Analyse zhpdiag

[Résolu/Fermé]
Signaler
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,
Je rencontre des problèmes sur mon pc, si quelqu'un pouvait me donner un coup de main pour analyser le fichier zhpdiag.txt merci.
https://www.cjoint.com/c/EFrkyenZwY7

27 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Salut,

Je rencontre des problèmes sur mon pc

Comme ?
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Par moment le disque est occupé à 100% alors qu'il n'y aucune activité, et via mon antivirus fortigate j'ai Riskware/BitCoinMiner qui a été trouvé. Ainsi, j'ai lancé adwcleaner, malwarebyte afin de voir si cela pouvait être résolu mais rien. Donc je viens ici pour trouver de l'aide.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
ok fais ceci, je n'utilise pas ZHPDiag :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

ok je le fais de suite, merci.
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


il est détecté dans quel fichier le miner ?
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Voici le fixlog.txt

Fix result of Farbar Recovery Scan Tool (x64) Version:13-06-2015
Ran by taurus at 2015-06-17 21:20:21 Run:2
Running from C:\Users\taurus\Desktop
Loaded Profiles: taurus (Available Profiles: taurus & fille)
Boot Mode: Normal
==============================================

fixlist content:

C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION


"C:\Users\taurus\AppData\Local\MgRslQP1UT" => File/Folder not found.
"C:\Program Files (x86)\PC Registry Shield" => File/Folder not found.
"C:\Program Files (x86)\Mysearchdial" => File/Folder not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90793FBE-D7BA-4346-9078-4A720C905466} => key not found.
C:\Windows\System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{68827150-A46F-4200-B6D4-3A2FDBC4346E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Popup => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Popup" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Start => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Start" => key removed successfully

End of Fixlog 21:20:21

Concernant le message d'erreur, le fichier sur lequel il est détecté change tout le temps. Voici un exemple;
time: 06/17/15 21:19:26, virus found: Riskware/BitCoinMiner, action: Access denied, c:\users\taurus\appdata\local\temp\msupdate71\msupdate.7z
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Tu peux supprimer le dossier msupdate71 ?
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

oui je viens de le faire mais risque de revenir sur un autre fichier, de même il arrivait aussi sur le .exe de ccleaner.
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Je viens de redémarrer le pc, faut-il refaire une analyse?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
histoire de :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Je viens juste d'avoir encore un virus alert (riskware/BitCoinMiner) sur le process: c:\program files(x86)\ESET\eset online scanner\onlinecmdline.
Access denied

Sinon l'analyse est en cours.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Tu n'aurais pas téléchargé un crack ou keygen avec un programme récemment ?

Pour NOD32 ... désactive ton antivirus le temps de faire le scan.


Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Oui c'est bien possible.
Ok je relance le scan ce soir car hier soir au bout de 2h pas fini.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Ton antivirtus a l'air de détecte des miner partout, dans NOD32 y en a pas, c'est un peu bizarre.
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Je viens de finir avec NOD32 pas d'erreur détecté, cependant je n'avais plus de contrôle sur la souris. J'ai redémarré le pc et là encore l'état d'activité du 100% mais j'ai de nouveau le contrôle de la souris.
C'est quand même bizarre.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Qu'est ce qui bouffe la CPU ?
Voir cette page pour déterminer l'utilisation CPU : https://forum.malekal.com/viewtopic.php?t=43589&start=
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

je viens de vérifier et c'est le forticlient realtime. J'ai fait fin de tâche et l'utilisation du disque est devenu normal.
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Lorsque je lance une analyse avec zhpdiag, il me trouve ceci:
---\\ Recherche dans la clé de registre Feature Controls (IFC) (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
~ Keys: Scanned in 00mn 00s
Et je n'arrive pas à le supprimer, merci de m'aider.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Ca n'est pas malicieux.
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Comment ça?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Les ligne que tu donnes ne prouvent pas la présence d'un malware.
Il ne faut pas s'en inquiéter.
Messages postés
14
Date d'inscription
mercredi 17 juin 2015
Statut
Membre
Dernière intervention
21 juin 2015

Ok merci pour la précision.
Cependant, j'ai encore des blocages par moment le pc ne réagit pas lorsque je lance n'importe quelle application puis au bout de quelquefois une minute l'application s'ouvre. J'ai quand même l'impression qu'il reste quelque chose, non?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Fais un checkdisk - paragraphe "Erreurs disque / Problème disque dur" et vérifie si tu as des erreurs dans l'onglet Health de HDD Tune.
=> https://forum.malekal.com/viewtopic.php?t=44006&start=


Installe Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de CoreTemp.
=> https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/


Passe un coup de SFC (System File Check) :
=> https://forum.malekal.com/viewtopic.php?t=50094&start=

bonsoir
pour ce qui est du test du disque visiblement cela a dû faire quelquechose car plus de blocage. Température hdd:45° et core0: 51° et core1:50°.
Ensuite le sfc, voici le rapport; http://pjjoint.malekal.com/files.php?id=20150622_s5j65o7e15.
Visiblement quelque soucis sur certain fichier mais est-ce grave?
Merci par avance.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 208
Peut-être le checkdisk alors.

Pour :
2015-06-22 22:32:26, Info CSI 0000093e [SR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2015-06-22 22:32:26, Info CSI 0000093f [SR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR"
2015-06-22 22:32:26, Info CSI 00000940 Hashes for file member \SystemRoot\WinSxS\Temp\InFlight\b57b838d2aadd00175c6000030177009\amd64_microsoft-windows-u..ed-telemetry-client_31bf3856ad364e35_6.3.9600.17842_none_90da81a4dac50d54\telemetry.ASM-WindowsDefault.json do not match actual file [l:66{33}]"telemetry.ASM-WindowsDefault.json" :


Je t'invite à suivre cette procédure : https://forum.malekal.com/viewtopic.php?t=51899&start=