Keylogger dans mon pc [Résolu/Fermé]

Signaler
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013
-
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
-
Bonjour, pendant l'installation de cdimage, j'ai installé également webcake. Après quelque recherche, j'ai découvert que celui-ci est un logiciel très dangereux de type keylogger. Pendant l'instal, j'ai refusé la connection internet via mon parefeu, ce qui m'a probablement évité des ennuis. J'ai fait une analyse avec avira internet security et malwarebytes qui n'ont rien donné, puis j'ai fait une analyse avec spybot qui m'a trouvé 9 problèmes mais pas de keylogger mais un fichier de log. Je tiens à dire que j'ai réussi à enlever webcake mais je paranoï un peu.
Quelqu'un pourrait-il m'aider afin de vérifier si je n'ai pas quelque chose de méchant sur mon pc. merci

12 réponses

Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
Bien sûr !

> Téléchargez ICI ZHPDiag.
> Double-cliquez sur ZHPDiag.exe puis suivez les étapes de l'installation.
> Cochez la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquez sur [Terminer].
> L'installation est terminée, 3 icônes sont créées sur votre bureau.
> Double-cliquez sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur votre bureau.
> Choisissez l'option "Lancer le diagnostic" (une loupe).
> ZHPDiag va alors analyser le contenu de votre ordinateur à la recherche d'informations sur votre système d'exploitation, la base de registre...
> A la fin de l'analyse, un rapport est créé directement sur votre bureau, il se nomme ZHPDiag.txt.
> Allez a cette adresse, et cliquez sur parcourir, sélectionnez le fichier généré précédemment, et cliquez sur"Envoyer le fichier", puis récupérez l'adresse générée et postez la sur le forum.

Après on vas passer un coup de RogueKiller pour voir si il y a pas de Rootkit.

▶ Télécharge sur le bureau RogueKiller (merci à Tigzy).

Quitte tous les programmes en cours !

▶ Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe.

▶ Clique sur Scan.

▶ Puis clique sur Rapport et copie/colle le sur le forum

(le rapport est également sur le bureau).


Cordialement, Sugel.

------------------------------------------------------------------------------------
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
Salut, merci de répondre si rapidement.

Le lien pour ZhpDiag:http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130601_k13m15g10n12m13

Le rapport Roguekiller:

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Xavier [Droits d'admin]
Mode : Recherche -- Date : 01/06/2013 22:36:47
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[12] : NtAdjustPrivilegesToken @ 0x82EA43B3 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFE36)
SSDT[22] : NtAlpcConnectPort @ 0x82E560F1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2074)
SSDT[23] : NtAlpcCreatePort @ 0x82E9ED40 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C22EE)
SSDT[39] : NtAlpcSendWaitReceivePort @ 0x82E85DB7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2564)
SSDT[50] : NtClose @ 0x82E7D9DE -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C074A)
SSDT[59] : ExpInterlockedPopEntrySListResume @ 0x82E72C58 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C157E)
SSDT[64] : NtCreateEvent @ 0x82E65C39 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1AC8)
SSDT[66] : NtCreateFile @ 0x82E8475B -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0A26)
SSDT[74] : NtCreateMutant @ 0x82EA52B7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C19AE)
SSDT[75] : NtCreateNamedPipeFile @ 0x82EA88B7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFA24)
SSDT[77] : NtCreatePort @ 0x82EA3E20 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1882)
SSDT[84] : NtCreateSection @ 0x82E8C9CA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFBCC)
SSDT[85] : NtCreateSemaphore @ 0x82E6455B -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1BE8)
SSDT[86] : NtCreateSymbolicLinkObject @ 0x82E241D5 -> HOOKED (Unknown @ 0x8C0C3A7E)
SSDT[87] : NtCreateThread @ 0x82F0B836 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C03D0)
SSDT[88] : NtCreateThreadEx @ 0x82E948F3 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C04CE)
SSDT[93] : NtCreateUserProcess @ 0x82E5CAD8 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C27AE)
SSDT[94] : NtCreateWaitablePort @ 0x82DCD5FF -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1918)
SSDT[96] : NtDebugActiveProcess @ 0x82EDDFC4 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C32D6)
SSDT[107] : NtDeviceIoControlFile @ 0x82E46F27 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0EA8)
SSDT[111] : NtDuplicateObject @ 0x82E909A7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C44E4)
SSDT[134] : NtFsControlFile @ 0x82E7D030 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0CB6)
SSDT[155] : NtLoadDriver @ 0x82DDA474 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C33C8)
SSDT[168] : NtMapViewOfSection @ 0x82E6FC7E -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3B30)
SSDT[177] : NtOpenEvent @ 0x82E66022 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1B5E)
SSDT[179] : NtOpenFile @ 0x82E8F9CA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C07CC)
SSDT[187] : NtOpenMutant @ 0x82E86A76 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1A3E)
SSDT[190] : NtOpenProcess @ 0x82E51FA1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0074)
SSDT[194] : NtOpenSection @ 0x82E9EAE0 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C38CA)
SSDT[195] : NtOpenSemaphore @ 0x82E071E0 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1C7E)
SSDT[198] : NtOpenThread @ 0x82EA7C29 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFF64)
SSDT[224] : NtQueryDirectoryObject @ 0x82E4C0C2 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2868)
SSDT[254] : NtQuerySection @ 0x82E6444A -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3E6A)
SSDT[269] : NtQueueApcThread @ 0x82E209D9 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C375C)
SSDT[292] : NtReplaceKey @ 0x82ECBB52 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BE6DE)
SSDT[294] : NtReplyPort @ 0x82E787E8 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1FE2)
SSDT[295] : NtReplyWaitReceivePort @ 0x82E94D04 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1EA8)
SSDT[299] : NtRequestWaitReplyPort @ 0x82E5439F -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3070)
SSDT[302] : NtRestoreKey @ 0x82EC0242 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BEA56)
SSDT[304] : NtResumeThread @ 0x82E61DC9 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C4386)
SSDT[309] : NtSaveKey @ 0x82EC0440 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BE676)
SSDT[312] : NtSecureConnectPort @ 0x82E6465C -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C12C4)
SSDT[316] : NtSetContextThread @ 0x82F0D0C1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C05EC)
SSDT[336] : NtSetInformationToken @ 0x82E7B57D -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C290A)
SSDT[347] : NtSetSecurityObject @ 0x82E82C6A -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3566)
SSDT[350] : NtSetSystemInformation @ 0x82E1D664 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3FBA)
SSDT[366] : NtSuspendProcess @ 0x82F0D54F -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C40AC)
SSDT[367] : NtSuspendThread @ 0x82EC7463 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C41E6)
SSDT[368] : NtSystemDebugControl @ 0x82E219EC -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C31FA)
SSDT[370] : NtTerminateProcess @ 0x82E52480 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C021A)
SSDT[371] : NtTerminateThread @ 0x82E69A46 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0170)
SSDT[385] : NtUnmapViewOfSection @ 0x82E925FA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3D0E)
SSDT[399] : NtWriteVirtualMemory @ 0x82E82387 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0306)
S_SSDT[14] : NtGdiBitBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D26D0)
S_SSDT[237] : NtGdiMaskBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D27A6)
S_SSDT[247] : NtGdiPlgBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2816)
S_SSDT[302] : NtGdiStretchBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D273A)
S_SSDT[318] : NtUserAttachThreadInput -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2D9E)
S_SSDT[323] : NtUserBuildHwndList -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D287E)
S_SSDT[396] : NtUserFindWindowEx -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D24F4)
S_SSDT[402] : NtUserGetAsyncKeyState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2302)
S_SSDT[434] : NtUserGetKeyboardState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2602)
S_SSDT[436] : NtUserGetKeyState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D234E)
S_SSDT[490] : NtUserMessageCall -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2446)
S_SSDT[508] : NtUserPostMessage -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D239A)
S_SSDT[509] : NtUserPostThreadMessage -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D23EE)
S_SSDT[524] : NtUserRegisterRawInputDevices -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D258A)
S_SSDT[536] : NtUserSendInput -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D24A6)
S_SSDT[560] : NtUserSetParent -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2C50)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2248)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D22A0)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9120822AS ATA Device +++++
--- User ---
[MBR] 50d4cb84757a21da31f4e3113175528b
[BSP] c5e7eb8324876edaa6e312373d23074f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 70371 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 144326656 | Size: 44000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: CHIPSBNK v3.3.9.1 USB Device +++++
--- User ---
[MBR] c0699a96312659f258e51a7b916bb391
[BSP] ca217fc5a92a3b66e5a15c06fd3cef06 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 3886 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_01062013_223647.txt >>
RKreport[1]_S_01062013_223647.txt
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
Effectivement, c'est mauvais.
Par contre, je vais devoir m'absenter pendant deux-trois jours suite à un décès, donc je vais devoir confier la suite de la désinfection à un "collègue" ;-)
Bonne chance !
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Bonjour,

J'ai passé combofix pour voir s'il ne trouvait pas quelque chose, il m'a supprimé
C:\Program Data\page
" " \ico
" " \page.URL
J'ai également supprimé les clés présentes dans le registre du scan additionnel de ZHPDiag.

Maintenant, je ne m'y connait pas assez pour dire s'il reste une infection sur mon pc

A bientôt, et merci encore pour l'aide
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
re
désolé de mon absence, j'étais à un enterrement.
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
re.
Je suis de retour.
Fais cette manip:

Copie les lignes en gras ci dessous :

SysRestore
M2 - MFEP: prefs.js [Xavier - mo6w5l6d.default\plugin@getwebcake.com] [] WebCake v1.00.01 (..)
[HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current] =>PUP.MediaFinder
[HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
[HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A] =>Adware.IMBooster
[HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib] =>Toolbar.Conduit
FirewallRAZ
EmptyCLSID
EmptyTemp
EmptyFlash

Puis suis ce tutoriel imagé : http://www.security-helpzone.com/Thread-ZHPFix-Script


Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Bonjour, toutes mes condoléances

Voici le rapport ZHPFix :

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre :
Run by Xavier at 05/06/2013 10:36:24
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A
ABSENT Key: HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 31s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/06/2013 19:25:44 [490]
C:\ZHP\ZHPFix[R2].txt - 05/06/2013 10:36:26 [1626]


Par contre j'ai toujours les traces des .exe crées par le ou les virus dans mon parefeu, je ne sait pas si on peut les enlever ?

A bientôt
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
Re
Franchement, c'est mauvais.
Il y a un lien sur ton bureau appelé MBR check. Lance le.
Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (exemple : MBRCheck_07.21.10_18.08.06.txt)
Ce rapport est à uploader sur cijoint.

Tu peut refaire un ZHP Diag ??
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
C'est toi qui a mis KeyScrambler ??
D'après moi, les logiciels suivant sont inutiles, et peuvent nuire à la stabilité de ton PC:
RAM Saver Professional
TuneUpUtilities
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Re,

J'ai dû me déconnecter, voici le lien pour le rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_r8h9u14b9s5
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
Bon.
ces deux fichiers me paraissent plutôt louches:
C:\Windows\MBR.exe
C:\Windows\PEV.exe

Envoie les sur virus total:

> Envoie le fichier grâce au bouton "choisir un fichier"

> Un rapport va s'élaborer ligne à ligne.

> Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

> Sauvegarde le rapport avec le bloc-note.

> Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Re,

C'est vrai que j'ai des problèmes de stabilité (le menu démarrer s'affiche à répétition lorsque je navigue sur un site avec la flèche de défilement vers le bas) ou (je ne peux pas fermer une fenêtre avec la croix, elle diminue), c'est agaçant.

Tu pense donc qu'il faut que je désinstalle l'un ou l'autre voir les deux.
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
oui ;-)
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
aussi:
▶ Pour installer Adobe Reader, rends toi ici
!!Attention !! Pensez à décocher l'outil McAfee Security Scan proposé (ou Google Chrome suivant les cas).

Met a jour adobe reader.
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
Dis moi, et free pdf unlocker, c'est pour un mot de passe perdu ? -_-'
ne fais JAMAIS confiance à ce genre de logiciels, ils ne le méritent pas.
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Re,

J'ai désinstallé FreePDFUnlocker
J'ai mis à jour Adobe
Oui, c'est moi qui a installé Keyscrambler

Et voici le rapport pour MBR.exe :



Communauté
Statistiques
Documentation
FAQ
A propos

Rejoindre notre communauté
Se connecter

Français

VirusTotal
SHA256: ff14a83caafe2c941e29e9d177a876d72aed865571d8518f24d9ea265222741e
Nom du fichier : MBR.exe
Ratio de détection : 1 / 47
Date d'analyse : 2013-06-05 13:20:07 UTC (il y a 0 minute)
0
7
Plus de détails

Analyse
File detail
Informations supplémentaires
Commentaires
Votes

Antivirus Résultat Mise à jour
Agnitum 20130605
AhnLab-V3 20130604
AntiVir 20130605
Antiy-AVL 20130605
Avast 20130605
AVG 20130605
BitDefender 20130605
ByteHero 20130605
CAT-QuickHeal 20130605
ClamAV 20130605
Commtouch 20130605
Comodo 20130605
DrWeb 20130605
Emsisoft 20130605
eSafe 20130604
ESET-NOD32 20130605
F-Prot 20130605
F-Secure 20130605
Fortinet 20130605
GData 20130605
Ikarus 20130605
Jiangmin Trojan/Generic.mvhv 20130605
K7AntiVirus 20130604
K7GW 20130604
Kaspersky 20130605
Kingsoft 20130506
Malwarebytes 20130605
McAfee 20130605
McAfee-GW-Edition 20130605
Microsoft 20130605
MicroWorld-eScan 20130605
NANO-Antivirus 20130605
Norman 20130604
nProtect 20130605
Panda 20130605
PCTools 20130521
Rising 20130604
Sophos 20130605
SUPERAntiSpyware 20130605
Symantec 20130605
TheHacker 20130605
TotalDefense 20130605
TrendMicro 20130605
TrendMicro-HouseCall 20130605
VBA32 20130605
VIPRE 20130605
ViRobot 20130605
Blog | Twitter | contact@virustotal.com | Groupes Google | CGU | Politique de confidentialité

Et le rapport pou FEV.exe :



Communauté
Statistiques
Documentation
FAQ
A propos

Rejoindre notre communauté
Se connecter

Français

VirusTotal
SHA256: ae0f5cc54e4b133df66a54572a7ce52faff11f8fd0caeab088aad3699d6ec924
Nom du fichier : PEV.exe
Ratio de détection : 1 / 47
Date d'analyse : 2013-06-05 13:24:13 UTC (il y a 0 minute)
8
2
Plus de détails

Analyse
File detail
Informations supplémentaires
Commentaires
Votes

Antivirus Résultat Mise à jour
Agnitum 20130605
AhnLab-V3 20130604
AntiVir 20130605
Antiy-AVL 20130605
Avast 20130605
AVG 20130605
BitDefender 20130605
ByteHero 20130605
CAT-QuickHeal 20130605
ClamAV 20130605
Commtouch 20130605
Comodo 20130605
DrWeb 20130605
Emsisoft 20130605
eSafe Suspicious File 20130604
ESET-NOD32 20130605
F-Prot 20130605
F-Secure 20130605
Fortinet 20130605
GData 20130605
Ikarus 20130605
Jiangmin 20130605
K7AntiVirus 20130604
K7GW 20130604
Kaspersky 20130605
Kingsoft 20130506
Malwarebytes 20130605
McAfee 20130605
McAfee-GW-Edition 20130605
Microsoft 20130605
MicroWorld-eScan 20130605
NANO-Antivirus 20130605
Norman 20130604
nProtect 20130605
Panda 20130605
PCTools 20130521
Rising 20130604
Sophos 20130605
SUPERAntiSpyware 20130605
Symantec 20130605
TheHacker 20130605
TotalDefense 20130605
TrendMicro 20130605
TrendMicro-HouseCall 20130605
VBA32 20130605
VIPRE 20130605
ViRobot 20130605
Blog | Twitter | contact@virustotal.com | Groupes Google | CGU | Politique de confidentialité


A bientôt
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
bref, c'est clean.
Enfin, mieux vaut prévenir que guérir !
Je viens de réaliser que tu avais pas passé roguekiller en mode suppression, au début !
Fais le, et poste le rapport, SVP.
Puis, on vas enlever les outils utilisés.
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Re,

J'ai supprimer MBR.exe et PEV.exe dans C:\Windows
et oui j'avais fait suppression, voici le rapport que j'ai eu :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Xavier [Droits d'admin]
Mode : Suppression -- Date : 05/06/2013 16:10:31
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82E639CA -> HOOKED (Unknown @ 0x8FFE359E)
SSDT[155] : NtLoadDriver @ 0x82DB1474 -> HOOKED (Unknown @ 0x8FFE357B)
SSDT[347] : NtSetSecurityObject @ 0x82E59C6A -> HOOKED (Unknown @ 0x8FFE35AD)
SSDT[368] : NtSystemDebugControl @ 0x82DF89EC -> HOOKED (Unknown @ 0x8FFE35B2)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8FFE35C6)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8FFE35CB)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9120822AS ATA Device +++++
--- User ---
[MBR] 50d4cb84757a21da31f4e3113175528b
[BSP] c5e7eb8324876edaa6e312373d23074f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 70371 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 144326656 | Size: 44000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_05062013_161031.txt >>
RKreport[1]_S_05062013_160914.txt ; RKreport[2]_D_05062013_161031.txt
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
??
ils sont clean, pourquoi les supprimer ??
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Re,

Parce-que l'antivirus Jiangmin considère que MBR est un trojan/Generic.mvhv

J'ai supprimer ramsaver et mon système est beaucoup plus stable.
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
si tu regarde bien, je ne pouvais pas voir que Jiangmin le détectais dans la partie que tu m'as passé ;-)
Pas grave, l'important est ce que cela soit fait.
Bon, pour résumer:
Le MBR est clean pas de bébête dedans, pas de drivers susceptibles et capter les touches du clavier, et apparemment pas de processus dangereux.
Donc, on fais un dernier ZHP Diag, et après on enlève les outils.

MAIS:
je te déconseille l'usage d'optimisateurs comme tuneup utilities, car en plus de ne pas être efficaces, ils alourdissent ton système avec des processus gourmands, et te bombardent d'alertes et de pub.
De mon avis, tu gagne à désinstaller le tout, et à te méfier de ces optimisateurs.
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Bonjour,

Ok, voici le lien pour le rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_i7p6s14k6w8

A bientôt
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
il faut que tu mette à jour:
Adobe Flash Player
Adobe Reader
Java

Et puis, il reste toujours tune up utilities, et SuperCopier (celui la comme tu veux, mais perso, je n'en vois pas l'utilité)

Fix toujours ça, c'est des restes d'un logiciel désinstallé:

[MD5.00000000000000000000000000000000] [APT] [{66979E99-010E-4B07-AA1D-80B982D1D3ED}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{88E28E68-A8A9-4FEC-8F3B-F076E89513B9}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{FA9F8E23-C7A8-45B8-AE18-6ED16918078C}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]


Et sinon, c'est bon !
Télécharge et exécute delfix pour enlever les outils.

Cordialement, Sugel.
Messages postés
11
Date d'inscription
samedi 1 juin 2013
Statut
Membre
Dernière intervention
6 juin 2013

Merci pour tout, mon Pc est maintenant plus stable et plus sûr.

Cordialement.
Messages postés
4068
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
642
juste, lis ça avant de partir:
https://www.malekal.com/sommaireguide-savoir-utiliser-son-pc-et-bonnes-habitudes-sur-internet/
ça vaut tout l'or du monde ^^