Nettoyage avec ZHP diag Résolu/Fermé

Question

Bonjour ,

J'ai décidé de faire un petit nettoyage de mon ordi après installation de cacaoweb, d'abord avec adwcleaner puis utilisation de ZHP diag. Biensure une fois le rapport ZHP diag généré je ne sais pas comment corriger les erreurs. 

Pouvez vous m'aider?

Merci d'avance

lilidurhone · Answer

Hello :)

Quelques consignes avant de débuter la désinfection


Prends ton temps ce n'est pas une course suis bien ce que je te demande n'hésites pas à me dire ce qui ne va pas au lieu de faire des bêtises


Même si tu ressens une amélioration va jusqu'au bout sinon tout ce qu'on aura fait depuis le début ne servira à rien


N'ouvres pas d'autres sujets sur d'autres forums car tu risque de planter ta machine


Si tu as des logiciels de p2p il vaut mieux les désinstaller sauf si tu en as besoin pour distribuer certains fichiers légaux

Si tu as des cr@cks je te suggère fortement de les désinstaller 

Si tu as Spybot d'installé désinstalle le il risque de gêner la désinfection et n'est plus efficace 


Si tu es prêt à suivre mes consignes alors allons y! 

Postes le rapport d'adwcleaner puis héberge le rapport de zhpdiag en t'aidant du tutoriel

Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html

jacques.gache · Answer

bonjour, postes nous le rapport de zhpdiag et on pourra te dire se qu'il y a de pas bon sur ton pc !! 

 Pour me le transmettre clique sur ce lien : 

https://www.cjoint.com/ 


Clique sur "choisissez un fichier " et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et  ZHPDiag.txt clique dessus 

Clique sur Ouvrir. 

Clique sur "créer le lien cjoint". 

Un lien de cette forme : 

http://cjoint.com/data/0KAoeRbq7Szgg.htm

est ajouté dans la page. 

Copie ce lien dans ta réponse. 


et si problème passe par celui ci :   http://pjjoint.malekal.com/

djohanne · Answer

Merci de ta reponse et de ton aide.
Conseils enregistrés!
Les consignes seront suivies à la lettre!

# AdwCleaner v2.301 - Rapport créé le 26/05/2013 à 21:53:24
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : Ibrahim - PC1
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Ibrahim\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Users\Ibrahim\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Ibrahim\AppData\Roaming\cacaoweb

***** [Registre] *****

Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\5d538f8ae668bd41
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\SoftwareUpdater
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16537

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Users\Ibrahim\AppData\Roaming\Mozilla\Firefox\Profiles\qm66jy6f.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Ibrahim\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2051 octets] - [26/05/2013 21:52:18]
AdwCleaner[S1].txt - [1847 octets] - [26/05/2013 21:53:24]

########## EOF - C:\AdwCleaner[S1].txt - [1907 octets] ##########

djohanne · Answer

et le lien cjoint:	https://www.cjoint.com/c/CEBjEEBVGfM

lilidurhone · Answer

Hello djohanne

Pour avancer un peu 

Est ce que tu connais ceci https://duckduckgo.com/ ?

C'est une page de démarrage sur IE(je sais à quoi je pense vu que tu utilises Dragon )

En attendant le retour éventuel de jacques (que je salue au passage)

On va faire un scan généralisé pour voir si d'autres infections ne se cachent pas

Télécharge MalwareBytes' anti-malware sur le bureau
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Cliques droit sur l'icône Download_mbam-setup.exe afin de l'exécuter en tant qu'admin pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwareBytes, accepte
Décoche pour la version d'essai pour malwarebytes pro
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour poursuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur tout supprimer
MalwareBytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malwarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur MalwareBytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition
en haut du bloc-note puis sur sélectionner tout
Reviens sur édition, puis sur copier et reviens
sur le forum dans ta réponse
Clic droit dans le cadre de la réponse et coller

Bonne chance

djohanne · Answer

J'utilise duckduckgo comme moteur de recherche et je l'ai mis en page de demarrage sur IE que je n'utilises plus.J'ai installé dragon hier...

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.27.01

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16580
Ibrahim :: PC1 [administrateur]

27/05/2013 10:00:52
mbam-log-2013-05-27 (10-00-52).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 215194
Temps écoulé: 7 minute(s), 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

lilidurhone · Answer

Ok

Je vais analyser ton rapport :)

djohanne · Answer

merci!

lilidurhone · Answer

Hello

Je t'avais demandé un examen complet :)

Attention au p2p et aux cr@cks aussi !


O61 - LFC: 26/05/2013 - 17:24:00 ---A- C:\Users\Ibrahim\Downloads\Microsoft_Office_2013_Key_Generator.rar_downloader_fr_224.exe   [6429320]


C:\Program Files (x86)\Novaxel\NovaxelSQL\NovaSync\bin\ssh-keygen.exe
C:\Program Files (x86)\Novaxel\NovaxelSQL\NovaSync\bin\ssh-keygen.exe


A moins que Novaxel soit un programme sain

djohanne · Answer

Je recommence en scan complet! milles excuses ;)

Novaxel est un programme sain et gratuit le generateur de clé est incus.
Pour office 2013, méaculpa mais je te rassure c'etait un moment d'egarement
je t'envoies le rapport tout de suite

djohanne · Answer

Enfin!!!! 1h20 d'analyse necessaire puisqu'un element a été détecté et supprimé! Merci.

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.27.01

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16580
Ibrahim :: PC1 [administrateur]

27/05/2013 11:10:41
mbam-log-2013-05-27 (11-10-41).txt

Type d'examen: Examen complet (C:\|D:\|Z:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 392116
Temps écoulé: 1 heure(s), 20 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Ibrahim\Desktop\RemoveWAT 2.2.6\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.

(fin)

lilidurhone · Answer

Hello

Bien joué

refais moi un zhpdiag

djohanne · Answer

Salut lilidurhone!!

Merci pour ta reponse, je relance ZHPdiag! 


a tout a l'heure!

djohanne · Answer

https://www.cjoint.com/c/CEEkYDZKQ8i 

Bon pas mal d'erreur encore...

lilidurhone · Answer

Hello

Oui mais ça ira 

Par contre désactives avast il empêche le nettoyage avec zhpfix
Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[MD5.00000000000000000000000000000000] [APT] [GoforFilesUpdate] (...) -- C:\Program Files (x86)\GoforFiles\GFFUpdater.exe (.not file.)   [0]   =>P2P.GoforFiles
[HKCU\Software\GoforFiles]   =>P2P.GoforFiles
[HKLM\Software\Wow6432Node\GoforFiles]   =>P2P.GoforFiles
O43 - CFD: 26/05/2013 - 21:46:55 - [0] ----D C:\Users\Ibrahim\AppData\Roaming\GoforFiles   =>P2P.GoforFile
O45 - LFCP:[MD5.81FC90ABCC33322521F53C38882F4947] - 26/05/2013 - 20:47:29 ---A- - C:\Windows\Prefetch\GOFORFILES.EXE-86A9CB03.pf   =>P2P.GoforFiles
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\TBSBrowser.exe]   =>Toolbar.Agent
C:\Users\Ibrahim\AppData\Local\Google\Chrome\User Data\Default\Extensions\leahdjjpjmnamomgpojikeapflgbmjab   =>PUP.CacaoWeb
Sysrestore
FirewallRaz


Lance ZHPFix (icône seringue)en tant qu'administrateur puis clique sur OK pour continuer.
Tu dois voir les lignes ci-dessus dans le cadre blanc de ZHPFix, vérifie bien que ce sont ces lignes.
Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.
Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

djohanne · Answer

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : 
Run by Ibrahim at 30/05/2013 11:50:53
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\GoforFiles
SUPPRIME Key: HKLM\Software\Wow6432Node\GoforFiles
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\TBSBrowser.exe

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
SUPPRIME FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
SUPPRIME FirewallRaz (Public) : {77767409-4961-421A-A65D-C5B81639B425}
SUPPRIME FirewallRaz (Public) : {3FE7F30F-C3A6-4C65-B9C4-C98E0DF32A30}
SUPPRIME FirewallRaz (None) : {A5BECB9C-DDB3-4112-898E-BF2DCEAAE6D3}
SUPPRIME FirewallRaz (Public) : TCP Query User{CF79BA9C-18E4-4A89-93D5-F0AEB8B74737}C:\users\ibrahim\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{A4E02D1A-5382-4759-96AF-BD782739C25B}C:\users\ibrahim\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIME FirewallRaz (Private) : {135BA53B-BC1E-4C3D-B74A-72BD174B8930}
SUPPRIME FirewallRaz (Private) : {BDE9D49E-BFF4-4FFE-AF57-703C0B4DF3D7}
SUPPRIME FirewallRaz (Private) : {8BB5F48E-B852-476A-9AC6-53F269E9B5E9}
SUPPRIME FirewallRaz (Private) : {06A62B79-385F-4E92-8A81-5AA1DA473F52}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value NoActiveDesktopChanges :   Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Ibrahim\AppData\Roaming\GoforFiles
SUPPRIME Folder: c:\users\ibrahim\appdata\local\google\chrome\user data\default\extensions\leahdjjpjmnamomgpojikeapflgbmjab

========== Fichier(s) ==========
SUPPRIME File: c:\windows\prefetch\goforfiles.exe-86a9cb03.pf 

========== Tache planifiée ==========
SUPPRIME Task: GoforFilesUpdate

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
13 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
1 : Fichier(s)
1 : Tache planifiée
1 : Restauration Système


End of clean in 01mn 13s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/05/2013 11:50:53 [2445]

djohanne · Answer

voili voilou merci encore de ton aide!

lilidurhone · Answer

Hello

comment se comporte ton pc?

Refais moi un zhpdiag

djohanne · Answer

resalut!

j'ai vraiment un gros decalage sur la reception de tes messages! Mon pc a l'air de se porter bien . RAS à ce niveau !

https://www.cjoint.com/c/CEEs4U2iyjR

lilidurhone · Answer

Hello

Désolé petit souci résolu :D

Peux tu refaire un zhpfix mais juste avec ses deux lignes

[MD5.5790CE1ADDC397A77735177D402EF45A] [SPRF][26/05/2013] (.http://www.goforfiles.com/ - GoforFiles.) -- C:\Users\Ibrahim\AppData\Local\Temp\uninstall2411650.exe   [6429320]   =>P2P.GoforFiles
[MD5.20362D635A0DE200A963BD634153312D] [SPRF][26/05/2013] (.http://goforfiles.com/ - GoforFiles Application.) -- C:\Users\Ibrahim\AppData\Local\Temp\uninstall2421010.exe   [901712]   =>P2P.GoforFiles

djohanne · Answer

salut!

Voila mon rapport ZHPfix:
Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : 
Run by Ibrahim at 31/05/2013 11:13:02
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Ibrahim\AppData\Local\Temp\uninstall2411650.exe
SUPPRIME Memory Process: C:\Users\Ibrahim\AppData\Local\Temp\uninstall2421010.exe

========== Fichier(s) ==========
SUPPRIME File: c:\users\ibrahim\appdata\local	emp\uninstall2411650.exe
SUPPRIME File: c:\users\ibrahim\appdata\local	emp\uninstall2421010.exe


========== Récapitulatif ==========
2 : Processus mémoire
2 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/05/2013 10:50:53 [2497]
C:\ZHP\ZHPFix[R2].txt - 31/05/2013 11:13:03 [850]


Merci encore de t'occuper de mon pitit Pc!

lilidurhone · Answer

Hello

Un p'tit dernier rapport et je te libère définitivement :)

djohanne · Answer

Tu rigoles! merci du temps que tu m'accordes je te poste ça tout de suite !

djohanne · Answer

https://www.cjoint.com/c/CEFlQHEvJM1

lilidurhone · Answer

Hello

J'ai le plaisir de t'annoncer que tout est fini :)

Je finis de manger et te poste ensuite les consignes de fin de désinfection :)

djohanne · Answer

Et bien un grand merci à toi ! Bon appetit ! et à tout à l'heure

lilidurhone · Answer

Hello :D

1)Désinstallation des outils de désinfection

Télécharges Delfix ici https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Exécutes le en tant qu'administrateur puis une fois sur l'interface coches les cases suivantes

-supprimer les outils de désinfections
-purger la restauration du système

Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport

2)N'oublies pas de mettre à jour java adobe reader et flashplayer pour IE (chrome l'intègre déjà)
Un lien utile à lire https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
N'oublies pas aussi de maintenir Windows à jour via Windows update 




3)Pour permettre de mettre à jour tes logiciels je te conseille d'utiliser Filehippo update checker

Tu peux le télécharger ici https://www.commentcamarche.net/telecharger/utilitaires/9771-filehippo-app-manager/

Pour l'installation de filehippo décoches seulement mettre l'icône dans la barre de lancement rapide 



4)Pour nettoyer les fichiers temporaires (attention pas de nettoyage registre ) tu peux utiliser Ccleaner avec tuto pour bien le configurer (https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Lien du téléchargement https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tu peux aussi utiliser le nettoyeur de disque windows
N'oublies pas de défragmenter de temps en temps ton disque dur soit par le biais de l'utilitaire soit par le biais d'un logiciel tiers comme par exemple Deffagler ou auslogic Disk Defrag


5)Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer
Pour télécharger WOT pour ie c'est par ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Pour simple adblock c'est par ici http://simple-adblock.com/downloadpage/ (cliques sur Download Installer et pas le lien en dessous !)
Pour chrome(si tu possèdes Chrome)

Wot disponible ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Adblock disponible ici https://www.commentcamarche.net/telecharger/web-internet/2555-adblock-plus-pour-chrome/

Lien du téléchargement pour wot sur firefox
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Lien pour télécharger adblock +

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/?src=ss


6)Fais attention à ce que tu télécharges où et comment 
Evites si possible de télécharger sur O1net,tom's guide,télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potientellement indésirables
A lire
http://www.stoppublicites.fr/
https://www.malekal.com/adwares-pup-protection/

7)Pourquoi faut-il éviter de télécharger sur du p2p

Les risques sont gros la machine risque de devenir un pc zombie
Un peu de lecture concernant les dangers et le risque
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=893&start=

8)Bien paramétrer Avast 

https://www.malekal.com/tutoriel-antivirus-avast/

Voilà si tu penses que ton sujet est résolu tu peux le mettre en résolu

djohanne · Answer

Premiere etape accomplie cap'tain!

# DelFix v10.2 - Rapport créé le 31/05/2013 à 12:25:51
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Ibrahim - PC1
# Système d'exploitation : Windows 8  (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Ibrahim\Downloads\adwcleaner.exe
Supprimé : C:\Users\Ibrahim\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #18 [Point de contrôle planifié | 05/14/2013 16:23:55]
Supprimé : RP #19 [Windows Update | 05/20/2013 07:53:11]
Supprimé : RP #20 [Installation avast! Free Antivirus | 05/26/2013 18:01:51]
Supprimé : RP #21 [P | 05/30/2013 09:50:10]

Nouveau point de restauration créé !

djohanne · Answer

<merci pour tous ces conseils que je vais prendre le temps d'appliquer!
Je passe le sujet en "resolu"!Merci pour tous lilidurhone!