Analyse zhpdiag

Résolu/Fermé
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015 - 17 juin 2015 à 20:02
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 juin 2015 à 11:10
Bonjour,
Je rencontre des problèmes sur mon pc, si quelqu'un pouvait me donner un coup de main pour analyser le fichier zhpdiag.txt merci.
https://www.cjoint.com/c/EFrkyenZwY7
A voir également:

27 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
17 juin 2015 à 20:07
Salut,

Je rencontre des problèmes sur mon pc

Comme ?
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 20:29
Par moment le disque est occupé à 100% alors qu'il n'y aucune activité, et via mon antivirus fortigate j'ai Riskware/BitCoinMiner qui a été trouvé. Ainsi, j'ai lancé adwcleaner, malwarebyte afin de voir si cela pouvait être résolu mais rien. Donc je viens ici pour trouver de l'aide.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
17 juin 2015 à 20:32
ok fais ceci, je n'utilise pas ZHPDiag :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 20:37
ok je le fais de suite, merci.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 20:53
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
17 juin 2015 à 21:13
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


il est détecté dans quel fichier le miner ?
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 21:24
Voici le fixlog.txt

Fix result of Farbar Recovery Scan Tool (x64) Version:13-06-2015
Ran by taurus at 2015-06-17 21:20:21 Run:2
Running from C:\Users\taurus\Desktop
Loaded Profiles: taurus (Available Profiles: taurus & fille)
Boot Mode: Normal
==============================================

fixlist content:

C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION


"C:\Users\taurus\AppData\Local\MgRslQP1UT" => File/Folder not found.
"C:\Program Files (x86)\PC Registry Shield" => File/Folder not found.
"C:\Program Files (x86)\Mysearchdial" => File/Folder not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90793FBE-D7BA-4346-9078-4A720C905466} => key not found.
C:\Windows\System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{68827150-A46F-4200-B6D4-3A2FDBC4346E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Popup => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Popup" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Start => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Start" => key removed successfully

End of Fixlog 21:20:21

Concernant le message d'erreur, le fichier sur lequel il est détecté change tout le temps. Voici un exemple;
time: 06/17/15 21:19:26, virus found: Riskware/BitCoinMiner, action: Access denied, c:\users\taurus\appdata\local\temp\msupdate71\msupdate.7z
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 17/06/2015 à 21:26
Tu peux supprimer le dossier msupdate71 ?
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 21:32
oui je viens de le faire mais risque de revenir sur un autre fichier, de même il arrivait aussi sur le .exe de ccleaner.
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 22:03
Je viens de redémarrer le pc, faut-il refaire une analyse?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
17 juin 2015 à 22:22
histoire de :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
17 juin 2015 à 22:56
Je viens juste d'avoir encore un virus alert (riskware/BitCoinMiner) sur le process: c:\program files(x86)\ESET\eset online scanner\onlinecmdline.
Access denied

Sinon l'analyse est en cours.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
18 juin 2015 à 09:43
Tu n'aurais pas téléchargé un crack ou keygen avec un programme récemment ?

Pour NOD32 ... désactive ton antivirus le temps de faire le scan.


0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
18 juin 2015 à 10:22
Oui c'est bien possible.
Ok je relance le scan ce soir car hier soir au bout de 2h pas fini.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
18 juin 2015 à 10:43
Ton antivirtus a l'air de détecte des miner partout, dans NOD32 y en a pas, c'est un peu bizarre.
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
18 juin 2015 à 21:49
Je viens de finir avec NOD32 pas d'erreur détecté, cependant je n'avais plus de contrôle sur la souris. J'ai redémarré le pc et là encore l'état d'activité du 100% mais j'ai de nouveau le contrôle de la souris.
C'est quand même bizarre.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
19 juin 2015 à 09:13
Qu'est ce qui bouffe la CPU ?
Voir cette page pour déterminer l'utilisation CPU : https://forum.malekal.com/viewtopic.php?t=43589&start=
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
19 juin 2015 à 21:51
je viens de vérifier et c'est le forticlient realtime. J'ai fait fin de tâche et l'utilisation du disque est devenu normal.
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
19 juin 2015 à 23:38
Lorsque je lance une analyse avec zhpdiag, il me trouve ceci:
---\\ Recherche dans la clé de registre Feature Controls (IFC) (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
~ Keys: Scanned in 00mn 00s
Et je n'arrive pas à le supprimer, merci de m'aider.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
20 juin 2015 à 11:38
Ca n'est pas malicieux.
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
20 juin 2015 à 22:42
Comment ça?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 juin 2015 à 10:42
Les ligne que tu donnes ne prouvent pas la présence d'un malware.
Il ne faut pas s'en inquiéter.
0
seb2229 Messages postés 14 Date d'inscription mercredi 17 juin 2015 Statut Membre Dernière intervention 21 juin 2015
21 juin 2015 à 12:34
Ok merci pour la précision.
Cependant, j'ai encore des blocages par moment le pc ne réagit pas lorsque je lance n'importe quelle application puis au bout de quelquefois une minute l'application s'ouvre. J'ai quand même l'impression qu'il reste quelque chose, non?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 juin 2015 à 18:06
Fais un checkdisk - paragraphe "Erreurs disque / Problème disque dur" et vérifie si tu as des erreurs dans l'onglet Health de HDD Tune.
=> https://forum.malekal.com/viewtopic.php?t=44006&start=


Installe Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de CoreTemp.
=> https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/


Passe un coup de SFC (System File Check) :
=> https://forum.malekal.com/viewtopic.php?t=50094&start=

0
bonsoir
pour ce qui est du test du disque visiblement cela a dû faire quelquechose car plus de blocage. Température hdd:45° et core0: 51° et core1:50°.
Ensuite le sfc, voici le rapport; http://pjjoint.malekal.com/files.php?id=20150622_s5j65o7e15.
Visiblement quelque soucis sur certain fichier mais est-ce grave?
Merci par avance.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
23 juin 2015 à 17:39
Peut-être le checkdisk alors.

Pour :
2015-06-22 22:32:26, Info CSI 0000093e [SR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2015-06-22 22:32:26, Info CSI 0000093f [SR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR"
2015-06-22 22:32:26, Info CSI 00000940 Hashes for file member \SystemRoot\WinSxS\Temp\InFlight\b57b838d2aadd00175c6000030177009\amd64_microsoft-windows-u..ed-telemetry-client_31bf3856ad364e35_6.3.9600.17842_none_90da81a4dac50d54\telemetry.ASM-WindowsDefault.json do not match actual file [l:66{33}]"telemetry.ASM-WindowsDefault.json" :


Je t'invite à suivre cette procédure : https://forum.malekal.com/viewtopic.php?t=51899&start=
0