rapport zhdiag pour suppression trojanRésolu/Fermé

Question

Bonsoir,

J'ai essayé de supprimer le virus tr/atraps avec malwarebytes, mais je me suis aperçu que d'autre virus du même genre apparaissaient. J'ai fait un diagnostic ZHDiag dont je poste  le rapport sous ce lien : http://www.cjoint.com/?ODcvnq9Q6Fy
Merci d'avance si quelqu'un peut m'aider à l'analyser et me guider sur une démarche à suivre.

Guillaume5188 · Answer

Bonsoir

[*] Télécharger sur le bureau RogueKiller (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

eivlys · Answer

Bonsoir Guillaume,
Merci beaucoup pour la rapidité de la réponse, je tente tout ça demain et vous donne des nouvelles...

eivlys · Answer

Bonjour,

Comme convenu, voici le rapport de roguekiller

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : user [Droits d'admin]
Mode : Recherche -- Date : 03/04/2013 08:26:06
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$bda9abc4e8014eea6d95e3b1d412ca2a\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-448539723-2049760794-725345543-1003\$bda9abc4e8014eea6d95e3b1d412ca2a\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$bda9abc4e8014eea6d95e3b1d412ca2a\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-448539723-2049760794-725345543-1003\$bda9abc4e8014eea6d95e3b1d412ca2a\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$bda9abc4e8014eea6d95e3b1d412ca2a\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-448539723-2049760794-725345543-1003\$bda9abc4e8014eea6d95e3b1d412ca2a\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xF7D9EB5C)
SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xF7D9EB16)
SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xF7D9EB66)
SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF7D9EB0C)
SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xF7D9EB1B)
SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xF7D9EB25)
SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xF7D9EB57)
SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xF7D9EB2A)
SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xF7D9EAF8)
SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xF7D9EAFD)
SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xF7D9EB7F)
SSDT[193] : NtReplaceKey @ 0x8064FFD4 -> HOOKED (Unknown @ 0xF7D9EB34)
SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xF7D9EB70)
SSDT[204] : NtRestoreKey @ 0x8064FB69 -> HOOKED (Unknown @ 0xF7D9EB2F)
SSDT[213] : NtSetContextThread @ 0x8062E763 -> HOOKED (Unknown @ 0xF7D9EB6B)
SSDT[237] : NtSetSecurityObject @ 0x8059818F -> HOOKED (Unknown @ 0xF7D9EB75)
SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xF7D9EB20)
SSDT[255] : NtSystemDebugControl @ 0x8064ABAB -> HOOKED (Unknown @ 0xF7D9EB7A)
SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xF7D9EB07)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D9EB8E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D9EB93)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6K040L0 +++++
--- User ---
[MBR] 1dc963f77ead6bca75343a895942b7a5
[BSP] 416df3f7635b403e0e4ccc61bab528cb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39197 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_03042013_082606.txt >>
RKreport[1]_S_03042013_082606.txt

Encore merci pour votre aide

Guillaume5188 · Answer

Bonsoir

Relance RogueKiller et passe à l'option suppression 
Poste moi ce nouveau rapport;merci

@+

Guillaume5188 · Answer

Re

Ce n'est pas le bon rapport ;mais ce n'est pas grave ;-)

Tu passes à ceci:

Télécharge Malwaresbytes anti malware ici  
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista ;Seven ou Windows 8   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



@+

eivlys · Answer

Ok, je vais le faire. J'ai déjà utilisé malwaresbytes... 
J'ai pas trop compris pourquoi c'était pas le bon rapport, mais si cela ne fait rien, on va pas aller s'embêter...
@+

eivlys · Answer

Oui,dsl, le scan malwarebytes a été très long, puis, il a fallu que je redémarre. Là, il a été très long, très difficile d'ouvrir malwarebytes, puis impossible d'ouvrir le rapport. J'ai tout éteint, je rallumerais demain maintenant en espérant qu'il veuille bien fonctionner...
A demain

eivlys · Answer

Bonsoir, dsl, mais je ne sais plus quel rapport envoyer, j'ai pris le dernier en date... (fallait il faire un nouveau scan après la suppression ?
J'ai remarqué que 1 dossier mentionné par le premier rapport ZHdiag :
C:\WINDOWS\system32\drivers\etc\hosts ainsi qu'1 entrée du registre : HKLM\....NewStartPanel.... Sont toujours là, croyez vous que l'on puisse les enlever manuellement ?

Si on y arrive pas, cela ne fait rien, je l'amènerais à un dépanneur... car hier soir, j'ai eu des problèmes de lenteur et blocage et ce matin du mal à la redémarrer...

Guillaume5188 · Answer

Re

Regarde dans l'onglet rapports/logs de Malwaresbytes ;il doit y avoir un autre rapport

@+

eivlys · Answer

Non, dsl
Peut être que cela a mal fonctionné, vu que l'ordinateur a bloqué.

Guillaume5188 · Answer

Re

 Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
 
Sinon il est enregistré ici : C:\TDSSKiller_N°Version_Date_Heure.txt 
  
Poste moi son rapport à l'issue; merci


@+

eivlys · Answer

Ok, je fais ça... Ne vous inquiétez pas, rapport surement demain car je dois partir ce soir. Merci
@+

eivlys · Answer

Oups, lorsque je veux télécharger tdsskiller, j'ai page error 404... Ah l'informatique !!!!

eivlys · Answer

Ok merci

eivlys · Answer

J'ai fait le scan, apparemment il n'a rien détecté. Je n'arrive pas à envoyer le rapport (qui est assez long), je n'arrive pas à faire le copier coller

Guillaume5188 · Answer

Bonjour

Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir. 

Clique sur "Envoyer le fichier". 

Un lien de cette forme : 

http://pjjoint.malekal.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

@+

eivlys · Answer

Bonjour,

Voici un lien, mais je ne pense pas que ce soit bon vu qu'il n'y a aucun moyen d'enregistrer, ni copier/coller le rapport...

eivlys · Answer

Non, avec le lien que tu m'as donné pour télécharger TDSSkiller, quand je fais éxécuter, ça fait le scan direct. Ensuite, il y a une fenêtre qui me dit en anglais qu'il n'y a pas eu de menace trouvée, sur la droite, j'ai cliquer sur report, ça me donne effectivement un rapport, mais rien pour l'enregistrer et impossible de copier/coller

eivlys · Answer

Ah oui, super ! Le voici :

http://pjjoint.malekal.com/files.php?id=20130405_r10r7t9o8h7

Guillaume5188 · Answer

Re

Poste moi justement un nouveau rapport ZHPDiag ;merci

@+

eivlys · Answer

http://www.cjoint.com/?0DfqTDR4D1R

Guillaume5188 · Answer

Re

Ton problème de ralentissement serait lié à ceci:

Total RAM: 759 MB (25% free)  >>> 1 GO ne serait pas du luxe

                            ---------------------------------------

On essaie d'optimiser

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


O43 - CFD: 01/04/2013 - 13:02:46 - [0,004] ----D C:\Documents and Settings\user\Application Data\Babylon 
O43 - CFD: 01/04/2013 - 15:45:19 - [0,457] ----D C:\Documents and Settings\user\Application Data\PriceGong 
O43 - CFD: 01/04/2013 - 13:06:28 - [1,671] ----D C:\Documents and Settings\user\Local Settings\Application Data\Babylon 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9]     
C:\Documents and Settings\user\Application Data\Babylon 
C:\Documents and Settings\user\Application Data\PriceGong 
C:\Documents and Settings\user\Local Settings\Application Data\Babylon 
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} . (...) -- C:\Program Files\Lexmark Toolbar	oolband.dll 
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Avira SearchFree Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll 
O3 - Toolbar: Lexmark Barre d'outils - [HKLM]{1017A80C-6F09-4548-A84D-EDD6AC9525F0} . (...) -- C:\Program Files\Lexmark Toolbar	oolband.dll 
[MD5.2BCD5FE578F82D0C4622EBD0EAFE001C] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe   [137864]     
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}     
[HKCU\Software\APN]     
[HKCU\Software\Ask.com.tmp]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AskToolbar]     
[HKLM\Software\APN]     
[HKLM\Software\AskToolbar]     
O43 - CFD: 19/02/2013 - 11:43:04 - [4,396] ----D C:\Program Files\Ask.com     
O43 - CFD: 01/04/2013 - 16:28:45 - [0,024] ----D C:\Program Files\WiseConvert_1.5 
O43 - CFD: 22/06/2012 - 09:49:48 - [0,000] ----D C:\Documents and Settings\user\Application Data\AskToolbar     
O43 - CFD: 19/06/2012 - 20:48:42 - [0,157] ----D C:\Documents and Settings\user\Local Settings\Application Data\APN    
O43 - CFD: 05/04/2013 - 16:17:58 - [5,873] ----D C:\Documents and Settings\user\Local Settings\Application Data\AskToolbar    
O43 - CFD: 01/04/2013 - 16:28:45 - [0,704] ----D C:\Documents and Settings\user\Local Settings\Application Data\WiseConvert_1.5 
O45 - LFCP:[MD5.23CF5AB2B89980333BCE5B05D005E4EE] - 05/04/2013 - 15:34:01 ---A- - C:\WINDOWS\Prefetch\UPDATETASK.EXE-154F922C.pf     
O61 - LFC: 04/04/2013 - 19:51:45 ---A- C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Internet Explorer\DOMStore\HHAIU3H9\kaspersky-tdsskiller.softonic[1].xml   [13] 
O61 - LFC: 05/04/2013 - 15:17:58 ---A- C:\Documents and Settings\user\Local Settings\Application Data\AskToolbar\cache.dat   [430080]     
O61 - LFC: 05/04/2013 - 15:34:51 ---A- C:\Documents and Settings\user\Application Data\AskToolbar\Avira.status.config   [42]    
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (ecouter-la-radio Customized Web Search) - http://search.conduit.com 
[HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]     
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]     
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E454792-2F36-46D3-BB20-4BE949B6FB8A}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E454792-2F36-46D3-BB20-4BE949B6FB8A}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]     
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]     
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]     
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]    
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]    
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]    
[HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKLM\Software\Classes\AppID\GenericAskToolbar.DLL] 
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd] 
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED] 
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]     
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888] 
[HKCU\Software\APN]     
[HKLM\Software\APN]     
[HKCU\Software\Ask.com]     
[HKCU\Software\Ask.com.tmp]     
[HKCU\Software\AskToolbar]     
[HKLM\Software\AskToolbar]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Classes\Toolbar.CT2088315] 
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}    
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:ApnUpdater 
C:\Program Files\Ask.com     
C:\Documents and Settings\user\Application Data\AskToolbar     
C:\Documents and Settings\user\Local Settings\Application Data\AskToolbar     
C:\Documents and Settings\user\Local Settings\Application Data\Conduit     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job   [232] 
[MD5.2BCD5FE578F82D0C4622EBD0EAFE001C] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe   [137864]     
O42 - Logiciel: Java 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216013FF}     
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe 
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe 
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\program filesealealplayer\updateealsched.exe 
[MD5.4C976D5913FF84FBF3ED55F8855641B1] - (.Ask - Ask Updater.) -- C:\Program Files\Ask.com\Updater\Updater.exe   [1568976] [PID.176] 

FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier") 
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Clique sur le bouton GO pour lancer le nettoyage 
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 


@+

eivlys · Answer

Voici le rapport ZHPFix :

High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Logiciel(s) ==========
SUPPRIME Ask Toolbar
SUPPRIME Java 6 Update 20

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\Ask.com\UpdateTask.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
SUPPRIME Key: CLSID BHO: {1017A80C-6F09-4548-A84D-EDD6AC9525F0}
SUPPRIME  Key: CLSID: [HKLM\SOFTWARE\Classes\CLSID\{1017A80C-6F09-4548-A84D-EDD6AC9525F0}]
SUPPRIME Key: CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME  Key: CLSID: [HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
SUPPRIME Key: HKCU\Software\APN
SUPPRIME Key: HKCU\Software\Ask.com.tmp
SUPPRIME Key: HKCU\Software\Ask.com
SUPPRIME Key: HKCU\Software\AskToolbar
SUPPRIME Key: HKLM\Software\APN
SUPPRIME Key: HKLM\Software\AskToolbar
SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
SUPPRIME Key: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E454792-2F36-46D3-BB20-4BE949B6FB8A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E454792-2F36-46D3-BB20-4BE949B6FB8A}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
SUPPRIME Key: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
SUPPRIME Key: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
SUPPRIME Key: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
SUPPRIME Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
SUPPRIME Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT2088315

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME Toolbar: {1017A80C-6F09-4548-A84D-EDD6AC9525F0}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:ApnUpdater
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: TkBellExe
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\user\application data\babylon
ABSENT Folder/File: c:\documents and settings\user\application data\pricegong
ABSENT Folder/File: c:\documents and settings\user\local settings\application data\babylon
SUPPRIME Reboot c:\program files\lexmark toolbar	oolband.dll
SUPPRIME Reboot c:\program files\ask.com
SUPPRIME File***: c:\program files\ask.com\updatetask.exe
SUPPRIME File: c:\windows\prefetch\updatetask.exe-154f922c.pf 
SUPPRIME File: c:\documents and settings\user\local settings\application data\microsoft\internet explorer\domstore\hhaiu3h9\kaspersky-tdsskiller.softonic[1].xml 
SUPPRIME Reboot c:\documents and settings\user\local settings\application data\asktoolbar\cache.dat
ABSENT File: c:\documents and settings\user\application data\asktoolbar\avira.status.config
ABSENT Folder/File: c:\documents and settings\user\application data\asktoolbar
ABSENT File: c:\windows	asks\scheduled update for ask toolbar.job
ABSENT Folder/File: c:\program files\ask.com\updater\updater.exe
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
1 : Processus mémoire
47 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Dossier(s)
14 : Fichier(s)
2 : Logiciel(s)
1 : Tache planifiée


End of clean in 05mn 35s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 05/04/2013 19:33:21 [7182]

Guillaume5188 · Answer

Re

As tu redémarré ton PC?

@+

eivlys · Answer

Je l'ai redémarré mais il ne m'a pas spécialement demandé de le faire

Guillaume5188 · Answer

Re

As tu noté une amélioration?

@+

eivlys · Answer

Avira m'a demandé de réinstaller la tool barre sinon, l'ordinateur n'était plus protégé sur le web. La connexion internet est longue, mais quand j'y suis, ça semble nettement mieux. Je vais m'en servir demain et je vous donne des nouvelles. mais ça à l'air nettement mieux !!!

eivlys · Answer

Bonjour

J'ai remis la tool barre car à chaque fois que j'allumais l'ordinateur, j'avais un message, comme quoi le programme était mal installé !
J'ai mis la version avira 2013, car pareil, message à chaque fois...
La navigation est nettement plus rapide, par contre avira me détecte toujours virus ou programme indésirable, la c'est Tr/trash.gen

Guillaume5188 · Answer

Bonjour

Cette détection est certainement dans la restauration

 Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



@+

eivlys · Answer

Voilà, c'est fait :

# DelFix v10.2 - Rapport créé le 06/04/2013 à 12:17:20
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : user - GI-79C4B22B0C26

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\user\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.8.16.0_04.04.2013_23.03.41_log.txt
Supprimé : C:\TDSSKiller.2.8.16.0_04.04.2013_23.16.15_log.txt
Supprimé : C:\Documents and Settings\user\Bureau	dsskiller.exe
Supprimé : C:\Documents and Settings\user\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\user\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #630 [Point de vérification système | 01/29/2013 15:28:07]
Supprimé : RP #631 [Point de vérification système | 01/30/2013 20:08:47]
Supprimé : RP #632 [Point de vérification système | 02/01/2013 14:34:20]
Supprimé : RP #633 [Point de vérification système | 02/02/2013 15:21:36]
Supprimé : RP #634 [Point de vérification système | 02/04/2013 13:30:37]
Supprimé : RP #635 [Point de vérification système | 02/05/2013 17:22:26]
Supprimé : RP #636 [Point de vérification système | 02/07/2013 11:26:07]
Supprimé : RP #637 [Point de vérification système | 02/08/2013 15:07:39]
Supprimé : RP #638 [Point de vérification système | 02/11/2013 08:55:39]
Supprimé : RP #639 [Point de vérification système | 02/12/2013 12:48:20]
Supprimé : RP #640 [Point de vérification système | 02/13/2013 13:11:11]
Supprimé : RP #641 [Software Distribution Service 3.0 | 02/13/2013 19:16:28]
Supprimé : RP #642 [Point de vérification système | 02/14/2013 19:29:08]
Supprimé : RP #643 [Point de vérification système | 02/15/2013 19:55:04]
Supprimé : RP #644 [Point de vérification système | 02/17/2013 10:52:06]
Supprimé : RP #645 [Point de vérification système | 02/18/2013 11:11:46]
Supprimé : RP #646 [Point de vérification système | 02/19/2013 11:54:16]
Supprimé : RP #647 [Point de vérification système | 02/20/2013 12:05:48]
Supprimé : RP #648 [Point de vérification système | 02/21/2013 15:09:19]
Supprimé : RP #649 [Point de vérification système | 02/22/2013 16:40:44]
Supprimé : RP #650 [Point de vérification système | 02/23/2013 17:13:22]
Supprimé : RP #651 [Point de vérification système | 02/25/2013 11:22:46]
Supprimé : RP #652 [Point de vérification système | 02/26/2013 12:51:24]
Supprimé : RP #653 [Point de vérification système | 02/27/2013 13:22:20]
Supprimé : RP #654 [Point de vérification système | 02/28/2013 16:13:31]
Supprimé : RP #655 [Point de vérification système | 03/01/2013 16:55:51]
Supprimé : RP #656 [Point de vérification système | 03/04/2013 11:01:20]
Supprimé : RP #657 [Point de vérification système | 03/05/2013 12:11:09]
Supprimé : RP #658 [Point de vérification système | 03/06/2013 12:18:40]
Supprimé : RP #659 [Point de vérification système | 03/07/2013 14:13:26]
Supprimé : RP #660 [Point de vérification système | 03/08/2013 15:14:47]
Supprimé : RP #661 [Point de vérification système | 03/09/2013 19:20:43]
Supprimé : RP #662 [Point de vérification système | 03/10/2013 19:58:53]
Supprimé : RP #663 [Point de vérification système | 03/11/2013 20:05:47]
Supprimé : RP #664 [Point de vérification système | 03/12/2013 20:38:54]
Supprimé : RP #665 [Point de vérification système | 03/13/2013 21:29:17]
Supprimé : RP #666 [Software Distribution Service 3.0 | 03/13/2013 21:46:41]
Supprimé : RP #667 [Software Distribution Service 3.0 | 03/14/2013 23:30:01]
Supprimé : RP #668 [Point de vérification système | 03/18/2013 10:16:37]
Supprimé : RP #669 [Point de vérification système | 03/19/2013 18:30:58]
Supprimé : RP #670 [Point de vérification système | 03/20/2013 18:40:07]
Supprimé : RP #671 [Point de vérification système | 03/21/2013 18:48:18]
Supprimé : RP #672 [Point de vérification système | 03/22/2013 19:08:17]
Supprimé : RP #673 [Point de vérification système | 03/25/2013 07:57:58]
Supprimé : RP #674 [Point de vérification système | 03/26/2013 14:57:11]
Supprimé : RP #675 [Point de vérification système | 03/27/2013 18:08:23]
Supprimé : RP #676 [Point de vérification système | 03/28/2013 18:16:44]
Supprimé : RP #677 [Point de vérification système | 03/29/2013 19:11:42]
Supprimé : RP #678 [Point de vérification système | 03/30/2013 19:57:17]
Supprimé : RP #679 [Point de vérification système | 04/01/2013 11:27:09]
Supprimé : RP #680 [Opération de restauration | 04/01/2013 14:27:48]
Supprimé : RP #681 [Opération de restauration | 04/02/2013 16:21:43]
Supprimé : RP #682 [Point de vérification système | 04/03/2013 16:34:12]
Supprimé : RP #683 [Point de vérification système | 04/04/2013 17:35:14]
Supprimé : RP #684 [Removed Avira SearchFree Toolbar. | 04/05/2013 17:30:37]
Supprimé : RP #685 [Supprimé Java(TM) 6 Update 13 | 04/05/2013 17:31:08]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

eivlys · Answer

Cette fois, ça à l'air parfait. je me sers de l'ordinateur pour le tester. La navigation est plus rapide et pour le moment, plus d'alerte, je croise les doigts !!!

Guillaume5188 · Answer

Bonjour

Je mets donc ce sujet en résolu

@+

Rapport zhdiag pour suppression trojan

32 réponses

Newsletters