× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Demande analyse rapport ZHPdiagSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Catimage
  Posté le 06/10/2014 @ 12:31 
Aller en bas de la page 
Astucienne

Bonjour

Récemment, aprés avoir éxecuté Malwayrebyte, il m'a trouvé deux infections dans mon Pc ( Windows Seven x64, Asus). C'était :

PUP. Optional.BundlleInstaller. A et aussi : PUP. Optional.Amonetize

Ils ont été supprimés et à présent Malwayrebyte ne trouve plus rien. J'ai aussi éxécuté adwcleaner, rien trouvé non plus. Ensuite j'ai fait une analyse avec ZHPdiag selon la procédure indiquée ici, voici le rapport ( si quelqu'un peut me dire s'il reste un élément nuisible encore ) :

Précision ChildMoon fait partie de mon navigateur ( PaleMoon) et la Bing bar, c'est moi qui l'ai installée. Je m'en sers.

Voici le rapport : VOIR PLUS BAS .. J'ai finalement pu le mettre en copié collé à défaut de tout le reste. Désolée

Je vous remercie d'avance

Cat.



Modifié par Catimage le 06/10/2014 12:48
Publicité
Pierre95
 Posté le 06/10/2014 à 12:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Catimage,

Le lien pour ton rapport ZHPDiag pointe sur la page d'accueil de CJOINT

Peux tu recommencer et si ça ne marche toujours pas, utilises la commande "inserer un rapport" en bas à droite de la dernière question.

Catimage
 Posté le 06/10/2014 à 12:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

~ Rapport de ZHPDiag v2014.10.5.141 - Nicolas Coolman (05/10/2014)
~ Lancé par Catherine (06/10/2014 11:53:12)
~ Adresse du Site Web http://nicolascoolman.fr
~ Adresse du Forum http://forum.nicolascoolman.fr
~ Traduit par Nicolas Coolman
~ Liste blanche : Activée par le programme
~ Elévation des Privilèges : OK
~ User Account Control (UAC): Deactivate by program


---\\ Navigateurs Internet
MSIE: Internet Explorer v11.0.9600.17280

---\\ Informations sur les produits Windows
~ Langage: Français
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)
Windows Server License Manager Script : OK
~ Windows Operating System - Windows(R) 7, OEM_SLP channel
System Locked Preinstallation (OEM_SLP) : OK
Windows ID Activation : OK
~ Windows Partial Key : DVQJG
Windows License : OK
~ Windows Remaining Initializations Number : 1
Software Protection Service (Protection logicielle) : OK
Windows Automatic Updates : OK
Windows Activation Technologies : OK

---\\ Logiciels de protection du système
Malwarebytes Anti-Malware version 2.0.2.1012
Microsoft Security Client v4.6.0305.0
Windows Defender W7 (Deactivate)

---\\ Logiciels d'optimisation du système
CCleaner v4.18

---\\ Logiciels de partage PeerToPeer

---\\ Surveillance de Logiciels
Adobe Flash Player 15 Plugin
Adobe Reader XI

---\\ Informations sur le système
~ Processor: Intel64 Family 6 Model 42 Stepping 7, GenuineIntel
~ Operating System: 64 Bits
Boot mode: Normal (Normal boot)
Total RAM: 4063 MB (57% free)
System Restore: Activé (Enable)
System drive C: has 144 GB (77%) free of 186 GB

---\\ Mode de connexion au système
~ Computer Name: CATHERINE-PC
~ User Name: Catherine
~ All Users Names: Catherine, Administrateur,
~ Unselected Option: None
Logged in as Administrator

---\\ Variables d'environnement
~ System Unit : C:\
~ %AppZHP% : C:\Users\Catherine\AppData\Roaming\ZHP\
~ %AppData% : C:\Users\Catherine\AppData\Roaming\
~ %Desktop% : C:\Users\Catherine\Desktop\
~ %Favorites% : C:\Users\Catherine\Favorites\
~ %LocalAppData% : C:\Users\Catherine\AppData\Local\
~ %StartMenu% : C:\Users\Catherine\AppData\Roaming\Microsoft\Windows\Start Menu\
~ %Windir% : C:\Windows\
~ %System% : C:\Windows\System32\

---\\ Enumération des unités disques
C: Hard drive, Flash drive, Thumb drive (Free 144 Go of 186 Go)
D: Hard drive, Flash drive, Thumb drive (Free 261 Go of 261 Go)
E: CD-ROM drive (Not Inserted)
F: Floppy drive, Flash card reader, USB Key (Not Inserted)



---\\ Etat du Centre de Sécurité Windows
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
~ Security Center: 46 Legitimates Filtered in 00mn 00s



---\\ Recherche particulière de fichiers génériques
[MD5.332FEAB1435662FC6C672E25BEB37BE3] - (.Microsoft Corporation - Explorateur Windows.) (.09/03/2012 - 19:09:25.) -- C:\Windows\Explorer.exe [2871808]
[MD5.94355C28C1970635A31B3FE52EB7CEBA] - (.Microsoft Corporation - Application de démarrage de Windows.) (.14/07/2009 - 02:39:52.) -- C:\Windows\System32\Wininit.exe [129024]
[MD5.39EBB9708453036A74C30C9A294023FF] - (.Microsoft Corporation - Extensions Internet pour Win32.) (.18/08/2014 - 22:15:13.) -- C:\Windows\System32\wininet.dll [2310656]
[MD5.88AB9B72B4BF3963A0DE0820B4B0B06C] - (.Microsoft Corporation - Application d’ouverture de session Windows.) (.04/03/2014 - 10:43:50.) -- C:\Windows\System32\Winlogon.exe [455168]
[MD5.067FA52BFB59A56110A12312EF9AF243] - (.Microsoft Corporation - Bibliothèque de licences.) (.21/11/2010 - 04:24:16.) -- C:\Windows\System32\sppcomapi.dll [232448]
[MD5.FA886682CFC5D36718D3E436AACF10B9] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.30/05/2014 - 07:45:52.) -- C:\Windows\system32\Drivers\AFD.sys [497152]
[MD5.02062C0B390B7729EDC9E69C680A6F3C] - (.Microsoft Corporation - ATAPI IDE Miniport Driver.) (.14/07/2009 - 02:52:21.) -- C:\Windows\system32\Drivers\atapi.sys [24128]
[MD5.B8BD2BB284668C84865658C77574381A] - (.Microsoft Corporation - CD-ROM File System Driver.) (.14/07/2009 - 00:19:47.) -- C:\Windows\system32\Drivers\Cdfs.sys [92160]
[MD5.F036CE71586E93D94DAB220D7BDF4416] - (.Microsoft Corporation - SCSI CD-ROM Driver.) (.21/11/2010 - 04:23:47.) -- C:\Windows\system32\Drivers\Cdrom.sys [147456]
[MD5.9BB2EF44EAA163B29C4A4587887A0FE4] - (.Microsoft Corporation - DFS Namespace Client Driver.) (.21/11/2010 - 04:24:32.) -- C:\Windows\system32\Drivers\DfsC.sys [102400]
[MD5.97BFED39B6B79EB12CDDBFEED51F56BB] - (.Microsoft Corporation - High Definition Audio Bus Driver.) (.21/11/2010 - 04:23:47.) -- C:\Windows\system32\Drivers\HDAudBus.sys [122368]
[MD5.FA55C73D4AFFA7EE23AC4BE53B4592D3] - (.Microsoft Corporation - Pilote de port i8042.) (.14/07/2009 - 00:19:57.) -- C:\Windows\system32\Drivers\i8042prt.sys [105472]
[MD5.AF9B39A7E7B6CAA203B3862582E9F2D0] - (.Microsoft Corporation - IP Network Address Translator.) (.14/07/2009 - 01:10:03.) -- C:\Windows\system32\Drivers\IpNat.sys [116224]
[MD5.A5D9106A73DC88564C825D317CAC68AC] - (.Microsoft Corporation - Windows NT SMB Minirdr.) (.09/03/2012 - 19:11:51.) -- C:\Windows\system32\Drivers\MRxSmb.sys [158208]
[MD5.09594D1089C523423B32A4229263F068] - (.Microsoft Corporation - MBT Transport driver.) (.21/11/2010 - 04:23:51.) -- C:\Windows\system32\Drivers\netBT.sys [261632]
[MD5.1A29A59A4C5BA6F8C85062A613B7E2B2] - (.Microsoft Corporation - Pilote du système de fichiers NT.) (.24/01/2014 - 03:37:55.) -- C:\Windows\system32\Drivers\ntfs.sys [1684928]
[MD5.0086431C29C35BE1DBC43F52CC273887] - (.Microsoft Corporation - Pilote de port parallèle.) (.14/07/2009 - 01:00:41.) -- C:\Windows\system32\Drivers\Parport.sys [97280]
[MD5.471815800AE33E6F1C32FB1B97C490CA] - (.Microsoft Corporation - RAS L2TP mini-port/call-manager driver.) (.21/11/2010 - 04:24:33.) -- C:\Windows\system32\Drivers\Rasl2tp.sys [129536]
[MD5.548260A7B8654E024DC30BF8A7C5BAA4] - (.Microsoft Corporation - SMB Transport driver.) (.14/07/2009 - 01:09:09.) -- C:\Windows\system32\Drivers\smb.sys [93184]
[MD5.DDAD5A7AB24D8B65F8D724F5C20FD806] - (.Microsoft Corporation - TDI Translation Driver.) (.21/11/2010 - 04:24:32.) -- C:\Windows\system32\Drivers\tdx.sys [119296]
[MD5.DF8126BD41180351A093A3AD2FC8903B] - (.Microsoft Corporation - Pilote de cliché instantané du volume.) (.09/03/2012 - 19:02:28.) -- C:\Windows\system32\Drivers\volsnap.sys [296320]
~ Generic Processes: Scanned in 00mn 00s



---\\ Etat des fichiers cachés (Caché/Total)
~ Mes images (My Pictures) : 1/17
~ Mes Favoris (My Favorites) : 1/103
~ Mes Documents (My Documents) : 1/459
~ Mon Bureau (My Desktop) : 1/8
~ Menu demarrer (Programs) : 1/22
~ Hidden Files: Scanned in 00mn 00s



---\\ Processus lancés
[MD5.576C72830E3FD6ACE2910545B6130803] - (.ASUSTeK Computer Inc. - ASUS Routine Controller.) -- C:\Program Files (x86)\ASUS\AI Suite II\AsRoutineController.exe [2931328] [PID.2860]
[MD5.35CFDA79479D06FA2154A9E84236E84A] - (.ASUSTeK Computer Inc. - Tool to hook keyboard and handle hybrid-sle.) -- C:\Program Files (x86)\ASUS\ASUS Instant On\AsInstantOn.exe [1088128] [PID.1728]
[MD5.7987DEDC6E73D01BD8FBED2907E0C0B6] - (.ASUSTeK Computer Inc. - EPUHelp.) -- C:\Program Files (x86)\ASUS\AI Suite II\EPU\EPUHelp.exe [1256576] [PID.2948]
[MD5.BD712BF585CBE46FEC924398E852A29E] - (.ASUSTeK Computer Inc. - Helper AP for Windows ShellExec for NT.) -- C:\Program Files (x86)\ASUS\AI Manager\AsShellApplication.exe [232064] [PID.3224]
[MD5.E1D0DAC43EFE2BD3877806044E010C5E] - (.ASUSTek Computer Inc. - AiChargerPlus MFC Application.) -- C:\Program Files (x86)\InstallShield Installation Information\{E6931688-DA2B-4E16-8539-3D323D69C677}\AiChargerPlus.exe [465536] [PID.3252]
[MD5.051665E677D3D325A46A156E2DFE6C52] - (.ASUSTeK Computer Inc. - ALU MFC Application.) -- C:\Program Files (x86)\ASUS\ASUS Easy Update\ALU.exe [188416] [PID.3416]
[MD5.4B64079B7F8CCC074BF990E8C32A3D60] - (.Nicolas Coolman - ZHPDiag.) -- C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe [8110592] [PID.5232]
[MD5.C5679E5186B2FC95BC76A8A9870D5456] - (.Adobe Systems Incorporated - Adobe Acrobat Update Service.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [64704] [PID.1716]
[MD5.F7692E60147E56A1CEEE144974F41830] - (...) -- C:\Program Files (x86)\ASUS\AXSP\1.00.18\atkexComSvc.exe [918448] [PID.1844]
[MD5.3B52CA3643113058ED95097CBA4AE469] - (.ASUSTeK Computer Inc. - Pas de description.) -- C:\Program Files (x86)\ASUS\AAHM\1.00.16\aaHMSvc.exe [947328] [PID.1884]
[MD5.5C31DFB196CB3A488A041881634D86D2] - (...) -- C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.11\AsSysCtrlService.exe [586880] [PID.1920]
[MD5.6660C136C490DB14086CEA4B92C93050] - (.ASUSTeK Computer Inc. - ASUS Motherboard Fan Control Service.) -- C:\Program Files (x86)\ASUS\AsusFanControlService\1.00.06\AsusFanControlService.exe [1399296] [PID.1968]
[MD5.0A403702CB00432AC818523CD416BF67] - (.ASUSTeK Computer Inc. - Device Handle.) -- C:\Windows\SysWOW64\AsHookDevice.exe [203392] [PID.2032]
[MD5.C44B44E24B929631D9D7368F5B2B40CF] - (.Intel Corporation - Intel(R) Dynamic Application Loader Host In.) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [161560] [PID.1588]
[MD5.B90E093E7A7250906F1054418B5339C0] - (.Nero AG - Nero BackItUp.) -- C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [935208] [PID.1788]
[MD5.B3009DCDBCC5EFA49FA52562E9860E3C] - (.MAGIX AG - Verzeichnisüberwachung und Hilfsaufgaben fü.) -- C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128] [PID.4512]
[MD5.75F29D77B0540FCF47EE3BE000BBABDA] - (.Intel Corporation - Local Manageability Service.) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe [277784] [PID.4544]
[MD5.193AD338F2A64D17300AD640ADFA5D0A] - (.Intel Corporation - User Notification Service.) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [363800] [PID.4664]
~ Processes Running: Scanned in 00mn 00s



---\\ Internet Explorer, Proxy Management (R5)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyHttp1.1 = 0
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll
~ Proxy management: Scanned in 00mn 00s



---\\ Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
F2 - REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,
F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
F2 - REG:system.ini: VMApplet=C:\Windows\System32\SystemPropertiesPerformance.exe
~ Keys: Scanned in 00mn 00s



---\\ Hosts file redirection (O1)
~ Le fichier hôte est sain (The hosts file is clean) (21)
~ Hosts File: Scanned in 00mn 00s



---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar: Bing Bar - [HKLM]{8dcb7100-df86-4384-8842-8fa844297b3f} . (.Microsoft Corporation. - Bing Client Extensions.) -- C:\Program Files (x86)\Microsoft\BingBar\7.3.132.0\amd64\BingExt.dll =>Toolbar.Bing
~ Toolbar: Scanned in 00mn 00s



---\\ Applications lancées au démarrage du système (O4)
O4 - HKLM\..\Run: [RTHDVCPL] . (.Realtek Semiconductor - Gestionnaire audio HD Realtek.) -- C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe =>.Realtek Semiconductor Corp
O4 - HKLM\..\Run: [MSC] . (.Microsoft Corporation - Microsoft Security Client User Interface.) -- C:\Program Files\Microsoft Security Client\msseces.exe
O4 - HKCU\..\Run: [Skype] . (.Skype Technologies S.A. - Skype.) -- C:\Program Files (x86)\Skype\Phone\Skype.exe =>.Skype Technologies S.A.
O4 - HKLM\..\Wow6432Node\Run: [RunAIShell] . (.ASUSTeK Computer Inc. - Helper AP for Windows ShellExec for NT.) -- C:\Program Files (x86)\ASUS\AI Manager\AsShellApplication.exe
O4 - HKLM\..\Wow6432Node\Run: [ASUS AiChargerPlus Execute] . (.ASUSTek Computer Inc. - AiChargerPlus MFC Application.) -- C:\Program Files (x86)\InstallShield Installation Information\{E6931688-DA2B-4E16-8539-3D323D69C677}\AiChargerPlus.exe
O4 - HKLM\..\Wow6432Node\Run: [ASUS Easy Update] . (.ASUSTeK Computer Inc. - ALU MFC Application.) -- C:\Program Files (x86)\ASUS\ASUS Easy Update\ALU.exe
O4 - HKLM\..\Wow6432Node\Run: [ASUSWebStorage] . (.ecareme - AsusWebStorage.) -- C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.104.216\AsusWSPanel.exe
O4 - HKLM\..\Wow6432Node\Run: [StartCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe =>.Advanced Micro Devices, Inc
O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe =>.Adobe Systems Incorporated
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-21-3513898529-2102583838-1465855911-1000\..\Run: [Skype] . (.Skype Technologies S.A. - Skype.) -- C:\Program Files (x86)\Skype\Phone\Skype.exe =>.Skype Technologies S.A.
~ Application: Scanned in 00mn 00s



---\\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpNameServer = 192.168.1.1 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC650EF2-701C-4931-B52E-91BA760CD08D}: DhcpNameServer = 109.0.66.20 109.0.66.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpDomain = dt-hdi.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpNameServer = 192.168.1.1 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{EC650EF2-701C-4931-B52E-91BA760CD08D}: DhcpNameServer = 109.0.66.20 109.0.66.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpDomain = dt-hdi.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpNameServer = 192.168.1.1 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{EC650EF2-701C-4931-B52E-91BA760CD08D}: DhcpNameServer = 109.0.66.20 109.0.66.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpDomain = dt-hdi.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 109.0.66.20 109.0.66.10
~ Domain: Scanned in 00mn 00s



---\\ Protocole additionnel (O18)
O18 - Handler: wlpg [64Bits] - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} . (...) --
O18 - Filter: application/x-msdownload [64Bits] - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} . (.Microsoft Corporation - Microsoft .NET Runtime Execution Engine.) -- C:\Windows\System32\mscoree.dll =>.Microsoft Corporation
~ Protocole Additionnel: Scanned in 00mn 00s



---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\Windows\System32\igfxdev.dll
~ Winlogon: Scanned in 00mn 00s



---\\ Tâches planifiées en automatique (O39)
[MD5.BA7185D2541832351784D32E83DDAC45] [APT] [{30890C54-D8A3-4583-BFDA-3917FBBB6B1D}] (.Moonchild Productions.) -- c:\program files\pale moon\palemoon.exe [267896]
~ Scheduled Task: 5 Legitimates Filtered in 00mn 03s



---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
~ 319 Dossier CLSID vide (CLSID Empty Folder)
~ Program Folder: 443 Legitimates Filtered in 00mn 03s



---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 - LFC:[MD5.07B022FD4AE78FCF082C58EB06491D8E] - 30/09/2014 - 19:45:15 ---A- . (...) -- C:\MBAM.txt [1357]
~ Files: 14 Legitimates Filtered in 00mn 04s



---\\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 - LFCP:[MD5.C31B5E74E4AD33FFB92DD5226C44D954] - 06/10/2014 - 09:44:25 ---A- - C:\Windows\Prefetch\BINGBAR.EXE-3F5FCBD0.pf =>Toolbar.Bing
~ Prefetcher: 1 Legitimates Filtered in 00mn 00s



---\\ Enumération des clés de registre PoliciesSystem (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
~ MWPS: 16 Legitimates Filtered in 00mn 00s



---\\ Enumération des clés de registre PoliciesExplorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
~ MWPE Keys: 4 Legitimates Filtered in 00mn 00s



---\\ Liste des pilotes du système (SDL) (O58)
O58 - SDL:14/07/2009 - 02:47:48 ---A- . (.Emulex - Storport Miniport Driver for LightPulse HBAs.) -- C:\Windows\System32\Drivers\elxstor.sys [530496]
O58 - SDL:10/06/2009 - 21:31:59 ---A- . (.Hauppauge Computer Works, Inc. - Hauppauge WinTV 885 Consumer IR Driver for eHome.) -- C:\Windows\System32\Drivers\hcw85cir.sys [31232]
O58 - SDL:14/07/2009 - 02:45:55 ---A- . (.Promise Technology - Promise SuperTrak EX Series Driver for Windows.) -- C:\Windows\System32\Drivers\stexstor.sys [24656]
O58 - SDL:04/01/2008 - 22:34:42 ---A- . (...) -- C:\Windows\SysWOW64\drivers\AsInsHelp32.sys [10216]
O58 - SDL:04/01/2008 - 22:34:48 ---A- . (...) -- C:\Windows\SysWOW64\drivers\AsInsHelp64.sys [11832]
O58 - SDL:24/08/2010 - 08:16:40 ---A- . (...) -- C:\Windows\SysWOW64\drivers\AsIO.sys [13440]
O58 - SDL:03/08/2010 - 06:21:24 ---A- . (...) -- C:\Windows\SysWOW64\drivers\AsUpIO.sys [14464]
O58 - SDL:02/04/2009 - 13:30:14 ---A- . (...) -- C:\Windows\SysWOW64\drivers\ASUSHWIO.SYS [10296]
~ Drivers: 70 Legitimates Filtered in 00mn 02s



---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 - LFC: 02/10/2014 - 11:53:48 ---A- . (...) -- C:\Users\Catherine\Downloads\adwcleaner_3.311.exe [1375089]
~ 31 Fichiers temporaires (Temporary files)
~ 344 Fichiers cookies (Cookies files)
~ Files: 3 Legitimates Filtered in 00mn 17s



---\\ Liste des outils de désinfection (LATC) (O63)
O63 - Logiciel: ZHPDiag 2014 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1 =>.Nicolas Coolman
~ ADS: Scanned in 00mn 00s



---\\ Liste les services legacy du registre (LALS) (O64)
O64 - Services: CurCS - 14/07/2009 - C:\Windows\System32\drivers\lsi_scsi.sys (LSI_SCSI) .(.LSI Corporation - LSI Fusion-MPT SCSI Driver (StorPort).) - LEGACY_LSI_SCSI
O64 - Services: CurCS - 09/03/2012 - C:\Windows\System32\drivers\nvstor.sys (nvstor) .(.NVIDIA Corporation - NVIDIA® nForce(TM) Sata Performance Driver.) - LEGACY_NVSTOR
O64 - Services: CurCS - 14/07/2009 - C:\Windows\System32\drivers\stexstor.sys (stexstor) .(.Promise Technology - Promise SuperTrak EX Series Driver for Win.) - LEGACY_STEXSTOR
~ Legacy: 115 Legitimates Filtered in 00mn 00s



---\\ Associations Shell Spawning (O67)
O67 - Shell Spawning: [HKCU\..\open\Command] (.Moonchild Productions - Pale Moon web browser.) -- C:\Program Files\Pale Moon\palemoon.exe
~ FASS Keys: 11 Legitimates Filtered in 00mn 00s



---\\ Menu de démarrage Internet (SMI) (O68)
O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.http://kmeleon.sf.net/ - K-Meleon Web Browser.) -- C:\Program Files (x86)\K-Meleon\k-meleon.exe
O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Moonchild Productions - Pale Moon web browser.) -- C:\Program Files\Pale Moon\palemoon.exe
~ Keys: Scanned in 00mn 00s



---\\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Bing) - http://www.bing.com
~ Keys: Scanned in 00mn 00s



---\\ Enumère les codes produits des logiciels (PUC) (O90)
O90 - PUC: "537E56336A8449149988EC95CAA55E30" . (.Bing Bar.) -- C:\windows\Installer\{3365E735-48A6-4194-9988-CE59AC5AE503}\icon_installer_ico =>Toolbar.Bing
~ Update Products: 1 Legitimates Filtered in 00mn 00s



---\\ Recherche des packages WindowsInstaller (WIS) (O93) (NTFS)
[MD5.5D3A30ADD585A102F1B60C0BA313ECEE] [WIS][11/03/2014] (.Microsoft Corporation - Bing Bar.) -- C:\Windows\Installer\99b545.msi [741376] =>Toolbar.Bing
~ WIS: 1 Legitimates Filtered in 00mn 03s



---\\ Recherche de clés de registre Tracing (O100)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32 =>Toolbar.Bing
~ BTK: 139 Legitimates Filtered in 00mn 00s



---\\ Recherche de clés de registre CLSID (O101)
[HKCR\CLSID\{8dcb7100-df86-4384-8842-8fa844297b3f}] (Bing Bar) =>Toolbar.Bing
[HKCR\CLSID\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}] (Bing Bar Helper) =>Toolbar.Bing
~ BCK: 4338 Legitimates Filtered in 00mn 04s



---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SS - | Auto 11/03/2014 193696 | (BBSvc) . (.Microsoft Corporation..) - C:\Program Files (x86)\Microsoft\BingBar\7.3.132.0\BBSvc.exe =>Toolbar.Bing
SS - | Demand 26/04/2011 2702848 | (FirebirdServerMAGIXInstance) . (.MAGIX®.) - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe
SS - | Demand 14/07/2009 27136 | C:\Program Files (x86)\Windows Defender\mpsvc.dll (WinDefend) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
SR - | Auto 12/09/2014 64704 | (AdobeARMservice) . (.Adobe Systems Incorporated.) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
SR - | Auto 03/12/2009 28672 | (AgereModemAudio) . (.LSI Corporation.) - C:\Program Files\LSI SoftModem\agr64svc.exe
SR - | Auto 05/12/2011 235520 | (AMD External Events Utility) . (.AMD.) - C:\Windows\System32\atiesrxx.exe
SR - | Auto 29/10/2011 918448 | (asComSvc) . (...) - C:\Program Files (x86)\ASUS\AXSP\1.00.18\atkexComSvc.exe
SR - | Auto 09/08/2011 947328 | (asHmComSvc) . (.ASUSTeK Computer Inc..) - C:\Program Files (x86)\ASUS\AAHM\1.00.16\aaHMSvc.exe
SR - | Auto 21/10/2010 586880 | (AsSysCtrlService) . (...) - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.11\AsSysCtrlService.exe
SR - | Auto 02/09/2011 1399296 | (AsusFanControlService) . (.ASUSTeK Computer Inc..) - C:\Program Files (x86)\ASUS\AsusFanControlService\1.00.06\AsusFanControlService.exe
SR - | Demand 11/03/2014 247968 | (BBUpdate) . (.Microsoft Corporation..) - C:\Program Files (x86)\Microsoft\BingBar\7.3.132.0\SeaPort.exe =>Toolbar.Bing
SR - | Auto 23/12/2009 203392 | (Device Handle Service) . (.ASUSTeK Computer Inc..) - C:\Windows\SysWOW64\AsHookDevice.exe
SR - | Auto 24/05/2011 1840128 | (Fabs) . (.MAGIX AG.) - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe
SR - | Auto 03/02/2012 628448 | (Intel(R) Capability Licensing Service Interface) . (.Intel(R) Corporation.) - C:\Program Files\Intel\iCLS Client\HeciServer.exe
SR - | Auto 08/02/2012 161560 | (jhi_service) . (.Intel Corporation.) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
SR - | Auto 08/02/2012 277784 | (LMS) . (.Intel Corporation.) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
SR - | Auto 22/08/2014 23784 | (MsMpSvc) . (.Microsoft Corporation.) - C:\Program Files\Microsoft Security Client\MsMpEng.exe
SR - | Auto 23/07/2009 935208 | (Nero BackItUp Scheduler 4.0) . (.Nero AG.) - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
SR - | Auto 14/07/2009 27136 | C:\Windows\system32\HPZinw12.dll (Net Driver HPZ12) . (.Hewlett-Packard.) - C:\Windows\System32\svchost.exe
SR - | Auto 14/07/2009 27136 | C:\Windows\system32\HPZipm12.dll (Pml Driver HPZ12) . (.Hewlett-Packard.) - C:\Windows\System32\svchost.exe
SR - | Auto 08/02/2012 363800 | (UNS) . (.Intel Corporation.) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
SR - | Demand 10/07/1658 0 | (WMPNetworkSvc) . (...) - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe =>.Microsoft Corporation
SR - | Auto 14/07/2009 27136 | C:\Windows\System32\wuaueng.dll (wuauserv) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
~ Services: Scanned in 00mn 05s



---\\ Recherche d'infection sur le Master Boot Record (MBR)(O80)
Run by Catherine at 06/10/2014 11:54:29
~ OS 64 not supported by MBR tool
~ MBR: 0 Legitimates Filtered in 00mn 00s



---\\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
Run by Catherine at 06/10/2014 11:54:31
********* Dump file Name *********
C:\PhysicalDisk0_MBR.bin
~ MBR: Scanned in 00mn 02s



---\\ Scan Additionnel (O88)
Database Version : 13026 - (05/10/2014)
Clés trouvées (Keys found) : 1
Valeurs trouvées (Values found) : 1
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 3

[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] =>Toolbar.Bing
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{8dcb7100-df86-4384-8842-8fa844297b3f} =>Toolbar.Bing^
C:\Windows\Installer\99b545.msi =>Toolbar.Bing^
[HKCR\CLSID\{8dcb7100-df86-4384-8842-8fa844297b3f}] (Bing Bar) =>Toolbar.Bing^
[HKCR\CLSID\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}] (Bing Bar Helper) =>Toolbar.Bing^
~ Additionnel Scan: 228500 Items scanned in 00mn 16s



---\\ Informations complémentaires sur les modules
~ http://nicolascoolman.fr/r5-internet-explorer-proxy-management-iepm/ =>.Internet Explorer, Proxy Management (R5)
~ http://nicolascoolman.fr/o3-internet-explorer-toolbars/ =>.Internet Explorer Toolbars (O3)
~ http://nicolascoolman.fr/o4-applications-demarrees-par-le-registre/ =>.Applications lancées au démarrage du système (O4)
~ AMI: 3 Legitimates Filtered in 00mn 00s



---\\ Récapitulatif des détections trouvées sur votre station
http://www.nicolascoolman.fr/blog/ =>Toolbar.Bing
~ MSI: 1 link(s) detected in 00mn 00s



~ 983 Legitimates filtered by white list
End of the scan (411 lines in 01mn 35s)(0)



Modifié par Catimage le 06/10/2014 12:56
Pierre95
 Posté le 06/10/2014 à 12:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

La non plus tu ne nous a pas envoyé le rapport ZHPDiag.

Ce que tu dois insèrer c'est le rapport ZHPDiag.txt. qui normalement se trouve sur ton bureau

Ressayes par l'une ou l'autre méthode

Catimage
 Posté le 06/10/2014 à 12:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Il est juste au dessus de ta dernière réponsse Pierre !

Pierre95
 Posté le 06/10/2014 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Nos réponses ce sont croisés. C'est le bon rapport mais il aurait été préferable que tu l'envoie par une des 2 méthodes que je t'avais indiqué.

Car il encombre le forum.

Je regardes ton rapport

Pierre95
 Posté le 06/10/2014 à 13:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Après le nettoyage que tu as effectuée avec MBAM et ADWcleaner, le rapport ZHPDiag semble indiquer qu'il ne te reste plus aucune trace d'infection .

Mais je te conseille d'attendre le passage d'un membre du Groupe Sécurité pour qu'il donne son avis.

Evasion60
 Posté le 06/10/2014 à 17:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.

  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
  • Si tu as des cracks ou des keygens, tu les supprimes,
  • Si tu as un windows illégal, je ne désinfecte pas.
  • Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
  • Pour me permettre d'établir un diagnostic, peux-tu suivre ces consignes et éditer les trois rapports demandés ? (Adwcleaner, malwarebyte's et ZHPDiag).
  • Si tu as des questions, n'hésite pas.

Evasion60

Je regarde ton log et reviens

Evasion60
 Posté le 06/10/2014 à 17:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

/!\ Il n'y a pas de trace d'ancienne infection

Juste une interrogation sur le nom d'un domaine dt-hdi.com !
Tu connais ?

... O17 - HKLM\System\CCS\Services\Tcpip\..\{CF0ED028-277B-4004-89F3-678C24ED5D00}: DhcpDomain = dt-hdi.com ...

A te lire



Modifié par Evasion60 le 06/10/2014 17:26
Publicité
Catimage
 Posté le 06/10/2014 à 19:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonsoir Evasion

Tout d'abord merci de ton analyse pour mon rapport ainsi qu'à Pierre95 qui s'y est également penché dessus.. Au sujet de ' dt-hdi.com ' bien, je ne sais pas ce que c'est, ça ne me dit rien ! Est ce que ça pourrait venir du fait que je me connecte à l'internet par le biais d'un Wi-fi Public parfois ? C'est tout ce que je peux dire... Voilà.

Bonne soirée

Cat.

Evasion60
 Posté le 06/10/2014 à 19:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

... Est ce que ça pourrait venir du fait que je me connecte à l'internet par le biais d'un Wi-fi Public parfois ...

/!\ Certainement, car il n'y a rien qui traine en Malwares

Nous terminons =>

1/ A

XP / Vista / Seven / Windows 8/8.1

Télécharge => http://oldtimer.geekstogo.com/TFC.exe (de OldTimer) sur ton bureau


Lance TFC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

  • Clique sur Start

    Note : Patiente le temps du scan

  • Clique sur Exit

    Image
2/

DelFix (d'Xplode)

Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration système potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.

Téléchargez et enregistrez DelFix

  • Cliquez sur Delfix pour le lancer.
  • Vérifiez et/ou cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"



    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Postez par copier/coller le contenu du rapport qui s'est ouvert.

Le rapport ressemblera à ceci....

  • Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
Vous pouvez maintenant l'enregistrer et poster son contenu.

Tu peux mettre ton sujet en "Résolu" (en bas à gauche de ton sujet)
Bonne continuation

Catimage
 Posté le 06/10/2014 à 20:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Re !

Juste une question, il se trouve que avant d'allumer l'ordinateur j'ai éxécuté CCLeaner et il a déjà supprimé les fichiers temporaires et bien d'autres choses encore, est ce utile de passer OldTimer ? Pour Delfix, j'ai déjà supprimé ZHPdiag et adwcleaner. C'est bien utile de passer ces logiciels à présent ?

Pour Delfix, je peux laisser coché juste : ' Purger la restauration système ' en fait, parce que ça, ça n'a pas été fait. Oui ?

Bonne soirée à toi

Cat.



Modifié par Catimage le 06/10/2014 20:21
Evasion60
 Posté le 06/10/2014 à 20:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Non

Tu peux mettre ton sujet en "Résolu" (en bas à gauche de ton sujet)
Bonne continuation

Catimage
 Posté le 06/10/2014 à 20:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

OK merci beaucoup et une bonne soirée à toi

Cat. ~~( je mets mon sujet résolu maintenant )

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
54,99 €Carte mémoire microSDXC UHS-I SanDisk Ultra 400 Go à 54,99 €
Valable jusqu'au 06 Juillet

Amazon propose la carte mémoire microSDHC UHS-I SanDisk Ultra 400 Go à 54,99 € livrée gratuitement. On la trouve trouve ailleurs à partir de 80 €. Cette carte mémoire offre des vitesses jusqu'à 100 Mo/s et est idéale pour les téléphones, caméras et appareils photo HD. Elle est certifiée GoPro, Nintendo Switch et est accompagnée d'un adaptateur SD. Une bonne affaire !


> Voir l'offre
14,49 €Ventilateur USB ARCTIC Breeze France à 14,49 € livré
Valable jusqu'au 05 Juillet

Amazon fait une belle promotion sur le ventilateur USB ARCTIC Breeze paré aux couleurs françaises à 9,99 €. Comptez 4,50 € pour la livraison en France soit un total de 14,49 € livré alors qu'on le trouve habituellement à plus de 20 €.  Ce ventilateur peut être branché sur n'importe quel ordinateur via une prise USB (câble de 1,8 m) ou bien directement sur une alimentation USB ou une batterie portable et vous procure une brise légère durant les jours chauds. Le cou flexible du ventilateur USB peut être plié dans n'importe quelle direction. La vitesse peut être réglée en continu à l'aide du bouton sur le pied qui est en acier et bien stable sur toutes les surfaces.


> Voir l'offre
239 €Ecran PC LED 28 pouces Samsung U28E590 (4K UHD, 1 ms, Freesync) à 239 € (via ODR)
Valable jusqu'au 05 Juillet

Boulanger fait une promotion sur l'écran PC LED 28 pouces Samsung U28E570DS qui passe à 259 € au lieu de 299 €. Or Samsung vous rembourse actuellement 20 € sur cet écran. L'écran vous reviendra donc à 239 € après remboursement. Cet écran au format 16/9 offre une dalle 4K (résolution 3840x2160) avec un temps de réponse de 1 ms. Il est compatible FreeSync. Une bonne affaire ! La livraison est également offerte.


> Voir l'offre

Sujets relatifs
demande analyse rapport zhpdiag
demande d'analyse du rapport de ZHPDIAG
demande d'analyse de rapport ZHPDIAG
demande d'analyse de rapport ZHPDIAG
Analyse d'un rapport ZHPDIAG
que faire avec un rapport d'analyse zhpDiag ???
invasion Spywares +Rapport ZHPDiag pour Analyse
demande d'analyse de rapport ZHP
Analyse d'un Rapport ZHPDiag, Infection !
Analyse de rapport ZHPdiag
Plus de sujets relatifs à Demande analyse rapport ZHPdiag
 > Tous les forums > Forum Sécurité