Analyse d'un fichier log de ZHPDiag
Résolu
a32
Messages postés
43
Date d'inscription
Statut
Membre
Dernière intervention
-
a32 Messages postés 43 Date d'inscription Statut Membre Dernière intervention -
a32 Messages postés 43 Date d'inscription Statut Membre Dernière intervention -
Bonjour aux Gourous de la sécurité !
Merci d'abord pour les nombreux conseils forts utiles lorsque l'on cherche à faire un peu de ménage sur une machine malade...
J'ai pu identifier sur mon PC quelques infections virales et j'ai tenté leur élimination grâce à vos recommandations.
Pour vérifier que les choses sont en ordre au final, j'ai relancé une analyse complète avec ZHPDiag.
Le rapport est assez "touffu" et si quelqu'un peut y jeter un coup d'oeil pour vérifier s'il s'y trouve de bonnes ou mauvaises nouvelles, le novice que je suis en sera reconnaissant !
Le log est là : https://www.cjoint.com/?0BfoD6u5tmt
Merci !
A+
JM
Merci d'abord pour les nombreux conseils forts utiles lorsque l'on cherche à faire un peu de ménage sur une machine malade...
J'ai pu identifier sur mon PC quelques infections virales et j'ai tenté leur élimination grâce à vos recommandations.
Pour vérifier que les choses sont en ordre au final, j'ai relancé une analyse complète avec ZHPDiag.
Le rapport est assez "touffu" et si quelqu'un peut y jeter un coup d'oeil pour vérifier s'il s'y trouve de bonnes ou mauvaises nouvelles, le novice que je suis en sera reconnaissant !
Le log est là : https://www.cjoint.com/?0BfoD6u5tmt
Merci !
A+
JM
A voir également:
- Analyse d'un fichier log de ZHPDiag
- Fichier bin - Guide
- Comment réduire la taille d'un fichier - Guide
- Comment ouvrir un fichier epub ? - Guide
- Fichier rar - Guide
- Fichier .dat - Guide
5 réponses
Salut
Il ne reste pas grand chose ;)
Voici les étapes à suivre :
- Il faut tout d'abord créer un point de restauration : https://www.pcastuces.com/pratique/astuces/3383.htm
- Puis vide complètement ta corbeille
- En suite lance cette fois-ci ZhpFix (clique droit et "Exécuter en tant qu'Administrateur"
- Clique sur "Importer'
- Et colle ça :
Script ZHPFix
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
EmptyTemp
- Clique sur Go en bas à gauche
- Confirme le nettoyage
- Et accepte le "vidage de corbeille"
- Colle le rapport de nettoyage obtenu
ATTENTION : ce script ne doit pas être utilisé par un autre ordinateur
Il te reste également des Toolbars, souhaites-tu les garder ?
Il ne reste pas grand chose ;)
Voici les étapes à suivre :
- Il faut tout d'abord créer un point de restauration : https://www.pcastuces.com/pratique/astuces/3383.htm
- Puis vide complètement ta corbeille
- En suite lance cette fois-ci ZhpFix (clique droit et "Exécuter en tant qu'Administrateur"
- Clique sur "Importer'
- Et colle ça :
Script ZHPFix
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
EmptyTemp
- Clique sur Go en bas à gauche
- Confirme le nettoyage
- Et accepte le "vidage de corbeille"
- Colle le rapport de nettoyage obtenu
ATTENTION : ce script ne doit pas être utilisé par un autre ordinateur
Il te reste également des Toolbars, souhaites-tu les garder ?
Merci pour la réponse Arnaud.
J'ai déroulé ta préconisation.
Je n'ai pas vu l'étape "vidage de corbeille" dont tu parles, mais j'ai eu le le log suivant.
Et je n'ai rien à garder de plus pour les Toolbars, surtout pas !
A+
Log :
- - - - - - - - - - - -
Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-15-40-54.txt
Run by ZeBigBoss at 05/02/2014 15:40:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
========== Préférences navigateur ==========
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl => Dossier absent
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb => Dossier absent
========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 49
========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 71
========== Autre ==========
Script ZHPFix => Format Non supporté
========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Préférences navigateur
1 : Autre
End of the scan
J'ai déroulé ta préconisation.
Je n'ai pas vu l'étape "vidage de corbeille" dont tu parles, mais j'ai eu le le log suivant.
Et je n'ai rien à garder de plus pour les Toolbars, surtout pas !
A+
Log :
- - - - - - - - - - - -
Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-15-40-54.txt
Run by ZeBigBoss at 05/02/2014 15:40:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
========== Préférences navigateur ==========
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl => Dossier absent
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb => Dossier absent
========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 49
========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 71
========== Autre ==========
Script ZHPFix => Format Non supporté
========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Préférences navigateur
1 : Autre
End of the scan
Ok relance ZHPFix et entre ça :
Script ZHPFix
G1 - GCS: Preference [User Data\Default] http://search.conduit.com
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion
[HKLM\Software\Classes\Installer\Features\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Classes\Installer\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{981029E0-7FC9-4CF3-AB39-6F133621921A}] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion] =>Toolbar.Yahoo
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
[HKLM\Software\Classes\CLSID\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
Script ZHPFix
G1 - GCS: Preference [User Data\Default] http://search.conduit.com
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion
[HKLM\Software\Classes\Installer\Features\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Classes\Installer\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{981029E0-7FC9-4CF3-AB39-6F133621921A}] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion] =>Toolbar.Yahoo
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
[HKLM\Software\Classes\CLSID\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
C'est passé !
Voici le bilan, avec mes remerciements !
- - - - -
Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-16-03-53.txt
Run by ZeBigBoss at 05/02/2014 16:03:53
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
[HKCR\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll => Valeur supprimée avec succès
========== Préférences navigateur ==========
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\program files\acer\empowering technology\edatasecurity\x86\edstoolbar.dll => Supprimé et mis en quarantaine
========== Autre ==========
Script ZHPFix => Format Non supporté
Voici le bilan, avec mes remerciements !
- - - - -
Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-16-03-53.txt
Run by ZeBigBoss at 05/02/2014 16:03:53
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
[HKCR\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll => Valeur supprimée avec succès
========== Préférences navigateur ==========
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\program files\acer\empowering technology\edatasecurity\x86\edstoolbar.dll => Supprimé et mis en quarantaine
========== Autre ==========
Script ZHPFix => Format Non supporté
Nettoyage avec MAM et TDSSKiller et AdwCleaner
Sans garantie dans l'ordre d'exécution de la bataille...
Sans garantie dans l'ordre d'exécution de la bataille...
On peut supprimer les logiciels de désinfection utilisés :
- Télécharge DelFix
- Lance-le
- Coche Réactiver l'UAC et Supprimer les logiciels de désinfection
- Enfin clique sur Exécuter
- Télécharge DelFix
- Lance-le
- Coche Réactiver l'UAC et Supprimer les logiciels de désinfection
- Enfin clique sur Exécuter
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour Arnaud,
Je crois bien que nous n'avons pas éradiqué complètement le sujet.
A nouveau un PC qui rame et après une nouvelle analyse complète avec ZHP (version à jour) il me retrouve ceci :
http://nicolascoolman.webs.com/apps/blog/show/26611908-rootkit-tdss
Log complet : https://www.cjoint.com/?0BzjcV8QhNu
Merci encore de ton aide !!!
Je crois bien que nous n'avons pas éradiqué complètement le sujet.
A nouveau un PC qui rame et après une nouvelle analyse complète avec ZHP (version à jour) il me retrouve ceci :
http://nicolascoolman.webs.com/apps/blog/show/26611908-rootkit-tdss
Log complet : https://www.cjoint.com/?0BzjcV8QhNu
Merci encore de ton aide !!!
On va faire autre chose :
- Télécharge RogueKiller : https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
- Lance-le
- Attends que le Préscan soit terminé
- Une fenêtre va s'ouvrir, clique sur "Accepter"
- Dans la partie gauche, clique sur Scan
- Une fois le scan terminé, clique sur Supression
- Une fois la supression terminée, redémarre le PC
- Télécharge RogueKiller : https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
- Lance-le
- Attends que le Préscan soit terminé
- Une fenêtre va s'ouvrir, clique sur "Accepter"
- Dans la partie gauche, clique sur Scan
- Une fois le scan terminé, clique sur Supression
- Une fois la supression terminée, redémarre le PC