Sujet Précédent Sujet Suivant

Utilisation ZHP FIX

Résolu/Fermé
JJJJZZZ - Modifié le 3 janv. 2022 à 17:29
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 - 5 janv. 2022 à 10:11
Bonjour,

Mon PC est infecté par des virus notamment Hacktool:win32/Keygen. J'utilise Windows defender qui n'arrive pas à le supprimer.

J'ai fait un scan avec ZHPdiag. le rapport est le suivant : https://www.cjoint.com/c/KLEip7NiHgT Quelqu'un pourrait il m'aider à utiliser ZHP fix svp.
A voir également:

4 réponses

Réponse 1 / 4
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 19 301
Modifié le 30 déc. 2021 à 11:02
Bonjour,
ZHPdiag n'est pas assez pertinent.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent


À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .

Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.


0
JJJJZZZ
30 déc. 2021 à 11:24
Merçi, je le fais de suite.
0
JJJJZZZ
Modifié le 30 déc. 2021 à 11:46
Les rapports FRST et ADDITION sont les suivants : https://www.cjoint.com/c/KLEkOUg73UT et https://www.cjoint.com/c/KLEkQStSxsT
0
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 19 301 > JJJJZZZ
Modifié le 30 déc. 2021 à 12:39
Tu as utiliser un keygen pour Autodesk et tu as bien infecté ton pc évite de faire ça tu n'auras que des ennuis en utilisant ce genre de procédé, une fois la désinfection terminée change tous tes mots de passe en ligne ils ont pus être dérobés.
Windows Defender t'avertissait car tu as ce keygen sur ton pc dans le fichier AutoDesk.rar qui se trouve dans 
E:\AUTOCAD ARCHI ROBOT\AutoDesk civil 3D\Universal XFORCE\AutoDesk.rar
.


Procédure à faire dans l'ordre indiqué :

A - Désinstalle le logiciel NativeDesktopMediaService.

B - McAfee est mal désinstallé désinstalle-le avec cet outil de McAfee.

C - Désinfection :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
Task: {3219EB06-963E-40A7-8DF1-C5F0CFD912E8} - System32\Tasks\C7A5F620-25B9-8AA5-20A8-A2DB3EA5BFF1 => C:\WINDOWS\SysWOW64\regsvr32.exe /n /s /i:"/0a9beef421834250 /q" "C:\Users\Jeanette\AppData\Local\B615F1~1\{BACCB~1." 
Task: {F8C4A413-6FC5-4982-BBF5-CDB12E199B3C} - System32\Tasks\Hewlett-Packard\Ptlcfpifal => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe C:\Users\Jeanette\AppData\Local\RecordStem\ResruyceTrade\KADSZWeb_A310.dll /u
Task: {1060DBF9-4D40-439B-839E-C5B119D38267} - System32\Tasks\AdvancedWindowsManager #5 => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe -v 114 -t 8080 (Pas de fichier) 
Task: {29E51AC1-DCB4-4590-A084-8A1A43D426E0} - System32\Tasks\AdvancedWindowsManager #2 => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe -v 111 -t 8080 (Pas de fichier) 
Task: {2A161095-14B9-4FC7-84F3-3898E10DA42E} - System32\Tasks\McAfee\McAfee Idle Detection Task => {ABCDCA3B-DE6B-5A7C-B132-6D7CBA63E5C5} "C:\Program Files\Common Files\McAfee\Platform\McAMTaskAgent.exe" (Pas de fichier)
Task: {2A946CF6-A043-4549-985A-BAD3D96EDB97} - System32\Tasks\AdvancedWindowsManager #6 => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe -v 115 -t 8080 (Pas de fichier) 
Task: {32438818-AA2E-4512-8317-16C0E05334CA} - System32\Tasks\AdvancedWindowsManager #3 => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe -v 112 -t 8080 (Pas de fichier) 
Task: {3B57804E-C7B7-45C6-9E2D-459B16E31B1B} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent => {ABCECA3B-EA5A-496B-A021-5C6BAB365E5C} "C:\Program Files\Common Files\McAfee\Platform\McAMTaskAgent.exe" (Pas de fichier)
Task: {600B73CE-B6F8-45BA-99EA-51DC2FACE802} - System32\Tasks\AdvancedWindowsManager #1 => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe -v 110 -t 8080 (Pas de fichier) 
Task: {80E017C4-CCE9-4AC4-AEF7-CEE788575E3C} - System32\Tasks\McAfeeLogon => C:\PROGRA~1\COMMON~1\McAfee\Platform\McUICnt.exe /platui (Pas de fichier)
Task: {8C11D447-4AB6-4099-9EE8-05027CD76FA8} - System32\Tasks\HPJumpStartLaunch => C:\Program Files (x86)\HP\HP JumpStart Launch\HPJumpStartLaunch.exe (Pas de fichier)
Task: {B94FADAE-893A-4FAF-BAFA-6C0363D529F3} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe (Pas de fichier) 
Task: {D86BD7BD-69D8-4BCE-818E-697DA1736C39} - System32\Tasks\services64 => C:\Users\Jeanette\AppData\Roaming\services64.exe (Pas de fichier) 
Task: {F725620E-7901-4A86-B75A-7BFA9F69D538} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\Windows Updater.exe /silentall -nofreqcheck (Pas de fichier) 
Task: {FFC8CE7D-ADCD-4A0F-9DF5-476D70E29BCB} - System32\Tasks\AdvancedWindowsManager #4 => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe -v 113 -t 8080 (Pas de fichier) 
Task: {2F70A1BE-3EFF-4096-B762-36961859D515} - System32\Tasks\{58E70B9D-8155-4370-8705-0282815AD4EB} => C:\ProgramData\Dika\watchdog.exe [793600 2018-12-29] () [Fichier non signé]
U3 aspnet_state; pas de ImagePath
S1 echtiukc; \??\C:\WINDOWS\system32\drivers\echtiukc.sys [X]
S4 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
E:\AUTOCAD ARCHI ROBOT\AutoDesk civil 3D\Universal XFORCE\AutoDesk.rar
C:\Users\Jeanette\AppData\Local\B615F1~1
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
cmd: netsh advfirewall reset
C:\WINDOWS\rss\csrss.exe
Hosts:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- Réinitialise Firefox avec https://www.commentcamarche.net/telecharger/utilitaires/19335-resetbrowser/ lire attentivement la page jusqu'au bout les effets de la réinitialisation y sont expliqués.

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

0
JJJJZZZ > bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024
30 déc. 2021 à 15:18
Et malheureusement mon problème n'est toujours pas résolu.
0
JJJJZZZ
Modifié le 30 déc. 2021 à 16:04
Le fichier fixlog est le suivant : https://www.cjoint.com/c/KLEnO7jkY8T
0
Réponse 2 / 4
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 19 301
30 déc. 2021 à 16:03
Fait une nouvelle analyse FRST et donne les rapports.
0
Réponse 3 / 4
JJJJZZZ
Modifié le 3 janv. 2022 à 17:19
Bonjour et bonne année. Désolé pour le retard. Voici les rapports : https://www.cjoint.com/c/LAdo6h4hqIT et https://www.cjoint.com/c/LAdpbqBrs8T

Finalement j'ai supprimé les dossiers contenant les keygens et ma machine ne me signale plus la présence de Hacktool:win32/Keygen.
0
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 19 301
Modifié le 3 janv. 2022 à 17:36
Comme déjà dit plus haut le problème venait de fichiers .rar infectieux.

Voici les détections de Windows Defender :
G:\Autodesk Revit 2017 Win64\crack\xf-adsk2017_x64.zip

C:\Users\Jeanette\Downloads\Videos\Nouveau dossier (2)\REVIT ARCHITECTURE\Bibiothèque Revit 2016\RAC 2016\Libraries\US Metric\Autocad+2013+AIO+Key.rar

E:\AUTOCAD ARCHI ROBOT\AutoDesk civil 3D\Universal XFORCE\AutoDesk\AutoDesk\Universal XFORCE\universal.xforce.keygen.Autodesk.2016.rar

À l'avenir évite de télécharger ce genre de fichiers ils sont pour la plupart vérolés.

Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
G:\Autodesk Revit 2017 Win64\crack\xf-adsk2017_x64.zip
C:\Users\Jeanette\Downloads\Videos\Nouveau dossier (2)\REVIT ARCHITECTURE\Bibiothèque Revit 2016\RAC 2016\Libraries\US Metric\Autocad+2013+AIO+Key.rar
E:\AUTOCAD ARCHI ROBOT\AutoDesk civil 3D\Universal XFORCE\AutoDesk\AutoDesk\Universal XFORCE\universal.xforce.keygen.Autodesk.2016.rar
Task: {4B808791-9849-480C-A267-2E1F9EAE6D1F} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe /DeviceScanR6 (Pas de fichier)
Task: {4F36F8C2-9885-42C6-8425-404ED6FDD782} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe /L Analysis (Pas de fichier)
Task: {601BAFC2-620C-43D2-82E8-652536C5C75D} - System32\Tasks\Hewlett-Packard\HP Active Health\HP Active Health Scan (HPSA) => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPActiveHealth\ActiveHealth.exe -task -source HPSA (Pas de fichier)
Task: {96871E96-7EFF-4981-A169-71708DBE2395} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /u (Pas de fichier)
Task: {AB2214DB-8662-4F76-8311-027EB518CD9F} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe /send (Pas de fichier)
Task: {CD31ED9A-F6F2-4999-9D53-549636FF61E1} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe /taskrestart (Pas de fichier)
Task: {DD36C7D7-FB9A-446D-AAA3-735A6B654691} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - Resources => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /r /m (Pas de fichier)
Task: {EDC65BA7-0881-4E5D-A2F6-C2D65BF5044A} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Product Configurator => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\ProductConfig.exe /noreport (Pas de fichier)
S2 HP Comm Recover; "C:\Program Files\HPCommRecovery\HPCommRecovery.exe" [X]
S2 HPJumpStartBridge; "c:\Program Files (x86)\HP\HP JumpStart Bridge\HPJumpStartBridge.exe" [X]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

.
0
Réponse 4 / 4
JJJJZZZ
Modifié le 5 janv. 2022 à 09:54
Bonjour, après correction, voici le fichier fixlog : https://www.cjoint.com/c/LAfiNs7KNfT
0
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 19 301
5 janv. 2022 à 09:56
Le fixlog est OK.
Si pour toi tout est aussi OK tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0
JJJJZZZ > bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024
5 janv. 2022 à 10:09
Merci beaucoup pour votre aide.
1
bazfile Messages postés 56507 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 décembre 2024 19 301 > JJJJZZZ
5 janv. 2022 à 10:11
De rien.
@+ sur CCM.
1

Discussions similaires

Ressource demandée en cours d'utilisation
Taylow -
Elaura23 -

11 réponses
a qoui sert un objectif 18-55 et un de 55-200
mohamed -
Anne -

4 réponses