> Tous les forums > Forum Sécurité
 Demande d'aide pour analyse rapport UsbFixSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
matt100
  Posté le 21/07/2011 @ 14:46 
Aller en bas de la page 
Petit astucien

Bonjour,

Je viens de faire analyser mes périphéries externes par UbsFix.

Cela génère un rapport mais je ne sais pas l'analyser.

Pouvez vous m'aider à le comprendre svp? (surtout qu'il a détecté des éléments infectieux...)

Merci par avance.

NB: je suis sous Vista

############################## | UsbFix 7.049 | [Recherche]

Utilisateur: Matt41 (Administrateur) # PC-DE-MATTHEW [SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P]
Mis à jour le 12/07/2011 par TeamXscript
Lancé à 14:14:34 | 21/07/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Activé
RAM -> 3069 Mo
C:\ (%systemdrive%) -> Disque fixe # 112 Go (19 Go libre(s) - 17%) [Disque C:] # NTFS
D:\ -> Disque fixe # 111 Go (83 Go libre(s) - 75%) [Disque D:] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 1000 Mo (64 Mo libre(s) - 6%) [USB MATT41] # FAT
G:\ -> Disque amovible # 120 Mo (120 Mo libre(s) - 100%) [] # FAT
H:\ -> Disque amovible # 4 Go (2 Go libre(s) - 46%) [] # FAT32

################## | Éléments infectieux |

Présent! C:\Users\Matt41\AppData\Local\Temp\pv.exe

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


<config>Windows Vista / [/download/telecharger-111-firefox Firefox] 5.0</config>


Publicité
Anonyme
 Posté le 21/07/2011 à 15:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour

Je viens de faire analyser mes périphéries externes par UbsFix.

Cela génère un rapport mais je ne sais pas l'analyser.

Pouvez vous m'aider à le comprendre svp? (surtout qu'il a détecté des éléments infectieux...)

il faut donc passer au "nettoyage", voir pour une aide en vidéo >> ICI

la détection étant dans les dossiers temporaires de votre disque dur "système", je vous conseille de suivre la procédure ci dessous et de poster les rapports pour un membre du Groupe Sécurité

bonne continuation



Modifié par Anonyme le 21/07/2011 15:57
matt100
 Posté le 21/07/2011 à 17:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

d'accord merci,mais comment je fais pour "poster les rapports pour un membre du Groupe Sécurité" ?

Georges78660
 Posté le 21/07/2011 à 18:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Denim te donne le lien, tu cliques sur "Aide au diagnostic d'un pc infecté (PCAstuces)

matt100
 Posté le 21/07/2011 à 18:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : UsbFix.txt

matt100
 Posté le 21/07/2011 à 18:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

y.bli
 Posté le 21/07/2011 à 18:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien
matt100 a écrit :

comment je fais pour "poster les rapports pour un membre du Groupe Sécurité" ?

Bonjour,

Tu postes ton rapport ici, à la suite des messages et tu attends qu'un membre du groupe te prenne en charge..

@+

edit : ah tu l'as fait pendant que j'écrivais...



Modifié par y.bli le 21/07/2011 18:40
matt100
 Posté le 21/07/2011 à 18:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Anonyme
 Posté le 21/07/2011 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir

Merci pour les rapports, celui de ZHPDiag montre des infections :

M3 - MFPP: Plugins - [Matt41] -- C:\Users\Matt41\AppData\Roaming\Mozilla\Firefox\Profiles\22dzg1c1.default\searchplugins\web-search.xml => Infection BT (Parasite.Pugi)

[HKCU\Software\cacaoweb] => Infection PUP (PUP.CacaoWeb)

O43 - CFD: 25/04/2011 - 13:32:46 - [372529] ----D- C:\Users\Matt41\AppData\Roaming\cacaoweb => Infection PUP (PUP.CacaoWeb)

[HKCU\Software\cacaoweb] => Infection PUP (PUP.CacaoWeb)

C:\Users\Matt41\AppData\Roaming\cacaoweb => Infection PUP (PUP.CacaoWeb)

detected hooks:

Warning: possible MBR rootkit infection ! => Infection Rootkit (Possible)

ainsi qu'un logiciel pas net

Cracklock 3.8.4

Logiciel en francais qui sert à : quand vous installez un sharware limité à 30 jours d'utilisation, cracklock bloque l'horloge du logiciel et ne décompte plus les jours, donc on peut dire que vous avez une version complète la place d'une version limité à 30 jours d'essai.

.....donc

Prévention crack et p2p :

  • Ce forum aide gratuitement à la désinfection des machines en échange d'une prise de conscience des dangers liés à l'usage d'Internet. On n'est que rarement infecté accidentellement. C'est d'ailleurs rassurant pour tous ceux qui sont prudents. La plupart des sources d'infections sont véhiculées par les logiciels de partage de fichiers (torrent, p2p), par l'utilisation de cracks ou keygens et par des sites à contenus pornographiques. Je vous invite donc à changer en profondeur vos habitudes de surf, pas pour des raisons morales ou juridiques, mais simplement parce que si vous recommencez, votre machine sera irrémédiablement ré-infectée, quelles que soient d'ailleurs les protections que vous pourriez envisager.

  • Vous vous demandez sans doute quel est l'intérêt de véhiculer des infections ? Pour les $$$, les € et les roubles.

  • Une machine compromise peut être intégrée dans un botnet. Ces réseaux de machines zombies peuvent mener des attaques contre des sites Internet légitimes, envoyer du spam (pub ou pièces jointes infectieuses). Cette machine peut également être utilisée pour stocker des fichiers illégaux (peut-être pédo-pornographique), ou espionnée pour y dénicher des mots de passe ou des identifiants bancaires, paypal etc...

  • Le jeu en vaut-il la chandelle ? Je vous invite donc à désinstaller tous les logiciels de partage de fichiers et les cracks/keygens que vous pouvez avoir.

  • Maintenant, si vous vous retrouvez infecté pour les mêmes raisons, vous ne pourrez plus dire que vous ne saviez pas.


La suite vous sera donnée par un membre du Groupe Sécurité.

Bonne continuation



Modifié par Anonyme le 21/07/2011 20:48
Publicité
pear
 Posté le 22/07/2011 à 11:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.
Cliquer sur Yes pour continuer
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger demandera de redémarrer la machine, OK

Ne réactivez PAS ces drivers avant la fin de la désinfection
Vous cliquerez sur Enable pour réactiver.


Télécharger GMER
clic sur "Download EXE" et télécharger le fichier sur le bureau.

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :
Show All
Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"
Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

image

Lorsque le scan est terminé, clic sur "Copy"

Il peut arriver que GMER plante sans raison apparente.
Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;
si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
Comme on ne verra pas la couleur, indiquez les dans votre message


Ouvrez le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistrer le fichier sur le bureau et copier/coller le contenu.

Téléchargez AD-Remover sur le bureau
image

Déconnectez-vous et fermez toutes les applications en cours
Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover sur le bureau
image
Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet
Une fois la désinfection terminée, mais pas avant:
désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

matt100
 Posté le 22/07/2011 à 12:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Pour Denim:

Ce n'est pas moi qui ai installé ces programmes, c'est mon frère. D'ailleurs je ne connaissais pas leur nom.... j'ai désintaller "Cracklock 3.8.4" en passant par :C\ProgramFiles comme il n'était pas présent dans le menu du panneau de configuration.

Par contre pour l'autre programme "cacaoweb" je ne le trouve nul part???


matt100
 Posté le 22/07/2011 à 12:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Rapport GMER.txt

Il n'y avait pas deligne en rouge pour GMER



Modifié par matt100 le 22/07/2011 12:34
matt100
 Posté le 22/07/2011 à 12:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Il n'y avait pas deligne en rouge pour GMER

AD-REMOVER SCAN

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 12:04:05 le 22/07/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
Matt41@PC-DE-MATTHEW (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)

============== RECHERCHE ==============


Fichier trouvé: C:\Users\Matt41\AppData\Roaming\Mozilla\FireFox\Profiles\22dzg1c1.default\searchplugins\web-search.xml

-- Fichier ouvert: C:\Users\Matt41\AppData\Roaming\Mozilla\FireFox\Profiles\22dzg1c1.default\Prefs.js --
Ligne trouvée: user_pref("extensions.vshare@toolbar.update.enabled", false);
Ligne trouvée: user_pref("keyword.URL", "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=");
-- Fichier Fermé --


Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{83FA27D5-25B5-4D24-B796-DF742F08A5CF}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0.1 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

-- C:\Users\Matt41\AppData\Roaming\Mozilla\FireFox\Profiles\22dzg1c1.default --
Searchplugins\web-search.xml (?)
Prefs.js - browser.search.defaultenginename, Web Search...
Prefs.js - browser.startup.homepage, chrome://speeddial/content/speeddial.xul
Prefs.js - browser.startup.homepage_override.buildID, 20110707182747
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0.1
Prefs.js - keyword.URL, hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{381FFDE8-2394-4f90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2010\about.exe\about.ex (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE7} - WindowsFolder\hh.exe (x)
HKLM_ElevationPolicy\{A492E928-85D7-4ea3-B601-9BFFA4C2EE25} - C:\Program Files\Nuance\NaturallySpeaking10\Program\natspeak.exe (Nuance Communications, Inc.)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 22/07/2011 12:04:15 (3597 Octet(s))

Fin à: 12:05:42, 22/07/2011

============== E.O.F ==============



Modifié par matt100 le 22/07/2011 12:31
matt100
 Posté le 22/07/2011 à 12:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nettoyage:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:07:00 le 22/07/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
Matt41@PC-DE-MATTHEW (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)

============== ACTION(S) ==============


Fichier supprimé: C:\Users\Matt41\AppData\Roaming\Mozilla\FireFox\Profiles\22dzg1c1.default\searchplugins\web-search.xml

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Matt41\AppData\Roaming\Mozilla\FireFox\Profiles\22dzg1c1.default\Prefs.js --
Ligne supprimée: user_pref("extensions.vshare@toolbar.update.enabled", false);
Ligne supprimée: user_pref("keyword.URL", "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=");
-- Fichier Fermé --


Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{83FA27D5-25B5-4D24-B796-DF742F08A5CF}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0.1 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

-- C:\Users\Matt41\AppData\Roaming\Mozilla\FireFox\Profiles\22dzg1c1.default --
Prefs.js - browser.search.defaultenginename, Web Search...
Prefs.js - browser.startup.homepage, chrome://speeddial/content/speeddial.xul
Prefs.js - browser.startup.homepage_override.buildID, 20110707182747
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0.1

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{381FFDE8-2394-4f90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2010\about.exe\about.ex (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE7} - WindowsFolder\hh.exe (x)
HKLM_ElevationPolicy\{A492E928-85D7-4ea3-B601-9BFFA4C2EE25} - C:\Program Files\Nuance\NaturallySpeaking10\Program\natspeak.exe (Nuance Communications, Inc.)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/07/2011 12:07:31 (3463 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/07/2011 12:04:15 (3735 Octet(s))

Fin à: 12:09:11, 22/07/2011

============== E.O.F ==============

NB: pour le désintaller je n'ai pas compris ce que signifie "lancez avec l'option D"?

Merci d'avance



Modifié par matt100 le 22/07/2011 12:33
pear
 Posté le 22/07/2011 à 12:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Java n'est pas à jour,donc moins sécurisé.
Rendez vous là:
Java Downloads for All Operating Systems
Cliquer Remove older Versions
Puis sur
Windows 7/XP Online

Spybot, totalement obsolète va être désinstallé.Vous pourrez utiliser Mbam pour le remplacer.
Auparavant, vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots


Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Clic droit sur un espace vide du bureau->Nouveau->Document texte
Sélectionner toutes les lignes en vert ci dessous(et seulement elles)
pour cela;
(clic gauche maintenu enfoncé) Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Ctrl+v pour inscrire le texte dans le Document
En haut, à gauche:
Dans Fichiers>Enregistrer sous....
Enregistrer le fichier dans le dossier-> C:\Program Files\ZHPDiag
Dans Nom de fichier,inscrire ZHPDiag.txt.
Acceptez la demande de confirmation qui permet d'écraser l'ancien rapport.


[HKCU\Software\cacaoweb] => Infection PUP (PUP.CacaoWeb)
O43 - CFD: 25/04/2011 - 13:32:46 - [372529] ----D- C:\Users\Matt41\AppData\Roaming\cacaoweb => Infection PUP (PUP.CacaoWeb)
C:\Users\Matt41\AppData\Roaming\cacaoweb => Infection PUP (PUP.CacaoWeb)
O23 - Service: (BDFM) - Clé orpheline => Orphean Key not necessary
O23 - Service: (LIVESRV) - Clé orpheline => Orphean Key not necessary
O42 - Logiciel: MicroBest Cracklock 3.8.4 - (.William BLUM.) [HKLM] -- Cracklock_is1
O43 - CFD: 14/09/2009 - 21:57:58 - [834944] ----D- C:\Program Files\Cracklock => Crack, KeyGen, Keymaker - Possible Malware
O43 - CFD: 18/07/2011 - 13:17:22 - [10242242] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 08/06/2011 - 22:21:30 - [0] ----D- C:\Users\Matt41\AppData\Local\{A4B20078-0081-443C-9CC8-A4BFF44848E9} => Empty Folder not necessary
O43 - CFD: 29/04/2011 - 20:47:48 - [0] ----D- C:\Users\Matt41\AppData\Local\{E5689F50-BD26-4D26-B385-85E516A1765C} => Empty Folder not necessary
O87 - FAEL: "{3947299F-F63C-4D51-B700-3434F7D96AC9}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{760F89C9-DF25-4B1A-A676-2EF2BEC7CE3F}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe






Cliquer sur l'icône Zhpfix qui est sur votre bureau
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
image

Cliquez ensuite sur le H- image
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.
image
Cliquer sur "Tous" puis sur "Nettoyer" 2.
Acceptez de Redémarrer pour achever le nettoyage.
Un rapport apparait:
image
Si le rapport n'apparait pas,cliquer surimage
Copier-coller le rapport de suppression dans la prochaine réponse.



matt100
 Posté le 22/07/2011 à 13:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'avais déjà désinstaller Spybot. Et TeaTimer n'était plus actif.
Par contre je me suis rendu dans:
C:\ProgramData\Spybot - Search & Destroy\ mais ce dossier ne contient que 2 dossiers:
-Logs
-Recovery
et 1 fichier: ProcCache.sbc
Il n'y a pas de dossier Snapshots n'y de fichier Snapshots...

Lors dela création du nouveau rapport de ZHPDiag j'ai un soucis.
Je le crée et au moment de l'enregistrer ils me demandent si je vaux le remplacer, je fais oui, puis un message d'erreur apparait:
"Impossible de créer le fichier C:\Program Files\ZHPDiag\ZHPDiag.Txt.
Vérifiez que le nom et le chemin d'accès sont corrects"



Modifié par matt100 le 22/07/2011 13:10
pear
 Posté le 22/07/2011 à 14:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Cela arrive parfois, faute de droits suffisants !!
Faites comme ceci:

Cliquer sur l'icône Zhpfix qui est sur votre bureau
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:



[HKCU\Software\cacaoweb]
O43 - CFD: 25/04/2011 - 13:32:46 - [372529] ----D- C:\Users\Matt41\AppData\Roaming\cacaoweb
C:\Users\Matt41\AppData\Roaming\cacaoweb
O23 - Service: (BDFM) - Clé orpheline
O23 - Service: (LIVESRV) - Clé orpheline
O42 - Logiciel: MicroBest Cracklock 3.8.4 - (.William BLUM.) [HKLM] -- Cracklock_is1
O43 - CFD: 14/09/2009 - 21:57:58 - [834944] ----D- C:\Program Files\Cracklock
O43 - CFD: 18/07/2011 - 13:17:22 - [10242242] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 08/06/2011 - 22:21:30 - [0] ----D- C:\Users\Matt41\AppData\Local\{A4B20078-0081-443C-9CC8-A4BFF44848E9}
O43 - CFD: 29/04/2011 - 20:47:48 - [0] ----D- C:\Users\Matt41\AppData\Local\{E5689F50-BD26-4D26-B385-85E516A1765C}
O87 - FAEL: "{3947299F-F63C-4D51-B700-3434F7D96AC9}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{760F89C9-DF25-4B1A-A676-2EF2BEC7CE3F}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe



image

Cliquez ensuite sur le H- image
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.
image
Cliquer sur "Tous" puis sur "Nettoyer" 2.
Acceptez de Redémarrer pour achever le nettoyage.
Un rapport apparait:
image
Si le rapport n'apparait pas,cliquer surimage
Copier-coller le rapport de suppression dans la prochaine réponse.



Modifié par pear le 22/07/2011 14:28
Publicité
matt100
 Posté le 22/07/2011 à 16:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport de ZHPFix 1.12.3343 par Nicolas Coolman, Update du 21/07/2011
Fichier d'export Registre :
Run by Matt41 at 22/07/2011 16:04:05
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: Cracklock_is1

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\cacaoweb
ABSENT Key: Service: BDFM
ABSENT Key: Service: LIVESRV

========== Valeur(s) du Registre ==========
ABSENT {3947299F-F63C-4D51-B700-3434F7D96AC9}
ABSENT {760F89C9-DF25-4B1A-A676-2EF2BEC7CE3F}

========== Dossier(s) ==========
ABSENT C:\Users\Matt41\AppData\Roaming\cacaoweb
ABSENT C:\Program Files\Cracklock
ABSENT C:\ProgramData\Spybot - Search & Destroy
ABSENT C:\Users\Matt41\AppData\Local\{A4B20078-0081-443C-9CC8-A4BFF44848E9}
ABSENT C:\Users\Matt41\AppData\Local\{E5689F50-BD26-4D26-B385-85E516A1765C}

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\matt41\appdata\roaming\cacaoweb


========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
5 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPFix\ZHPFixReport.txt



End of the scan in 00mn 00s

pear
 Posté le 22/07/2011 à 18:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bien.

Comment va la machine ?

matt100
 Posté le 22/07/2011 à 20:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Mon ordinateur marche sans problème.

Est ce que la procédure est terminé?

Par contre vous ne m'avez pas expliquer comment désinstaller AD-Remover en "lançant avec l'option D"? Je n'est pas compris cela...



Modifié par matt100 le 22/07/2011 20:36
pear
 Posté le 23/07/2011 à 00:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

D= Désinstaller

matt100
 Posté le 23/07/2011 à 11:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ah d'accord {#} merci beaucoup pour votre aide.

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
demande aide pour analyse rapport usbfix svp
Demande aide pour analyse de rapport hijackthis
Aide pour analyse du rapport hijack
demande d aide pour lire ce rapport
Souhaite aide pour analyse rapport hijackthis
demande d'aide pour rapport hijackthis
Demande d'aide pour analyse pc s'il vous plait
demande analyse rapport hijack pour virtumonde...
demande aide pour rapport
Aide pour une analyse de rapport HijackThis
Plus de sujets relatifs à Demande d''aide pour analyse rapport UsbFix
 > Tous les forums > Forum Sécurité