Mozilla\Firefox\Profiles\rs123gov.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Users\eric_2\AppData\Roaming\Mozilla\Firefox\Profiles\bzhy3tau.default\prefs.js

    Supprimée : user_pref("vshare.install.date", "1343196682");
    Supprimée : user_pref("vshare.install.finished", "1.0.0");
    Supprimée : user_pref("vshare.install.fresh", "false");
    Supprimée : user_pref("vshare.install.guid", "{c2f9fd8e-b793-4cd3-a20c-744b15c03080}");
    Supprimée : user_pref("vshare.install.newtab", false);

    Nom du profil : default
    Fichier : C:\Users\Aurélien\AppData\Roaming\Mozilla\Firefox\Profiles\rk6840sg.default\prefs.js

    C:\Users\Aurélien\AppData\Roaming\Mozilla\Firefox\Profiles\rk6840sg.default\user.js ... Supprimé !

    Supprimée : user_pref("extensions.3499ur3ur4hfsudfs.scode", "(function(){try{if('mystart.incredibar.com,premiumr[...]

    *************************

    AdwCleaner[R1].txt - [83013 octets] - [22/07/2012 19:36:29]
    AdwCleaner[S1].txt - [73607 octets] - [22/07/2012 19:37:32]
    AdwCleaner[R2].txt - [2731 octets] - [30/07/2012 22:02:39]
    AdwCleaner[S2].txt - [2648 octets] - [30/07/2012 22:03:07]

    ########## EOF - C:\AdwCleaner[S2].txt - [2776 octets] ##########
    0
  16. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  17. pentatonique Messages postés 70 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,

    Voici le rapport

    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.30.10

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 8.0.7601.17514
    eric :: ERICB [administrateur]

    30/07/2012 22:24:21
    mbam-log-2012-07-30 (22-24-21).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 914753
    Temps écoulé: 3 heure(s), 44 minute(s), 55 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  • 1
  • 2