> Tous les forums > Forum Sécurité
 PC infecté-demande d'examen rapportsSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Sepulveda
  Posté le 23/10/2013 @ 00:52 
Aller en bas de la page 
Petite astucienne

Bonsoir,

Je soupçonne mon PC d'avoir été infecté, car un tas de messages intempestifs apparaissent constamment. J'ai un PC HP Intel(R) Core(TM) i7-3630 QM CPU avec Windows 8.

J'ai trouvé sur le site une aide pour établir des rapports à vous faire parvenir, afin que vous m'aidiez à nettoyer mon ordinateur.

Voici les rapports :

# AdwCleaner v3.010 - Rapport créé le 22/10/2013 à 23:53:10
# Mis à jour le 20/10/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Lily - MON-PC
# Exécuté depuis : C:\Users\Lily\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Program Files (x86)\Vittalia
Fichier Supprimé : C:\Users\Lily\AppData\Roaming\Mozilla\Firefox\Profiles\tiudg8ge.default\user.js

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : HKLM\Software\Vittalia
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vittalia

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16537


-\\ Mozilla Firefox v24.0 (fr)

[ Fichier : C:\Users\Lily\AppData\Roaming\Mozilla\Firefox\Profiles\tiudg8ge.default\prefs.js ]


-\\ Google Chrome v30.0.1599.101

[ Fichier : C:\Users\Lily\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [1621 octets] - [22/10/2013 23:51:21]
AdwCleaner[S0].txt - [1548 octets] - [22/10/2013 23:53:10]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1608 octets] ##########

Je m'aperçois que je ne retrouve pas le rapport de Malware Antimalware... Je ne sais où trouver

Normal 0 21 false false false FR-CH X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;}

Exemple sous Windows 7 et 8 : C:\users\nom de la session\AppData\Roaming\MalwarebytesAntiMalware\Logs\mbam-log 2013-09-19(11-14-42).txt

Normal 0 21 false false false FR-CH X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;} "Appdata et la suite". Comment faire ?

J'aimerais aussi joindre le rapport ZHP Diag, mais je ne trouve pas le bouton "joindre un fichier" au bas de ce message. Il n'y a que Suivre le sujet et Etre prévenu par email des réponses.

Je vous remercie de bien vouloir aider une "technical idiot" !!!

Publicité
somebodyone
 Posté le 23/10/2013 à 08:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour Sepulveda ................. et la bienvenue sur PCAstuces .

Tu déposes ton fichier rapport en cliquant ICI , tu choisis les options Public et 21 jours

Tu vas obtenir un lien URL que tu copies et que tu insères dans ta prochaine réponse.



Modifié par somebodyone le 23/10/2013 08:47
Sepulveda
 Posté le 23/10/2013 à 10:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Somebodyone,

Merci de bien vouloir m'aider !!

Voici le rapport ZHPDiag.

En revanche, comment trouver celui de Malware Antimalware ?

http://cjoint.com/?0Jxkj0jZl8Q

clbugnot
 Posté le 23/10/2013 à 10:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Sepulveda

comment trouver celui de Malware Antimalware ?

Lance Malwarebytes et regarde dans l'onglet Rapports/log.

Cordialement.

Sepulveda
 Posté le 23/10/2013 à 11:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Hello clbugnot !

Merci de tes infos. Voici le rapport :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.22.09

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16721
Lily
MON-PC [administrateur]

Protection: Activé

22.10.2013 23:37:32
mbam-log-2013-10-22 (23-37-32).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 223591
Temps écoulé: 4 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe (PUP.Optional.SoftwareUpdater.A) -> 4164 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdater (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\SOFTWAREUPDATER (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\SoftwareUpdater|partner_keyword (PUP.Optional.SoftwareUpdater.A) -> Données: TELECH -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater|ImagePath (PUP.Optional.SoftwareUpdater.A) -> Données: C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Program Files (x86)\SoftwareUpdater (PUP.Optional.SoftwareUpdater.A) -> Suppression au redémarrage.

Fichier(s) détecté(s): 10
C:\Users\Lily\AppData\Local\Temp\2nymGzsu.exe.part (PUP.Optional.RegCleanerPro) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lily\AppData\Local\Temp\RkWRZL7E.exe.part (PUP.Optional.RegCleanerPro) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lily\Downloads\installer_ccleaner_French.exe (PUP.Optional.VIT) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\KeyGen.dll (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\AppsUpdater.exe (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\config.xml (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\Interop.Shell32.dll (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\translations.xml (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\uninstall.exe (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe (PUP.Optional.SoftwareUpdater.A) -> Suppression au redémarrage.

(fin)

Pour l'instant, les messages intempestifs continuent...

Merci d'avance...

Evasion60
 Posté le 23/10/2013 à 12:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Sepulveda

Je regarde ton log ZHPDiag et reviens

Evasion60
 Posté le 23/10/2013 à 12:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Applique ce correctif =>

Ouvre le bloc-notes
Sélectionne et copie les lignes en gras ci dessous =>

Script ZHPFix
ShortcutFix
[MD5.171F1BB73D0238A7A56126D3459ECDCD] [SPRF][15.10.2008] (...) -- C:\Users\Lily\AppData\Local\Temp\Extract.exe [50432] => Infection MagicControl (Possible)
[MD5.99F542C897C7A226D9AE11A03D921CF1] [SPRF][18.10.2013] (...) -- C:\Users\Lily\AppData\Local\Temp\instloffer.exe [387825] => Infection PUP (PUP.OfferBox)
[MD5.47025DD5CBA8B43E9D26C960FF5B32A7] [SPRF][19.10.2013] (...) -- C:\Users\Lily\AppData\Local\Temp\Quarantine.exe [344355] => Temporary file not necessary
O87 - FAEL: "{9DAFCADD-3426-4851-ACF2-8D2157979F8F}" |In - None - P17 - TRUE | .(...) -- C:\Users\Lily\AppData\Local\Temp\7zS63FF\setup\hpznui40.exe (.not file.) => Fichier absent
O90 - PUC: "3E9A223DB85706D47A4C568CF83D870D" . (.Bing Bar.) -- C:\Windows\Installer\{D322A9E3-758B-4D60-A7C4-65C88FD378D0}\icon_installer_ico
C:\Users\Lily\AppData\Local\Temp\instloffer.exe => Infection PUP (PUP.OfferBox)
EmptyCLSID

Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier : C\ZHP\ZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

A te lire avec son rapport

Sepulveda
 Posté le 23/10/2013 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Hello evasion60,

J'ai copié le script dans le bloc-notes, ouvert ZHPFix... mais le script n'apparaît pas... il n'est donc pas conforme ???

Que faire à présent ?

Evasion60
 Posté le 23/10/2013 à 16:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Il te suffit de copier "l'intégralité" du script =>


Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image


Publicité
Sepulveda
 Posté le 23/10/2013 à 22:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

Voici donc (enfin ! lol) le script ZHPFix

Rapport de ZHPFix 2013.10.21.17 par Nicolas Coolman, Update du 21/10/2013
Fichier d'export Registre :
Run by Lily at 23.10.2013 22:35:27
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit (Build 9200)

Corbeille vidée
Réparation des raccourcis navigateur

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\Lily\AppData\Local\Temp\Extract.exe [50432]
SUPPRIMÉ: Memory Process: C:\Users\Lily\AppData\Local\Temp\instloffer.exe [387825]
SUPPRIMÉ: Memory Process: C:\Users\Lily\AppData\Local\Temp\Quarantine.exe [344355]

========== Clés du Registre ==========
SUPPRIMÉ: [HKLM\Software\Classes\Installer\Products\\3E9A223DB85706D47A4C568CF83D870D]
SUPPRIMÉ: [HKLM\Software\Classes\Installer\Features\3E9A223DB85706D47A4C568CF83D870D]

========== Valeurs du Registre ==========
SUPPRIMÉ: {9DAFCADD-3426-4851-ACF2-8D2157979F8F}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (25) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Autre ==========
NON TRAITÉ [MD5.171F1BB73D0238A7A56126D3459ECDCD] [SPRF][15.10.2008] (...) --
NON TRAITÉ MagicControl (Possible)
NON TRAITÉ [MD5.99F542C897C7A226D9AE11A03D921CF1] [SPRF][18.10.2013] (...) --
NON TRAITÉ [MD5.47025DD5CBA8B43E9D26C960FF5B32A7] [SPRF][19.10.2013] (...) --
NON TRAITÉ TRUE | .(...) -- C:\Users\Lily\AppData\Local\Temp\7zS63FF\setup
NON TRAITÉ \hpznui40.exe (.not file.)
NON TRAITÉ \icon_installer_ico
NON TRAITÉ (PUP.OfferBox)


========== Récapitulatif ==========
3 : Processus mémoire
2 : Clés du Registre
1 : Valeurs du Registre
3 : Dossiers
2 : Fichiers
8 : Autre


End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\Users\Lily\AppData\Roaming\ZHP\ZHPFix[R1].txt - 23.10.2013 22:35:30 [1881]

Evasion60
 Posté le 23/10/2013 à 23:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

... car un tas de messages intempestifs apparaissent constamment ...

Toujours embêté avec ci dessus ?

A te lire

Sepulveda
 Posté le 23/10/2013 à 23:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Oui hélas.... rien n'a changé pour l'instant.....

Sepulveda
 Posté le 23/10/2013 à 23:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Enfin, avec en plus des crashes de Firefox... à présent !!!

Evasion60
 Posté le 24/10/2013 à 00:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

1/
Pour Firefox télécharge =>
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/

2/
Relance ZHPDiag et héberge son nouveau rapport / STP



Modifié par Evasion60 le 24/10/2013 00:10
Sepulveda
 Posté le 24/10/2013 à 01:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Sepulveda
 Posté le 24/10/2013 à 01:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re !

Voici le nouveau rapport ZHBDiag... Désolée, je l'ai d'abord inséré... au lieu de l'héberger...

http://cjoint.com/?0JybfhpcwsE

Il me semble que le virus devient plus virulent... les messages intempestifs continuent avec force...

Mais le plus inquiétant... j'ai voulu me connecter à une messagerie... impossible d'y entrer... et HORREUR, mon mot de passe apparaissait en clair !!!

Que pensez-vous de ça ???

Impatiente de vous lire....

Evasion60
 Posté le 24/10/2013 à 13:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

1/
Tu as bien installé AdBlockPlus pour Firefox ?
Merci de ta réponse

2/

Applique ce correctif =>

Ouvre le bloc-notes
Sélectionne et copie les lignes en gras ci dessous =>

Script ZHPFix
ShortcutFix
G2 - GCE: Preference [User Data\Default] [fbdagnimlohkpamglloopgfnoiijpmoj] PassWidget v.1.134 (Désactivé)
O2 - BHO: PassWidget [64Bits] - {1f2ac024-7697-4a29-a85b-dce9779afb60} . (...) -- C:\Program Files (x86)\Pass-Widget\134.dll
O4 - GS\Program [Public]: Desktop.lnk - Clé orpheline
O4 - GS\Desktop [Lily]: FreeCell - Raccourci.lnk . (...) -- C:\Program Files (x86)\Microsoft Games\FreeCell\FreeCell.exe (.not file.) => Microsoft Games FreeCell
O4 - GS\Desktop [Lily]: Solitaire - Raccourci.lnk . (...) -- C:\Program Files (x86)\Microsoft Games\Solitaire\Solitaire.exe (.not file.) => Microsoft Games Solitaire
O4 - GS\Desktop [Lily]: SpiderSolitaire - Raccourci.lnk . (...) -- C:\Program Files (x86)\Microsoft Games\SpiderSolitaire\SpiderSolitaire.exe (.not file.) => Microsoft Games SpiderSolitaire
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\PassWidget Update.job [404]
[MD5.9C9CB0503A3F5555D0F236C9D4CF20AC] [APT] [PassWidget Update] (...) -- C:\Program Files (x86)\Pass-Widget\PassWidget_.exe [232960]
O42 - Logiciel: PassWidget - (.PassWidget Software.) [HKLM][64Bits] -- {d4abdb7f-e88e-4344-8d41-6b8232ccf5fb}
O43 - CFD: 20.10.2013 - 12:53:54 - [1,107] ----D C:\Program Files (x86)\Pass-Widget
O45 - LFCP:[MD5.9529F9CAD414F05B369F6388440D06A0] - 04.10.2013 - 17:55:50 ---A- - C:\Windows\Prefetch\GLCND.EXE-DD45F588.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.F2F2E1ABDA9D64820E774A3554F69D3D] - 04.10.2013 - 18:01:05 ---A- - C:\Windows\Prefetch\HPPU.EXE-52E9C521.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.6FCF23D0598E6F9F6DCD4F77FD786E5D] - 04.10.2013 - 18:26:16 ---A- - C:\Windows\Prefetch\PRINTDIALOGHOST.EXE-90923561.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.90DA2A7FC55DF86075A95D1A17999243] - 10.10.2013 - 21:31:09 ---A- - C:\Windows\Prefetch\INTEGRATEDOFFICE.EXE-DFB67DA0.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.A36E5B612D88876DBD6C7DE7E8947B6E] - 20.10.2013 - 11:52:02 ---A- - C:\Windows\Prefetch\7DBFINSTALLER.EXE-954A9162.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.A39AE5578F1A33771B6B749AF77A17E3] - 20.10.2013 - 13:11:33 ---A- - C:\Windows\Prefetch\NOKIASUITE2INSTALLER.EXE-600A06AF.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.584DE7D8DD2F66AA1335DBAB04526F1E] - 23.10.2013 - 09:22:25 ---A- - C:\Windows\Prefetch\BIBLIROM.EXE-2A4EFEDC.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.75AAA17C50D4B21AB0AB6EB5AAB75EC9] - 23.10.2013 - 11:43:05 ---A- - C:\Windows\Prefetch\PASSWIDGET_.EXE-BB91B6DD.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.1BE6A5D7B177046E87C2DBC599E72D5F] - 23.10.2013 - 12:35:20 ---A- - C:\Windows\Prefetch\SIMPLEPASS LAUNCHSITE.EXE-A25D9DF5.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.080B74DD3471BD2B5EE043429D9CF1ED] - 23.10.2013 - 12:35:30 ---A- - C:\Windows\Prefetch\SPLASH.EXE-BE6DC40F.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.51CFD6C2F0D1A558315D2F4D7549B8BD] - 23.10.2013 - 12:35:32 ---A- - C:\Windows\Prefetch\SIMPLEPASS.EXE-9EF99345.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.9F8E8ABF345B0293ECA81B957ECCDFB5] - 23.10.2013 - 20:52:55 ---A- - C:\Windows\Prefetch\BTPRELOAD.EXE-C2648C44.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.AFB1FE2658DE8A9C7347407919F37FD7] - 23.10.2013 - 20:53:22 ---A- - C:\Windows\Prefetch\IEWEBSITELOGON.EXE-6A8171D8.pf => Fichier du dossier Prefetcher
O45 - LFCP:[MD5.ADA1AED055A2C39B5A84BAB5C9C6B4E4] - 23.10.2013 - 21:50:41 ---A- - C:\Windows\Prefetch\dynreservedpri.db => Fichier du dossier Prefetcher
EmptyCLSID

Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier : C\ZHP\ZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

A te lire

Publicité
Sepulveda
 Posté le 24/10/2013 à 15:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Oui j'ai modifié Firefox comme indiqué.

Voici le nouveau rapport ZHPFix :

Rapport de ZHPFix 2013.10.21.17 par Nicolas Coolman, Update du 21/10/2013
Fichier d'export Registre :
Run by Lily at 24.10.2013 15:01:19
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit (Build 9200)

Corbeille vidée
Réparation des raccourcis navigateur

========== Logiciels ==========
ABSENT Uninstall Process: c:\program files (x86)\pass-widget\uninstall.exe

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Program Files (x86)\Pass-Widget\PassWidget_.exe

========== Clés du Registre ==========
SUPPRIMÉ Logiciel Key: [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{d4abdb7f-e88e-4344-8d41-6b8232ccf5fb}]
SUPPRIMÉ: CLSID BHO: {1f2ac024-7697-4a29-a85b-dce9779afb60}

========== Préférences navigateur ==========
SUPPRIMÉ Folder Chrome: C:\Users\Lily\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbdagnimlohkpamglloopgfnoiijpmoj

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (23) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Fichiers ==========
SUPPRIMÉ: c:\users\lily\appdata\local\google\chrome\user data\default\preferences
SUPPRIMÉ: c:\program files (x86)\pass-widget\134.dll
SUPPRIMÉ: c:\users\lily\desktop\freecell - raccourci.lnk
SUPPRIMÉ: c:\users\lily\desktop\solitaire - raccourci.lnk
SUPPRIMÉ: c:\users\lily\desktop\spidersolitaire - raccourci.lnk
SUPPRIMÉ: c:\windows\tasks\passwidget update.job
SUPPRIMÉ: c:\windows\prefetch\glcnd.exe-dd45f588.pf
SUPPRIMÉ: c:\windows\prefetch\hppu.exe-52e9c521.pf
SUPPRIMÉ: c:\windows\prefetch\printdialoghost.exe-90923561.pf
SUPPRIMÉ: c:\windows\prefetch\integratedoffice.exe-dfb67da0.pf
SUPPRIMÉ: c:\windows\prefetch\7dbfinstaller.exe-954a9162.pf
SUPPRIMÉ: c:\windows\prefetch\nokiasuite2installer.exe-600a06af.pf
SUPPRIMÉ: c:\windows\prefetch\biblirom.exe-2a4efedc.pf
SUPPRIMÉ: c:\windows\prefetch\passwidget_.exe-bb91b6dd.pf
SUPPRIMÉ: c:\windows\prefetch\simplepass launchsite.exe-a25d9df5.pf
SUPPRIMÉ: c:\windows\prefetch\splash.exe-be6dc40f.pf
SUPPRIMÉ: c:\windows\prefetch\simplepass.exe-9ef99345.pf
SUPPRIMÉ: c:\windows\prefetch\btpreload.exe-c2648c44.pf
SUPPRIMÉ: c:\windows\prefetch\iewebsitelogon.exe-6a8171d8.pf
SUPPRIMÉ: c:\windows\prefetch\dynreservedpri.db
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Tache planifiée ==========
SUPPRIMÉ: PassWidget Update
SUPPRIMÉ: PassWidget Update


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clés du Registre
3 : Dossiers
22 : Fichiers
1 : Logiciels
1 : Préférences navigateur
2 : Tache planifiée


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\Users\Lily\AppData\Roaming\ZHP\ZHPFix[R1].txt - 23.10.2013 21:35:30 [1960]
C:\Users\Lily\AppData\Roaming\ZHP\ZHPFix[R2].txt - 24.10.2013 15:01:22 [2847]

Juste une petite question, dans les instructions concernant ce rapport, dans le modèle il se trouve une dernière ligne qui dit "FirewallRaz".

Comme il est dit qu'il faut contrôler les lignes du script, j'ai constaté que cette ligne fait défaut dans le script que tu me dis de copier dans le bloc-notes. Est-ce volontaire ??

Il me semble que les messages intempestifs diminuent. En revanche, pdt que je refaisais cette manoeuvre, Firefox s'est fermé (a disparu), j'ai dû me reconnecter sur PC Astuces, me relogger. Est-ce normal ?

Merci de tes commentaires.

Sepulveda
 Posté le 24/10/2013 à 15:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

"@!#$$$

Il se passe de drôles de choses... A présent s'est ouverte une fenêtre de désinstallation de Wizard... Dois-je le faire ? Est-ce voulu ????

Evasion60
 Posté le 24/10/2013 à 16:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

... Juste une petite question, dans les instructions concernant ce rapport, dans le modèle il se trouve une dernière ligne qui dit "FirewallRaz"....

Ou as-tu vu cela dans mon script de correction, avec ZHPFix ?
Merci de préciser

Sepulveda
 Posté le 24/10/2013 à 17:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

image

J'ai vu cela dans cette image, les 6 lignes du haut. Je pense bien que c'est un modèle, mais cela m'a fait tiquer tout de même !! lol

Cette mention (dernière ligne) ne figurait justement pas dans ton script.

Evasion60
 Posté le 24/10/2013 à 18:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

... Cette mention (dernière ligne) ne figurait justement pas dans ton script ...

Bien oui, j'en avais pas besoin !

Elle dit quoi cette machine ?


De plus tes connexions Web me semblent assez floues ( des accès via des clés) !
C:\Program Files (x86)\Internet Everywhere\Internet Everywhere.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{093E2D2E-B7BE-43A0-9948-9F5552B6158D}: DhcpNameServer = 10.8.11.21 10.8.11.22 => Private IP (10.0.0.0 - 10.255.255.255)↑
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E2CC27-E88C-4702-A67F-4A3194FC2D47}: DhcpNameServer = 195.186.1.162 195.186.4.162 => Switzerland Zurich Bluewin Is An Internet Service Provider
O17 - HKLM\System\CCS\Services\Tcpip\..\{A42C73A1-2ED3-416C-B5E5-7CB47F43F68D}: DhcpNameServer = 85.218.0.70 85.218.0.85



Modifié par Evasion60 le 24/10/2013 18:54
Sepulveda
 Posté le 24/10/2013 à 19:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re !

J'ai pris note, il n'y en avait pas besoin !! Compris.

Heu que veut dire ta question : "Elle dit quoi cette machine ?" De quelle machine parles-tu ???

Pour mes connexions Web :

Clé Internet Everywhere : comme son nom l'indique, il s'agit d'une clé USB de Orange qui nous permet de nous connecter à internet lorsque nous sommes en route...

Celle de Bluewin est probablement celle de l'accès au wifi d'un camping où nous séjournons parfois.

La dernière est l'accès wifi de notre domicile.

La 2ème, mystère !!

Pour l'instant (je croise les doigts), plus de messages intempestifs !!

Serais-je sortie de l'auberge ??

Evasion60
 Posté le 24/10/2013 à 19:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

1/

Télécharge TFC (de OldTimer) sur ton bureau

Lance TFC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

  • Clique sur Start

    Note : Patiente le temps du scan

  • Clique sur Exit

    Image

2/

image DelFix (d'Xplode)


Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.



  • Téléchargez et enregistrez DelFix sur votre bureau.
  • Cliquez sur Delfix pour le lancer.
  • Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
  • Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"


    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
  • Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
  • Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier.

    Le rapport ressemblera à ceci....

    Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
Vous pouvez maintenant l'enregistrer et poster son contenu.

Tu peux mettre ton sujet en "Résolu"
Bonne continuation

eInfoPack_downoad_art

Si tu as eu des soucis d'infection, ce n'est certainement pas par hazard.
Voici quelques conseils pour t'aider à surfer surement et pour adopter un bon comportement.

Le meilleur antivirus, c'est le comportement entre l'écran, la page Web et la souris.
Il ne faut pas cliquer sur n'importe quoi ( lien - image ) : Prendre le temps de lire, de réfléchir avant de cliquer !

A l'installation d'un nouveau logiciel, bien choisir le site de téléchargement, ne plus/pas télécharger sur 01Net, télécharger.com et Softonic.
Ces sites repack les logiciels proposé en y incluant des adwares publiciels.

Préfère des Serveurs propres comme - PCAstuces - Zebulon - Comment ça marche.net ( CCM )- Sosvirus
Toujours préférer le site de l'éditeur du logiciel que tu veux télécharger.

Bien lire durant l'installation d'un nouveau logiciel les options à décocher, bon nombres d'installeurs proposent l'installation tierce de barre d'outil, navigateur web, etc...
N'accepte pas ces installation tierce.


/!\ En aucun cas télécharger sur des sites Warez - P2P - Cracks - Keygens
Banir les sites pornographiques et de Poker, sources de problèmes par la suite ... -> Ils installent de faux codecs
Fais aussi attention à tes données de carte bancaire !


********************************************************************




Il est primordiale de tenir son système d'exploitation à jours, pour cela active l'éxécution automatique des mises à jours Windows.



Mais il est tout aussi primordiale de tenir ses logiciels tierce comme Java - Adobe Reader - FlashPlayer - etc ...
Pour cela il existe un petit programme bien pratique, j'ai nommé Update Checker.
Pour suivre aussi d'autres mises à jour, regarde de ce côté => PC Astuces

Il est aussi intéressant de vacciner les HDD, et supports externes USB, contre les infections venant de support externe USB infectés, avec MKV =>
http://services.service-webmaster.fr/cpt-clics/clics-30453-6507.html



L'utilisations d'une multitude d'antispyware et "anti-machin" n'est pas recommandé, privilégiez plutôt Malwarebyte's anti-malware
Ces fonctions généralistes ont largement fait leurs preuves sur les forums de désinfections
Utilisez le une fois par semaine ou tous les quinze jours en ayant bien pris soin de le mettre à jours avant d'effectuer une analyse

Pour télécharger Malwarebyt'es Anti-Malware => http://www.malwarebytes.org/mbam/program/mbam-setup.exe


image


Sous Windows Vista, Seven, 8 l'utilisation du pare-feu Windows est largement suffisante

Bien entendu, vous pouvez en choisir un autre de votre choix


<a href=

Pour télécharger Mozilla Firefox cliquez sur ce lien => http://www.mozilla.org/fr/download/?product=firefox-21.0&os=win&lang=fr

Le navigateur Firefox est malléable et vous pourrez y associer ces extensions =>
Adblock Plus : Bloquage des publicités
NoScript : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix


CCleaner

Pour télécharger CCleaner => http://www.piriform.com/ccleaner/builds

Il y a aussi une version Slim => http://www.piriform.com/ccleaner/download/slim

Aidez-vous de ce tutoriel pour son utilisation et ces réglages

Tu peux mettre ton sujet en "Résolu"
Bonne continuation

Sepulveda
 Posté le 24/10/2013 à 21:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

# DelFix v10.5 - Rapport créé le 24/10/2013 à 21:33:02
# Mis à jour le 17/10/2013 par Xplode
# Nom d'utilisateur : Lily - MON-PC
# Système d'exploitation : Windows 8 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Lily\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Lily\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Lily\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Lily\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Lily\Downloads\adwcleaner.exe
Supprimé : C:\Users\Lily\Downloads\TFC.exe
Supprimé : C:\Users\Lily\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #12 [Windows Update | 10/08/2013 23:08:29]
Supprimé : RP #13 [HPSF Applying updates | 10/19/2013 20:40:30]
Supprimé : RP #14 [HPSF Applying updates | 10/19/2013 20:40:34]
Supprimé : RP #15 [HPSF Applying updates | 10/22/2013 19:32:25]
Supprimé : RP #16 [HPSF Applying updates | 10/22/2013 19:32:26]

Nouveau point de restauration créé !

########## - EOF - ##########

Voici le rapport de DelFix.

Mon pc est de nouveau "propre" si je comprends bien !

Un grand MERCI donc à toi Evasion60 ainsi qu'à Somebodyone et Clbugnot pour votre aide précieuse !

Je m'appliquerai dorénavant à lire plus attentivement avant de cliquer et suivrai vos conseils en général (et sur les sites de téléchargement en particulier) que je vais sauvegarder précieusement !

Bravo pour votre boulot !

Une astucienne reconnaissante

P.S.

Pour info, la fenêtre Wizard qui s'était affichée voulait me faire supprimer ""PassWidget", qui n'existait pas sur mon pc. Vous aviez oublié de me répondre à ce sujet. C'est mon fils (un peu plus au courant que moi en informatique - pas difficile ;-) haha) qui s'en est occupé.

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
15,15 €Clé USB Sandisk Ultra 64 Go à double connectique USB 3.1 Type A et C à 15,15 €
Valable jusqu'au 28 Février

Amazon fait une promotion sur la clé USB Sandisk Ultra 64 Go à double connectique USB 3.1 Type A et C qui passe à 15,15 € alors qu'on la trouve ailleurs à plus de 25 €. Cette clé USB  dispose d'un connecteur réversible USB Type C et d'un connecteur classique de type A. Grâce à elle, transférez en toute simplicité et rapidement (jusqu'à 150 Mo/s) vos fichiers entre vos smartphones, tablettes et ordinateurs. 


> Voir l'offre
92,35 €Disque dur externe portable Maxtor M3 USB 3.0 4 To à 92,35 €
Valable jusqu'au 03 Mars

Amazon propose actuellement le disque dur externe portable Seagate M3 4 To à 92,35 € livré gratuitement. Le disque dur dispose d'une connectique USB 3.0 compatible USB 2.0 et offre des débits d'environ 115 Mo/s en lecture et écriture. Seagate ayant racheté les branches disques durs de Samsung et Maxtor, vous pouvez donc trouver le logo Maxtor, Samsung ou Seagate sur ce disque dur M3. 


> Voir l'offre
11,99 €Micro clé USB 3.1 Sandisk Ultra Fit 64 Go à 11,99 €
Valable jusqu'au 26 Février

Amazon fait une promotion sur la micro clé USB Sandisk Ultra Fit d'une capacité de 64 Go qui passe à 11,99 €. La minuscule taille de cette clé USB va vous permettre de la laisser brancher en permanence sur votre portable, votre TV ou votre autoradio sans qu'elle dépasse de manière disgracieuse. Sa compatibilité USB 3.1 lui permet d'atteindre des débits jusqu'à 130 Mo/s. 


> Voir l'offre

Sujets relatifs
pc infecté: demande vérif des rapports
pc infecté rapports
demande d'analyse de rapports
Pub invasive , demande analyse rapports
demande analyse de rapports ZHP...
demande analyse rapports DHP..
rapports pc peut-être infecté
Demande d'analyses de rapports pour un Ami
Infections - Demande analyse des rapports
Procédure nettoyage PC infecté (Rapports)
Plus de sujets relatifs à PC infecté-demande d''examen rapports
 > Tous les forums > Forum Sécurité