Analyse d'un fichier log de ZHPDiag

Résolu/Fermé
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014
- 5 févr. 2014 à 14:37
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014
- 1 mars 2014 à 16:20
Bonjour aux Gourous de la sécurité !

Merci d'abord pour les nombreux conseils forts utiles lorsque l'on cherche à faire un peu de ménage sur une machine malade...

J'ai pu identifier sur mon PC quelques infections virales et j'ai tenté leur élimination grâce à vos recommandations.

Pour vérifier que les choses sont en ordre au final, j'ai relancé une analyse complète avec ZHPDiag.

Le rapport est assez "touffu" et si quelqu'un peut y jeter un coup d'oeil pour vérifier s'il s'y trouve de bonnes ou mauvaises nouvelles, le novice que je suis en sera reconnaissant !

Le log est là : https://www.cjoint.com/?0BfoD6u5tmt

Merci !

A+
JM

5 réponses

ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
5 févr. 2014 à 14:41
Salut
Il ne reste pas grand chose ;)

Voici les étapes à suivre :


- Il faut tout d'abord créer un point de restauration : https://www.pcastuces.com/pratique/astuces/3383.htm
- Puis vide complètement ta corbeille
- En suite lance cette fois-ci ZhpFix (clique droit et "Exécuter en tant qu'Administrateur"
- Clique sur "Importer'
- Et colle ça :




Script ZHPFix
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
EmptyTemp





- Clique sur Go en bas à gauche
- Confirme le nettoyage
- Et accepte le "vidage de corbeille"
- Colle le rapport de nettoyage obtenu

ATTENTION : ce script ne doit pas être utilisé par un autre ordinateur

Il te reste également des Toolbars, souhaites-tu les garder ?
0
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

5 févr. 2014 à 15:44
Merci pour la réponse Arnaud.

J'ai déroulé ta préconisation.

Je n'ai pas vu l'étape "vidage de corbeille" dont tu parles, mais j'ai eu le le log suivant.

Et je n'ai rien à garder de plus pour les Toolbars, surtout pas !

A+

Log :

- - - - - - - - - - - -

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-15-40-54.txt
Run by ZeBigBoss at 05/02/2014 15:40:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS => Valeur absente

========== Préférences navigateur ==========
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl => Dossier absent
C:\Users\ZeBigBoss\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb => Dossier absent

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 49

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 71

========== Autre ==========
Script ZHPFix => Format Non supporté


========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Préférences navigateur
1 : Autre


End of the scan
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
5 févr. 2014 à 15:47
Ok relance ZHPFix et entre ça :

Script ZHPFix
G1 - GCS: Preference [User Data\Default] http://search.conduit.com
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion
[HKLM\Software\Classes\Installer\Features\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Classes\Installer\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0E9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{981029E0-7FC9-4CF3-AB39-6F133621921A}] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion] =>Toolbar.Yahoo
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
[HKLM\Software\Classes\CLSID\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}] =>Toolbar.eDataSecurity
0
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

5 févr. 2014 à 16:05
C'est passé !

Voici le bilan, avec mes remerciements !

- - - - -

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2014-16-03-53.txt
Run by ZeBigBoss at 05/02/2014 16:03:53
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Yahoo! Toolbar - (...) [HKLM] -- Yahoo! Companion => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès
[HKCR\CLSID\{5CBE3B7C-1E47-477e-A7DD-396DB0476E29}] => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.Egis Incorporated. - Acer eDataSecurity Management Explorer Tool.) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll => Valeur supprimée avec succès

========== Préférences navigateur ==========
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès
G1 - GCS: Preference [User Data\Default] http://search.conduit.com => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\acer\empowering technology\edatasecurity\x86\edstoolbar.dll => Supprimé et mis en quarantaine

========== Autre ==========
Script ZHPFix => Format Non supporté
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
5 févr. 2014 à 16:19
Tu avais utilisé quels logiciels avant ?
0
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

5 févr. 2014 à 16:26
Nettoyage avec MAM et TDSSKiller et AdwCleaner

Sans garantie dans l'ordre d'exécution de la bataille...
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
16 févr. 2014 à 16:08
Re,

Désolé pour le temps de réponse ;)
Reste-t-il des problèmes sur ton pc ? Si oui lesquels ?
0
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

17 févr. 2014 à 09:39
Pas de souci ! je n'observe plus rien d'inquiétant à ce stade...
Sauf si tu préconises une vérification de plus, je pense que l'on peut clore le topic.

Merci encore !
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
17 févr. 2014 à 17:18
On peut supprimer les logiciels de désinfection utilisés :

- Télécharge DelFix
- Lance-le
- Coche Réactiver l'UAC et Supprimer les logiciels de désinfection
- Enfin clique sur Exécuter
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

25 févr. 2014 à 09:03
Bonjour Arnaud,

Je crois bien que nous n'avons pas éradiqué complètement le sujet.
A nouveau un PC qui rame et après une nouvelle analyse complète avec ZHP (version à jour) il me retrouve ceci :

http://nicolascoolman.webs.com/apps/blog/show/26611908-rootkit-tdss

Log complet : https://www.cjoint.com/?0BzjcV8QhNu

Merci encore de ton aide !!!
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
25 févr. 2014 à 20:14
Re,

Il faudrait que tu mettes Adobe Flash Player, Adobe Reader et Java à jour ...
0
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

26 févr. 2014 à 10:57
Merci de reprendre la bataille Arnaud !

J'ai mis à jour ces 3 logiciels.

Faut-il relancer des scripts ou des utilitaires de nettoyage ?
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
26 févr. 2014 à 12:29
On va essayer de repasser MalwareBytes
0
a32
Messages postés
43
Date d'inscription
mercredi 5 février 2014
Statut
Membre
Dernière intervention
24 mars 2014

26 févr. 2014 à 20:43
Bon, j'ai refait un scan complet et détaillé avec MalwareBytes lancé en tant qu'administrateur sur tous les disques du système et.... rien !

Rapport vierge au bout de 4h30 d'analyse.

Dois-je refaire une vérification avec un autre analyseur ?

A+ et merci.
0
ArnaudLy6
Messages postés
4411
Date d'inscription
samedi 22 mai 2010
Statut
Membre
Dernière intervention
13 février 2016
187
26 févr. 2014 à 20:49
On va faire autre chose :

- Télécharge RogueKiller : https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
- Lance-le
- Attends que le Préscan soit terminé
- Une fenêtre va s'ouvrir, clique sur "Accepter"
- Dans la partie gauche, clique sur Scan
- Une fois le scan terminé, clique sur Supression
- Une fois la supression terminée, redémarre le PC
0