Nettoyage avec ZHP diag

Résolu
djohanne Messages postés 69 Statut Membre -  
djohanne Messages postés 69 Statut Membre -
Bonjour ,

J'ai décidé de faire un petit nettoyage de mon ordi après installation de cacaoweb, d'abord avec adwcleaner puis utilisation de ZHP diag. Biensure une fois le rapport ZHP diag généré je ne sais pas comment corriger les erreurs.

Pouvez vous m'aider?

Merci d'avance

29 réponses

  • 1
  • 2
  1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello :)

    Quelques consignes avant de débuter la désinfection

    Prends ton temps ce n'est pas une course suis bien ce que je te demande n'hésites pas à me dire ce qui ne va pas au lieu de faire des bêtises

    Même si tu ressens une amélioration va jusqu'au bout sinon tout ce qu'on aura fait depuis le début ne servira à rien

    N'ouvres pas d'autres sujets sur d'autres forums car tu risque de planter ta machine

    Si tu as des logiciels de p2p il vaut mieux les désinstaller sauf si tu en as besoin pour distribuer certains fichiers légaux

    Si tu as des cr@cks je te suggère fortement de les désinstaller

    Si tu as Spybot d'installé désinstalle le il risque de gêner la désinfection et n'est plus efficace

    Si tu es prêt à suivre mes consignes alors allons y!

    Postes le rapport d'adwcleaner puis héberge le rapport de zhpdiag en t'aidant du tutoriel

    Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html

    0
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, postes nous le rapport de zhpdiag et on pourra te dire se qu'il y a de pas bon sur ton pc !!

    Pour me le transmettre clique sur ce lien :

    https://www.cjoint.com/

    Clique sur "choisissez un fichier " et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "créer le lien cjoint".

    Un lien de cette forme :

    http://cjoint.com/data/0KAoeRbq7Szgg.htm

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : http://pjjoint.malekal.com/
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Hello jacques

      A toi l'honneur alors
      0
  3. djohanne Messages postés 69 Statut Membre
     
    Merci de ta reponse et de ton aide.
    Conseils enregistrés!
    Les consignes seront suivies à la lettre!

    # AdwCleaner v2.301 - Rapport créé le 26/05/2013 à 21:53:24
    # Mis à jour le 16/05/2013 par Xplode
    # Système d'exploitation : Windows 8  (64 bits)
    # Nom d'utilisateur : Ibrahim - PC1
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Ibrahim\Downloads\adwcleaner.exe
    # Option [Suppression]
    
    
    ***** [Services] *****
    
    
    ***** [Fichiers / Dossiers] *****
    
    Dossier Supprimé : C:\ProgramData\Babylon
    Dossier Supprimé : C:\Users\Ibrahim\AppData\Roaming\Babylon
    Dossier Supprimé : C:\Users\Ibrahim\AppData\Roaming\cacaoweb
    
    ***** [Registre] *****
    
    Clé Supprimée : HKCU\Software\BabylonToolbar
    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\InstallCore
    Clé Supprimée : HKCU\Software\5d538f8ae668bd41
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\Software\DataMngr
    Clé Supprimée : HKLM\Software\SoftwareUpdater
    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
    
    ***** [Navigateurs] *****
    
    -\\ Internet Explorer v10.0.9200.16537
    
    [OK] Le registre ne contient aucune entrée illégitime.
    
    -\\ Mozilla Firefox v21.0 (fr)
    
    Fichier : C:\Users\Ibrahim\AppData\Roaming\Mozilla\Firefox\Profiles\qm66jy6f.default\prefs.js
    
    [OK] Le fichier ne contient aucune entrée illégitime.
    
    -\\ Google Chrome v [Impossible d'obtenir la version]
    
    Fichier : C:\Users\Ibrahim\AppData\Local\Google\Chrome\User Data\Default\Preferences
    
    [OK] Le fichier ne contient aucune entrée illégitime.
    
    *************************
    
    AdwCleaner[R1].txt - [2051 octets] - [26/05/2013 21:52:18]
    AdwCleaner[S1].txt - [1847 octets] - [26/05/2013 21:53:24]
    
    ########## EOF - C:\AdwCleaner[S1].txt - [1907 octets] ##########
    
    0
  4. djohanne Messages postés 69 Statut Membre
     
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Hello

      Super

      Je pense que jacques prendra le relais :)
      0
    2. djohanne Messages postés 69 Statut Membre
       
      Merci lilidurhone! Puis merci Jacques !
      0
    3. djohanne Messages postés 69 Statut Membre
       
      J'attends vos consignes Jacques
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello djohanne

    Pour avancer un peu

    Est ce que tu connais ceci https://duckduckgo.com/ ?

    C'est une page de démarrage sur IE(je sais à quoi je pense vu que tu utilises Dragon )

    En attendant le retour éventuel de jacques (que je salue au passage)

    On va faire un scan généralisé pour voir si d'autres infections ne se cachent pas

    Télécharge MalwareBytes' anti-malware sur le bureau
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    Cliques droit sur l'icône Download_mbam-setup.exe afin de l'exécuter en tant qu'admin pour lancer le processus d'installation
    Si la pare-feu demande l'autorisation de se connecter pour malwareBytes, accepte
    Décoche pour la version d'essai pour malwarebytes pro
    Il va se mettre à jour une fois faite
    Va dans l'onglet recherche
    Sélectionne exécuter un examen complet
    Clique sur rechercher
    Le scan démarre
    A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
    Clique sur afficher les résultats pour afficher les objets trouvés
    Clique sur OK pour poursuivre
    Si des malwares ont été détectés, cliquer sur afficher les résultats
    Sélectionne tout (ou laisser coché)
    Clique sur tout supprimer
    MalwareBytes va détruire les fichiers et les clés de registre et en mettre une
    copie dans la quarantaine
    Malwarebytes va ouvrir le bloc-note et y copier le rapport
    Redémarre le PC
    Une fois redémarré, double-clique sur MalwareBytes
    Va dans l'onglet rapport/log
    Clique dessus pour l'afficher une fois affiché, cliquer sur édition
    en haut du bloc-note puis sur sélectionner tout
    Reviens sur édition, puis sur copier et reviens
    sur le forum dans ta réponse
    Clic droit dans le cadre de la réponse et coller

    Bonne chance

    0
  7. djohanne Messages postés 69 Statut Membre
     
    J'utilise duckduckgo comme moteur de recherche et je l'ai mis en page de demarrage sur IE que je n'utilises plus.J'ai installé dragon hier...

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.05.27.01

    Windows 8 x64 NTFS
    Internet Explorer 10.0.9200.16580
    Ibrahim :: PC1 [administrateur]

    27/05/2013 10:00:52
    mbam-log-2013-05-27 (10-00-52).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 215194
    Temps écoulé: 7 minute(s), 46 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  8. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Ok

    Je vais analyser ton rapport :)

    0
  9. djohanne Messages postés 69 Statut Membre
     
    merci!
    0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Je t'avais demandé un examen complet :)

    Attention au p2p et aux cr@cks aussi !

    O61 - LFC: 26/05/2013 - 17:24:00 ---A- C:\Users\Ibrahim\Downloads\Microsoft_Office_2013_Key_Generator.rar_downloader_fr_224.exe [6429320]

    C:\Program Files (x86)\Novaxel\NovaxelSQL\NovaSync\bin\ssh-keygen.exe
    C:\Program Files (x86)\Novaxel\NovaxelSQL\NovaSync\bin\ssh-keygen.exe

    A moins que Novaxel soit un programme sain
    0
  11. djohanne Messages postés 69 Statut Membre
     
    Je recommence en scan complet! milles excuses ;)

    Novaxel est un programme sain et gratuit le generateur de clé est incus.
    Pour office 2013, méaculpa mais je te rassure c'etait un moment d'egarement
    je t'envoies le rapport tout de suite
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Ok ça sera remonté au concepteur du logiciel de diagnostic puisque c'est un faux positif :)
      0
  12. djohanne Messages postés 69 Statut Membre
     
    Enfin!!!! 1h20 d'analyse necessaire puisqu'un element a été détecté et supprimé! Merci.

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.05.27.01

    Windows 8 x64 NTFS
    Internet Explorer 10.0.9200.16580
    Ibrahim :: PC1 [administrateur]

    27/05/2013 11:10:41
    mbam-log-2013-05-27 (11-10-41).txt

    Type d'examen: Examen complet (C:\|D:\|Z:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 392116
    Temps écoulé: 1 heure(s), 20 minute(s), 7 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Ibrahim\Desktop\RemoveWAT 2.2.6\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  13. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Bien joué

    refais moi un zhpdiag
    0
  14. djohanne Messages postés 69 Statut Membre
     
    Salut lilidurhone!!

    Merci pour ta reponse, je relance ZHPdiag!

    a tout a l'heure!
    0
  15. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Oui mais ça ira

    Par contre désactives avast il empêche le nettoyage avec zhpfix
    Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier


    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
    [MD5.00000000000000000000000000000000] [APT] [GoforFilesUpdate] (...) -- C:\Program Files (x86)\GoforFiles\GFFUpdater.exe (.not file.) [0] =>P2P.GoforFiles
    [HKCU\Software\GoforFiles] =>P2P.GoforFiles
    [HKLM\Software\Wow6432Node\GoforFiles] =>P2P.GoforFiles
    O43 - CFD: 26/05/2013 - 21:46:55 - [0] ----D C:\Users\Ibrahim\AppData\Roaming\GoforFiles =>P2P.GoforFile
    O45 - LFCP:[MD5.81FC90ABCC33322521F53C38882F4947] - 26/05/2013 - 20:47:29 ---A- - C:\Windows\Prefetch\GOFORFILES.EXE-86A9CB03.pf =>P2P.GoforFiles
    [HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\TBSBrowser.exe] =>Toolbar.Agent
    C:\Users\Ibrahim\AppData\Local\Google\Chrome\User Data\Default\Extensions\leahdjjpjmnamomgpojikeapflgbmjab =>PUP.CacaoWeb
    Sysrestore
    FirewallRaz


    Lance ZHPFix (icône seringue)en tant qu'administrateur puis clique sur OK pour continuer.
    Tu dois voir les lignes ci-dessus dans le cadre blanc de ZHPFix, vérifie bien que ce sont ces lignes.
    Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.
    Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

    0
  16. djohanne Messages postés 69 Statut Membre
     
    Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
    Fichier d'export Registre :
    Run by Ibrahim at 30/05/2013 11:50:53
    High Elevated Privileges : OK
    Windows 8 Home Premium Edition, 64-bit (Build 9200)

    Corbeille vidée

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKCU\Software\GoforFiles
    SUPPRIME Key: HKLM\Software\Wow6432Node\GoforFiles
    SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\TBSBrowser.exe

    ========== Valeur(s) du Registre ==========
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :
    SUPPRIME FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
    SUPPRIME FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
    SUPPRIME FirewallRaz (Public) : {77767409-4961-421A-A65D-C5B81639B425}
    SUPPRIME FirewallRaz (Public) : {3FE7F30F-C3A6-4C65-B9C4-C98E0DF32A30}
    SUPPRIME FirewallRaz (None) : {A5BECB9C-DDB3-4112-898E-BF2DCEAAE6D3}
    SUPPRIME FirewallRaz (Public) : TCP Query User{CF79BA9C-18E4-4A89-93D5-F0AEB8B74737}C:\users\ibrahim\appdata\roaming\cacaoweb\cacaoweb.exe
    SUPPRIME FirewallRaz (Public) : UDP Query User{A4E02D1A-5382-4759-96AF-BD782739C25B}C:\users\ibrahim\appdata\roaming\cacaoweb\cacaoweb.exe
    SUPPRIME FirewallRaz (Private) : {135BA53B-BC1E-4C3D-B74A-72BD174B8930}
    SUPPRIME FirewallRaz (Private) : {BDE9D49E-BFF4-4FFE-AF57-703C0B4DF3D7}
    SUPPRIME FirewallRaz (Private) : {8BB5F48E-B852-476A-9AC6-53F269E9B5E9}
    SUPPRIME FirewallRaz (Private) : {06A62B79-385F-4E92-8A81-5AA1DA473F52}

    ========== Elément(s) de donnée du Registre ==========
    REMPLACE Value NoActiveDesktopChanges : Good (0) - Bad (1)

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\Ibrahim\AppData\Roaming\GoforFiles
    SUPPRIME Folder: c:\users\ibrahim\appdata\local\google\chrome\user data\default\extensions\leahdjjpjmnamomgpojikeapflgbmjab

    ========== Fichier(s) ==========
    SUPPRIME File: c:\windows\prefetch\goforfiles.exe-86a9cb03.pf

    ========== Tache planifiée ==========
    SUPPRIME Task: GoforFilesUpdate

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    3 : Clé(s) du Registre
    13 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    2 : Dossier(s)
    1 : Fichier(s)
    1 : Tache planifiée
    1 : Restauration Système

    End of clean in 01mn 13s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 30/05/2013 11:50:53 [2445]
    0
  17. djohanne Messages postés 69 Statut Membre
     
    voili voilou merci encore de ton aide!
    0
  18. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    comment se comporte ton pc?

    Refais moi un zhpdiag
    0
  19. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Désolé petit souci résolu :D

    Peux tu refaire un zhpfix mais juste avec ses deux lignes

    [MD5.5790CE1ADDC397A77735177D402EF45A] [SPRF][26/05/2013] (.http://www.goforfiles.com/ - GoforFiles.) -- C:\Users\Ibrahim\AppData\Local\Temp\uninstall2411650.exe [6429320] =>P2P.GoforFiles
    [MD5.20362D635A0DE200A963BD634153312D] [SPRF][26/05/2013] (.http://goforfiles.com/ - GoforFiles Application.) -- C:\Users\Ibrahim\AppData\Local\Temp\uninstall2421010.exe [901712] =>P2P.GoforFiles

    0
  • 1
  • 2