Analyse d'un fichier log de ZHPDiag [Résolu/Fermé]

Signaler
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014
-
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014
-
Bonjour aux Gourous de la sécurité !

Merci d'abord pour les nombreux conseils forts utiles lorsque l'on cherche à faire un peu de ménage sur une machine malade...

J'ai pu identifier sur mon PC quelques infections virales et j'ai tenté leur élimination grâce à vos recommandations.

Pour vérifier que les choses sont en ordre au final, j'ai relancé une analyse complète avec ZHPDiag.

Le rapport est assez "touffu" et si quelqu'un peut y jeter un coup d'oeil pour vérifier s'il s'y trouve de bonnes ou mauvaises nouvelles, le novice que je suis en sera reconnaissant !

Le log est là : https://www.cjoint.com/?0BfoD6u5tmt

Merci !

A+
JM

5 réponses

Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
Salut
Il ne reste pas grand chose ;)

Voici les étapes à suivre :


- Il faut tout d'abord créer un point de restauration : https://www.pcastuces.com/pratique/astuces/3383.htm
- Puis vide complètement ta corbeille
- En suite lance cette fois-ci ZhpFix (clique droit et "Exécuter en tant qu'Administrateur"
- Clique sur "Importer'
- Et colle ça :




Script ZHPFix
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
EmptyTemp





- Clique sur Go en bas à gauche
- Confirme le nettoyage
- Et accepte le "vidage de corbeille"
- Colle le rapport de nettoyage obtenu

ATTENTION : ce script ne doit pas être utilisé par un autre ordinateur

Il te reste également des Toolbars, souhaites-tu les garder ?
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Merci pour la réponse Arnaud.

J'ai déroulé ta préconisation.

Je n'ai pas vu l'étape "vidage de corbeille" dont tu parles, mais j'ai eu le le log suivant.

Et je n'ai rien à garder de plus pour les Toolbars, surtout pas !

A+

Log :

- - - - - - - - - - - -

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-15-40-54.txt
Run by ZeBigBoss at 05/02/2014 15:40:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente

========== Préférences navigateur ==========
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl => Dossier absent
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb => Dossier absent

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 49

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 71

========== Autre ==========
Script ZHPFix => Format Non supporté


========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Préférences navigateur
1 : Autre


End of the scan
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
Ok relance ZHPFix et entre ça :

Script ZHPFix
G1 - GCS: Preference [User Data\Default] http://search.conduit.com
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion
[HKLM\Software\Classes\Installer\Features\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Classes\Installer\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{981029E0-7FC9-4CF3-AB39-6F133621921A}] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion] =>Toolbar.Yahoo
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
[HKLM\Software\Classes\CLSID\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

C'est passé !

Voici le bilan, avec mes remerciements !

- - - - -

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-16-03-53.txt
Run by ZeBigBoss at 05/02/2014 16:03:53
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
[HKCR\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll => Valeur supprimée avec succès

========== Préférences navigateur ==========
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\acer\empowering technology\edatasecurity\x86\edstoolbar.dll => Supprimé et mis en quarantaine

========== Autre ==========
Script ZHPFix => Format Non supporté
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
Tu avais utilisé quels logiciels avant ?
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Nettoyage avec MAM et TDSSKiller et AdwCleaner

Sans garantie dans l'ordre d'exécution de la bataille...
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
Re,

Désolé pour le temps de réponse ;)
Reste-t-il des problèmes sur ton pc ? Si oui lesquels ?
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Pas de souci ! je n'observe plus rien d'inquiétant à ce stade...
Sauf si tu préconises une vérification de plus, je pense que l'on peut clore le topic.

Merci encore !
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
On peut supprimer les logiciels de désinfection utilisés :

- Télécharge DelFix
- Lance-le
- Coche Réactiver l'UAC et Supprimer les logiciels de désinfection
- Enfin clique sur Exécuter
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Bonjour Arnaud,

Je crois bien que nous n'avons pas éradiqué complètement le sujet.
A nouveau un PC qui rame et après une nouvelle analyse complète avec ZHP (version à jour) il me retrouve ceci :

http://nicolascoolman.webs.com/apps/blog/show/26611908-rootkit-tdss

Log complet : https://www.cjoint.com/?0BzjcV8QhNu

Merci encore de ton aide !!!
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Bon, tu as déjà largement donné de ton temps et de tes connaissances.

On peut en rester là et je surveillerai le comportement de ma machine.

Faut-il solder ces travaux par quelques actions de plus ?
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
Je pense que l'on peut s'arrêter là...

Passe régulièrement MalwareBytes pour être "sûr" que rien ne revienne...
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Merci infiniment Arnaud !
Si je peux témoigner de ton aide et de ton efficacité quelque part...
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
183
De rien !

Content d'avoir pu t'aider ;)

Bon week-end !
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

Merci encore et bon we aussi à toi !