Analyse d'un fichier log de ZHPDiag Résolu/Fermé

Question

Bonjour aux Gourous de la sécurité !

Merci d'abord pour les nombreux conseils forts utiles lorsque l'on cherche à faire un peu de ménage sur une machine malade...

J'ai pu identifier sur mon PC quelques infections virales et j'ai tenté leur élimination grâce à vos recommandations.

Pour vérifier que les choses sont en ordre au final, j'ai relancé une analyse complète avec ZHPDiag.

Le rapport est assez "touffu" et si quelqu'un peut y jeter un coup d'oeil pour vérifier s'il s'y trouve de bonnes ou mauvaises nouvelles, le novice que je suis en sera reconnaissant !

Le log est là : https://www.cjoint.com/?0BfoD6u5tmt

Merci !

A+
JM

ArnaudLy6 · Answer

Salut
Il ne reste pas grand chose ;)

Voici les étapes à suivre : 


- Il faut tout d'abord créer un point de restauration : https://www.pcastuces.com/pratique/astuces/3383.htm 
- Puis vide complètement ta corbeille 
- En suite lance cette fois-ci ZhpFix (clique droit et "Exécuter en tant qu'Administrateur" 
- Clique sur "Importer' 
- Et colle ça : 




Script ZHPFix
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)    
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
EmptyTemp


    

- Clique sur Go en bas à gauche 
- Confirme le nettoyage 
- Et accepte le "vidage de corbeille" 
- Colle le rapport de nettoyage obtenu

ATTENTION : ce script ne doit pas être utilisé par un autre ordinateur

Il te reste également des Toolbars, souhaites-tu les garder ?

a32 · Answer

Merci pour la réponse Arnaud.

J'ai déroulé ta préconisation.

Je n'ai pas vu l'étape "vidage de corbeille" dont tu parles, mais j'ai eu le le log suivant.

Et je n'ai rien à garder de plus pour les Toolbars, surtout pas !

A+

Log :

- - - - - - - - - - - - 

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-15-40-54.txt
Run by ZeBigBoss at 05/02/2014 15:40:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS  => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS  => Valeur absente

========== Préférences navigateur ==========
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl  => Dossier absent
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb  => Dossier absent

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 49

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 71

========== Autre ==========
Script ZHPFix  => Format Non supporté


========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Préférences navigateur
1 : Autre


End of the scan

a32 · Answer

C'est passé !

Voici le bilan, avec mes remerciements !

- - - - -

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-16-03-53.txt
Run by ZeBigBoss at 05/02/2014 16:03:53
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion  => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}]  => Clé supprimée avec succès
[HKCR\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}]  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll  => Valeur supprimée avec succès

========== Préférences navigateur ==========
G1 - GCS: Preference [User Data\Default] http://search.conduit.com  => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com  => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com  => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com  => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com  => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\acer\empowering technology\edatasecurity\x86\edstoolbar.dll  => Supprimé et mis en quarantaine

========== Autre ==========
Script ZHPFix  => Format Non supporté

a32 · Answer

Nettoyage avec MAM et TDSSKiller et AdwCleaner

Sans garantie dans l'ordre d'exécution de la bataille...

a32 · Answer

Bonjour Arnaud,

Je crois bien que nous n'avons pas éradiqué complètement le sujet.
A nouveau un PC qui rame et après une nouvelle analyse complète avec ZHP (version à jour) il me retrouve ceci :

http://nicolascoolman.webs.com/apps/blog/show/26611908-rootkit-tdss

Log complet : https://www.cjoint.com/?0BzjcV8QhNu 

Merci encore de ton aide !!!

Analyse d'un fichier log de ZHPDiag

5 réponses

Discussions similaires