Analyse d'un fichier log de ZHPDiag

Résolu
a32 Messages postés 45 Statut Membre -  
a32 Messages postés 45 Statut Membre -
Bonjour aux Gourous de la sécurité !

Merci d'abord pour les nombreux conseils forts utiles lorsque l'on cherche à faire un peu de ménage sur une machine malade...

J'ai pu identifier sur mon PC quelques infections virales et j'ai tenté leur élimination grâce à vos recommandations.

Pour vérifier que les choses sont en ordre au final, j'ai relancé une analyse complète avec ZHPDiag.

Le rapport est assez "touffu" et si quelqu'un peut y jeter un coup d'oeil pour vérifier s'il s'y trouve de bonnes ou mauvaises nouvelles, le novice que je suis en sera reconnaissant !

Le log est là : https://www.cjoint.com/?0BfoD6u5tmt

Merci !

A+
JM

5 réponses

Résumé de la discussion

Des analyses avec ZHPDiag et ZHPFix après des infections signalées ont été utilisées, et des doutes subsistent quant à la présence d’un rootkit, avec des logs détaillant suppressions de clés et de valeurs. Plusieurs éléments indiquent une remise en ordre via ZHPFix, notamment suppression de clés et paramètres navigateur, tandis que persiste le doute sur le rootkit TDSS et nécessité d'un débranchement des périphériques externes. Pour la suite, le log de ZHPDiag est jugé propre par certains participants, et des logs supplémentaires comme TDSSKiller ont été fournis pour vérification, avec résultats à interpréter prudemment. D'autres préconisent une surveillance régulière avec MalwareBytes et de rester vigilant quant à résurgence, tout en envisageant une vérification complémentaire et des scans périodiques additionnels.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. ArnaudLy6 Messages postés 4695 Statut Membre 189
     
    Salut
    Il ne reste pas grand chose ;)

    Voici les étapes à suivre :

    - Il faut tout d'abord créer un point de restauration : https://www.pcastuces.com/pratique/astuces/3383.htm
    - Puis vide complètement ta corbeille
    - En suite lance cette fois-ci ZhpFix (clique droit et "Exécuter en tant qu'Administrateur"
    - Clique sur "Importer'
    - Et colle ça :

    Script ZHPFix
    G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)
    G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
    EmptyTemp


    - Clique sur Go en bas à gauche
    - Confirme le nettoyage
    - Et accepte le "vidage de corbeille"
    - Colle le rapport de nettoyage obtenu

    ATTENTION : ce script ne doit pas être utilisé par un autre ordinateur

    Il te reste également des Toolbars, souhaites-tu les garder ?
    0
  2. a32 Messages postés 45 Statut Membre
     
    Merci pour la réponse Arnaud.

    J'ai déroulé ta préconisation.

    Je n'ai pas vu l'étape "vidage de corbeille" dont tu parles, mais j'ai eu le le log suivant.

    Et je n'ai rien à garder de plus pour les Toolbars, surtout pas !

    A+

    Log :

    - - - - - - - - - - - -

    Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-15-40-54.txt
    Run by ZeBigBoss at 05/02/2014 15:40:54
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Valeur(s) du Registre ==========
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente

    ========== Préférences navigateur ==========
    C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl => Dossier absent
    C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb => Dossier absent

    ========== Dossier(s) ==========
    Dossiers temporaires Windows supprimés: 49

    ========== Fichier(s) ==========
    Fichiers temporaires Windows supprimés : 71

    ========== Autre ==========
    Script ZHPFix => Format Non supporté

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    2 : Préférences navigateur
    1 : Autre

    End of the scan
    0
    1. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      Ok relance ZHPFix et entre ça :

      Script ZHPFix
      G1 - GCS: Preference [User Data\Default] http://search.conduit.com
      O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
      O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
      O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion
      [HKLM\Software\Classes\Installer\Features\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLM\Software\Classes\Installer\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{981029E0-7FC9-4CF3-AB39-6F133621921A}] =>Toolbar.Agent
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion] =>Toolbar.Yahoo
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
      [HKLM\Software\Classes\CLSID\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
      0
  3. a32 Messages postés 45 Statut Membre
     
    C'est passé !

    Voici le bilan, avec mes remerciements !

    - - - - -

    Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-16-03-53.txt
    Run by ZeBigBoss at 05/02/2014 16:03:53
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
    [HKCR\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll => Valeur supprimée avec succès

    ========== Préférences navigateur ==========
    G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
    G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
    G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
    G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
    G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
    G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès

    ========== Fichier(s) ==========
    c:\program files\acer\empowering technology\edatasecurity\x86\edstoolbar.dll => Supprimé et mis en quarantaine

    ========== Autre ==========
    Script ZHPFix => Format Non supporté
    0
    1. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      Tu avais utilisé quels logiciels avant ?
      0
  4. a32 Messages postés 45 Statut Membre
     
    Nettoyage avec MAM et TDSSKiller et AdwCleaner

    Sans garantie dans l'ordre d'exécution de la bataille...
    0
    1. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      Re,

      Désolé pour le temps de réponse ;)
      Reste-t-il des problèmes sur ton pc ? Si oui lesquels ?
      0
    2. a32 Messages postés 45 Statut Membre
       
      Pas de souci ! je n'observe plus rien d'inquiétant à ce stade...
      Sauf si tu préconises une vérification de plus, je pense que l'on peut clore le topic.

      Merci encore !
      0
    3. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      On peut supprimer les logiciels de désinfection utilisés :

      - Télécharge DelFix
      - Lance-le
      - Coche Réactiver l'UAC et Supprimer les logiciels de désinfection
      - Enfin clique sur Exécuter
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. a32 Messages postés 45 Statut Membre
     
    Bonjour Arnaud,

    Je crois bien que nous n'avons pas éradiqué complètement le sujet.
    A nouveau un PC qui rame et après une nouvelle analyse complète avec ZHP (version à jour) il me retrouve ceci :

    http://nicolascoolman.webs.com/apps/blog/show/26611908-rootkit-tdss

    Log complet : https://www.cjoint.com/?0BzjcV8QhNu

    Merci encore de ton aide !!!
    0
    1. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      Re,

      Il faudrait que tu mettes Adobe Flash Player, Adobe Reader et Java à jour ...
      0
    2. a32 Messages postés 45 Statut Membre
       
      Merci de reprendre la bataille Arnaud !

      J'ai mis à jour ces 3 logiciels.

      Faut-il relancer des scripts ou des utilitaires de nettoyage ?
      0
    3. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      On va essayer de repasser MalwareBytes
      0
    4. a32 Messages postés 45 Statut Membre
       
      Bon, j'ai refait un scan complet et détaillé avec MalwareBytes lancé en tant qu'administrateur sur tous les disques du système et.... rien !

      Rapport vierge au bout de 4h30 d'analyse.

      Dois-je refaire une vérification avec un autre analyseur ?

      A+ et merci.
      0
    5. ArnaudLy6 Messages postés 4695 Statut Membre 189
       
      On va faire autre chose :

      - Télécharge RogueKiller : https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
      - Lance-le
      - Attends que le Préscan soit terminé
      - Une fenêtre va s'ouvrir, clique sur "Accepter"
      - Dans la partie gauche, clique sur Scan
      - Une fois le scan terminé, clique sur Supression
      - Une fois la supression terminée, redémarre le PC
      0