Analyse zhpdiag
Résolu
seb2229
Messages postés
14
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je rencontre des problèmes sur mon pc, si quelqu'un pouvait me donner un coup de main pour analyser le fichier zhpdiag.txt merci.
https://www.cjoint.com/c/EFrkyenZwY7
Je rencontre des problèmes sur mon pc, si quelqu'un pouvait me donner un coup de main pour analyser le fichier zhpdiag.txt merci.
https://www.cjoint.com/c/EFrkyenZwY7
A voir également:
- Analyse zhpdiag
- Zhpdiag - Télécharger - Informations & Diagnostic
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Nouveau tag analysé - Forum Huawei
27 réponses
Par moment le disque est occupé à 100% alors qu'il n'y aucune activité, et via mon antivirus fortigate j'ai Riskware/BitCoinMiner qui a été trouvé. Ainsi, j'ai lancé adwcleaner, malwarebyte afin de voir si cela pouvait être résolu mais rien. Donc je viens ici pour trouver de l'aide.
ok fais ceci, je n'utilise pas ZHPDiag :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
il est détecté dans quel fichier le miner ?
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
il est détecté dans quel fichier le miner ?
Voici le fixlog.txt
Fix result of Farbar Recovery Scan Tool (x64) Version:13-06-2015
Ran by taurus at 2015-06-17 21:20:21 Run:2
Running from C:\Users\taurus\Desktop
Loaded Profiles: taurus (Available Profiles: taurus & fille)
Boot Mode: Normal
==============================================
fixlist content:
C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION
"C:\Users\taurus\AppData\Local\MgRslQP1UT" => File/Folder not found.
"C:\Program Files (x86)\PC Registry Shield" => File/Folder not found.
"C:\Program Files (x86)\Mysearchdial" => File/Folder not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90793FBE-D7BA-4346-9078-4A720C905466} => key not found.
C:\Windows\System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{68827150-A46F-4200-B6D4-3A2FDBC4346E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Popup => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Popup" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Start => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Start" => key removed successfully
time: 06/17/15 21:19:26, virus found: Riskware/BitCoinMiner, action: Access denied, c:\users\taurus\appdata\local\temp\msupdate71\msupdate.7z
Fix result of Farbar Recovery Scan Tool (x64) Version:13-06-2015
Ran by taurus at 2015-06-17 21:20:21 Run:2
Running from C:\Users\taurus\Desktop
Loaded Profiles: taurus (Available Profiles: taurus & fille)
Boot Mode: Normal
==============================================
fixlist content:
C:\Users\taurus\AppData\Local\MgRslQP1UT
C:\Program Files (x86)\PC Registry Shield
C:\Program Files (x86)\Mysearchdial
Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe"
Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION
Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION
"C:\Users\taurus\AppData\Local\MgRslQP1UT" => File/Folder not found.
"C:\Program Files (x86)\PC Registry Shield" => File/Folder not found.
"C:\Program Files (x86)\Mysearchdial" => File/Folder not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90793FBE-D7BA-4346-9078-4A720C905466} => key not found.
C:\Windows\System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{68827150-A46F-4200-B6D4-3A2FDBC4346E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Popup => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Popup" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully
C:\Windows\System32\Tasks\PCRegistryShield_Start => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Start" => key removed successfully
End of Fixlog 21:20:21
Concernant le message d'erreur, le fichier sur lequel il est détecté change tout le temps. Voici un exemple;time: 06/17/15 21:19:26, virus found: Riskware/BitCoinMiner, action: Access denied, c:\users\taurus\appdata\local\temp\msupdate71\msupdate.7z
oui je viens de le faire mais risque de revenir sur un autre fichier, de même il arrivait aussi sur le .exe de ccleaner.
histoire de :
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Je viens juste d'avoir encore un virus alert (riskware/BitCoinMiner) sur le process: c:\program files(x86)\ESET\eset online scanner\onlinecmdline.
Access denied
Sinon l'analyse est en cours.
Access denied
Sinon l'analyse est en cours.
Tu n'aurais pas téléchargé un crack ou keygen avec un programme récemment ?
Pour NOD32 ... désactive ton antivirus le temps de faire le scan.
Pour NOD32 ... désactive ton antivirus le temps de faire le scan.
Je viens de finir avec NOD32 pas d'erreur détecté, cependant je n'avais plus de contrôle sur la souris. J'ai redémarré le pc et là encore l'état d'activité du 100% mais j'ai de nouveau le contrôle de la souris.
C'est quand même bizarre.
C'est quand même bizarre.
Qu'est ce qui bouffe la CPU ?
Voir cette page pour déterminer l'utilisation CPU : https://forum.malekal.com/viewtopic.php?t=43589&start=
Voir cette page pour déterminer l'utilisation CPU : https://forum.malekal.com/viewtopic.php?t=43589&start=
je viens de vérifier et c'est le forticlient realtime. J'ai fait fin de tâche et l'utilisation du disque est devenu normal.
Lorsque je lance une analyse avec zhpdiag, il me trouve ceci:
---\\ Recherche dans la clé de registre Feature Controls (IFC) (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
~ Keys: Scanned in 00mn 00s
Et je n'arrive pas à le supprimer, merci de m'aider.
---\\ Recherche dans la clé de registre Feature Controls (IFC) (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
~ Keys: Scanned in 00mn 00s
Et je n'arrive pas à le supprimer, merci de m'aider.
Ok merci pour la précision.
Cependant, j'ai encore des blocages par moment le pc ne réagit pas lorsque je lance n'importe quelle application puis au bout de quelquefois une minute l'application s'ouvre. J'ai quand même l'impression qu'il reste quelque chose, non?
Cependant, j'ai encore des blocages par moment le pc ne réagit pas lorsque je lance n'importe quelle application puis au bout de quelquefois une minute l'application s'ouvre. J'ai quand même l'impression qu'il reste quelque chose, non?
Fais un checkdisk - paragraphe "Erreurs disque / Problème disque dur" et vérifie si tu as des erreurs dans l'onglet Health de HDD Tune.
=> https://forum.malekal.com/viewtopic.php?t=44006&start=
Installe Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de CoreTemp.
=> https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/
Passe un coup de SFC (System File Check) :
=> https://forum.malekal.com/viewtopic.php?t=50094&start=
=> https://forum.malekal.com/viewtopic.php?t=44006&start=
Installe Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de CoreTemp.
=> https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/
Passe un coup de SFC (System File Check) :
=> https://forum.malekal.com/viewtopic.php?t=50094&start=
bonsoir
pour ce qui est du test du disque visiblement cela a dû faire quelquechose car plus de blocage. Température hdd:45° et core0: 51° et core1:50°.
Ensuite le sfc, voici le rapport; http://pjjoint.malekal.com/files.php?id=20150622_s5j65o7e15.
Visiblement quelque soucis sur certain fichier mais est-ce grave?
Merci par avance.
pour ce qui est du test du disque visiblement cela a dû faire quelquechose car plus de blocage. Température hdd:45° et core0: 51° et core1:50°.
Ensuite le sfc, voici le rapport; http://pjjoint.malekal.com/files.php?id=20150622_s5j65o7e15.
Visiblement quelque soucis sur certain fichier mais est-ce grave?
Merci par avance.
Peut-être le checkdisk alors.
Pour :
2015-06-22 22:32:26, Info CSI 0000093e [SR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2015-06-22 22:32:26, Info CSI 0000093f [SR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR"
2015-06-22 22:32:26, Info CSI 00000940 Hashes for file member \SystemRoot\WinSxS\Temp\InFlight\b57b838d2aadd00175c6000030177009\amd64_microsoft-windows-u..ed-telemetry-client_31bf3856ad364e35_6.3.9600.17842_none_90da81a4dac50d54\telemetry.ASM-WindowsDefault.json do not match actual file [l:66{33}]"telemetry.ASM-WindowsDefault.json" :
Je t'invite à suivre cette procédure : https://forum.malekal.com/viewtopic.php?t=51899&start=
Pour :
2015-06-22 22:32:26, Info CSI 0000093e [SR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2015-06-22 22:32:26, Info CSI 0000093f [SR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR"
2015-06-22 22:32:26, Info CSI 00000940 Hashes for file member \SystemRoot\WinSxS\Temp\InFlight\b57b838d2aadd00175c6000030177009\amd64_microsoft-windows-u..ed-telemetry-client_31bf3856ad364e35_6.3.9600.17842_none_90da81a4dac50d54\telemetry.ASM-WindowsDefault.json do not match actual file [l:66{33}]"telemetry.ASM-WindowsDefault.json" :
Je t'invite à suivre cette procédure : https://forum.malekal.com/viewtopic.php?t=51899&start=
