> Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95]Analyse de mon fichier ZHPCleaner.txtSujet résolu
Ajouter un message à la discussion
Pages : Début ... 1 2 [3] ... Fin
[Début] Page 3 sur 3 [Fin]
Pierre95
 Posté le 19/01/2019 à 10:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Je ne pourrais te répondre que demain dans l'après midi, car je dois m'absenter du Forum !!

Conseil d'ami,:

Citation
CPUID CPU-Z 1.62.0 (HKLM\...\CPUID CPU-Z_is1) (Version: - ) <==== ATTENTION


au vu de ce qu'en dit Addition.txt dans la liste des Programmes installés et l'analyse Virus Total, je te conseille de désinstaller

CPUID CPU-Z 1.62.0

Avant de supprimer ce qu'a déniché ESET, on va en confirmer certaines et pour avoir des informations complémentaires, on va en tester certaines par VirusTotal via FRST

FRST de Farbar

En utilisant la même méthode que précedemment, tu vas passer ce nouveau correctif avec FRST64 en y mettant les lignes bleues ci dessous et en cliquant ensuite sur " Corriger "

Citation
Start::
CloseProcesses:
VirusTotal: C:\Nouveau dossier (3)\SoftonicDownloader_pour_teamviewer.exe
VirusTotal: C:\Users\USER\Documents\base\bittorrent.exe
VirusTotal: C:\Users\USER\Documents\base\Shockwave_Installer_Slim.exe
VirusTotal: C:\Users\USER\Documents\base1\cpu-z_1.60.1-setup-en.exe
VirusTotal: C:\Users\USER\Documents\bureau201020012\base\Ad-Aware96Install.msi
VirusTotal: C:\Users\USER\Documents\echecs\base20122011\Ad-Aware96Install.msi
VirusTotal: C:\Users\USER\Downloads\isobuster_all_lang.exe
VirusTotal: C:\Vieux_disque_dur\sauv\sauv_c\patch-103.exe
End::



Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.t

Original_Sin
 Posté le 19/01/2019 à 11:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

CPUID et CPU-Z ont été déinstallés.

Fixlog

A demain

Pierre95
 Posté le 20/01/2019 à 16:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,
Pierre, le retour

FRST de Farbar

En utilisant la même méthode que précedemment, tu vas passer ce nouveau correctif avec FRST64 mais en y mettant les lignes bleues ci dessous et en cliquant ensuite sur " Corriger ":


Citation
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\VBoxAswDrv
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
FF Extension: (Pas de nom) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\MapShare-status@tomtom.com [non trouvé(e)]
U4 AvastVBoxSvc; "C:\Program Files\Alwil Software\Avast5\ng\vbox\AvastVBoxSVC.exe" [X]
U4 VBoxAswDrv; \??\C:\Program Files\Alwil Software\Avast5\ng\vbox\VBoxAswDrv.sys [X]
C:\Nouveau dossier (3)\SoftonicDownloader_pour_teamviewer.exe
C:\Users\USER\AppData\Roaming\ZHP\Quarantine\ZHPFix\Folder\Folder3___BitTorrent\updates\7.8.2_30265.exe
C:\Users\USER\Documents\base\bittorrent.exe
C:\Users\USER\Documents\base1\cpu-z_1.60.1-setup-en.exe
C:\Users\USER\Documents\bureau201020012\base\Ad-Aware96Install.msi
C:\Users\USER\Documents\echecs\base20122011\Ad-Aware96Install.msi
C:\Users\USER\Downloads\ccsetup419.exe
C:\Users\USER\Downloads\ccsetup546.exe
C:\Users\USER\Downloads\ccsetup547.exe
C:\Users\USER\Downloads\FFSetup3.8.0.0.exe
C:\Vieux_disque_dur\sauv\sauv_c\patch-103.exe
End::



Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

En tout cas poste le avant Delfix ==> sinon plus de rapport !


Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt


Le rapport fixlog.txt montre que fixlist.txt a fait son boulot et a supprimé les malwares.

Comment va ton PC ?
Si c'est bon on continue


1 – MBAM

Vide la quarantaine de Malwarebytes ( dans le cas bien sur ou il y a des menaces dans la quarantaine)
Relance Malwarebytes
Clique sur " historique "
Clique sur le bouton " quarantaine " puis clique sur " supprimer tout "
Confirme l'action en cliquant sur " Yes "

image


2 - TFC

On va faire de la place sur ton PC en passant TFC.exe

http://www.bleepingcomputer.com/download/tfc/

Lance TFC, exécuter en tant qu'administrateur sous Windows : 7/8/10 et Vista
Clique sur " Start "
Note : Patiente le temps du scan
Clique sur" Exit "
Il n'y a pas de rapport

image


3 - Suppression des outils

On va supprimer les autres outils de désinfection:
Tu vas mettre à la poubelle ZHPDiag, FRST, CKScaner, WinchK, ZHPCleaner, ADWCleaner,TFC, KVRT, ZHPFix2,Roguekiller et leurs rapports
Tu peux désinstaller via le panneau de config, ESET on line scanner, s'il ne s'est pas désinstallé en fin de scan.


Tu vas créer un point de restauration que tu vas appeler par exemple " PC SAIN".

4 – Delfix

Télécharge DelFix (de Xplode ) sur ton bureau.

image

Exécute le...
Coche la case : "Supprimer les outils de désinfections"

Clique sur " Exécuter"
Patiente...
Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
Tu m'envoies le rapport

Pierre


*********************************************************************************
DELFIX avec purge système


Delfix

Télécharge DelFix (de Xplode ) sur ton bureau.Exécute le...
Coche les cases : "Supprimer les outils de désinfections" et " Purger la restauration système "

image

Clique sur " Exécuter"
Patiente...
Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
Tu m'envoies le rapport

Pierre

Original_Sin
 Posté le 20/01/2019 à 17:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hello Pierre,

Le PC est peut-être un peu plus rapide.

Fixlog

Je continue les autres étapes ? MBAM etc...

Pierre95
 Posté le 20/01/2019 à 22:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello,

Dans l'attente de la suite

Original_Sin
 Posté le 20/01/2019 à 22:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rien en quarantaien pour MBAM.

Par contre, j'ai testé TFC avec virustotal et le résultat fait peur :

https://www.virustotal.com/#/file/c6592c2061c39ea8ed94d1f6854e16a722dc461f4d5b907b0230452d07d4cce3/detection

Pierre95
 Posté le 20/01/2019 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu peux le passer

Original_Sin
 Posté le 21/01/2019 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Pierre,

TFC OK

Point de restauration : OK

J'ai utilisé Delfix pour "Supprimer les outils de désinfections" mais je n'ai pas enregistré le rapport (pensant qu'il s'enregistrait sur le bureau comme les autres outils )

Est-ce que je peux le trouver quelque part ?

Publicité
Pierre95
 Posté le 21/01/2019 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

Pour Delfix, pas la peine de chercher le rapport, ce n'est pas important.

La désinfection est terminée.

Si tel est le cas, tu peux mettre ta demande en résolue.

image

Ce fut un plaisir de travailler avec toi. Tu as été rapide et efficace
Je te souhaites une bonne soirée
Pierre

1 - Période de Quarantaine

Tu laisseras passer une période de quarantaine que bon prince, on réduira à une semaine
Je te donne les tâches à faire dans une semaine. Tu les feras en solo

Supprimes les dossiers en rouge après avoir démasqué AppData

https://www.pcastuces.com/pratique/astuces/4563.htm
ou
https://support.microsoft.com/fr-fr/help/14201/windows-show-hidden-files


Citation
C:\FRST
C:\Adwcleaner
C:\ProgramData\RogueKiller
C:\Users\USER\AppData\Roaming\ZHP
C:\KVRT_Data



2 – Delfix

Télécharge DelFix (de Xplode ) sur ton bureau.

image

Exécute le...
Coche la case : "Purger la restauration système"

Clique sur " Exécuter"
Patiente...
Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau

Quelques conseils:

Pour commencer un petit exercice éducatif pour ne pas tomber dans le piège des adwares

http://security-x.fr/~guigui0001/Adware_Prevention.exe



et pour le fun les pièges à éviter avec l’exemple révélateur du logiciel Izarc

https://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/

INFOS =>

Si tu as eu des soucis d'infection, ce n'est certainement pas par hasard.

Voici quelques conseils pour t'aider à surfer surement et pour adopter un bon comportement.

Le meilleur antivirus, c'est le comportement entre l'écran, la page Web et la souris.
Il ne faut pas cliquer sur n'importe quoi ( lien - image ) : Prendre le temps de lire, de réfléchir avant de cliquer !
A l'installation d'un nouveau logiciel, bien choisir le site de téléchargement
Ne pas téléchargerTélécharger.com,Softonic et bien d'autres
Ces sites repackent les logiciels proposés en y incluant des adwares publiciels.

Préfère des Serveurs propres comme PCAstuces, Zebulon, Comment ça marche.net ( CCM ), Sosvirus
Toujours préférer le site de l'éditeur du logiciel que tu veux télécharger.

Bien lire durant l'installation d'un nouveau logiciel les options à décocher, bon nombres d'installeurs proposent l'installation tierce de barre d'outil, navigateur web, etc...
N'accepte pas ces installation tierce.

Un peu de lecture

Les antispywares gratuits ça sert à rien
Quelques idées reçues
Les dangers du peer-to-peer, Emule etc...
Les dangers des cracks
Les dangers des pup/lpi et méthode de propagation

/!\Pensez à faire une Image Disque de votre disque dur Système /!\

http://www.pcastuces.com/pratique/windows/cloner_true_image/page1.htm
https://forum.pcastuces.com/paragon_backup_et_recovery_compatible_w8-f7s695.htm
http://www.paragon-software.com/home/br-free/download.html
http://freewares-tutos.blogspot.fr/2013/03/paragon-backup-and-recovery-2013-free.html

Original_Sin
 Posté le 21/01/2019 à 22:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci beaucoup Pierre pour le temps passé et les explications !

J'ai l'habitude de faire une analyse par MBAM (sans recherche de rootkit) par semaine.

Malheureusement, avec tout ce que tu m'as proposé de faire, je viens de me rendre compte que ce n'est pas suffisant.

Est-ce qu'il y a d'autres choses à faire ?

Pierre95
 Posté le 21/01/2019 à 23:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu peux passer de temps en temps ZHPCleaner et ADWcleaner, ZHPDiag qui t'indiqueront si tu as des nuisibles.

Dans ce cas, si les détections sont nombreuses, mieux vaut suivre une désinfection en règle avec l'aide d'un " helper "

Je te conseille aussi de faire de temps en temps des scans sans suppression avec ESET on line.

Les suppressions seront à faire ensuite après confirmation par Virus Total

Bonne soirée

Original_Sin
 Posté le 28/01/2019 à 19:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Pierre

J'ai tout supprimé mais je n'y arrive pas avec ZHP :

C:\Users\USER\AppData\Roaming\ZHP

J'ai la boite de dialogue suivante :

Vous devez disposer d'une autorisation pour effectuer cette action.

Vous avez besoin d'une autorisation de USER-PC\USER pour modifier ce dossier.

J'ai beau insister sur recommencer, ça ne change rien

Pierre95
 Posté le 28/01/2019 à 19:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

Tu vas faire ceci en utilisant la grosse artillerie

FRST de Farbar

Charge la version qui convient à votre PC. La version 32 bits pour un pc en X86 (32bits) ou la version 64 bits pour un pc en X64 (64bits).

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Dépose Frst.exe sur votre bureau et pas ailleurs.
Maintenant que tu as chargé la bonne version de l'outil, lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,


image


Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CloseProcesses:
C:\Users\USER\AppData\Roaming\ZHP
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt


Original_Sin
 Posté le 29/01/2019 à 08:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

C'est bon !

fixlog

Pierre95
 Posté le 29/01/2019 à 08:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Tu mets FRST et son rapport à la poubelle ainsi que le dossier en rouge

C:\FRST



Modifié par Pierre95 le 29/01/2019 08:59
Original_Sin
 Posté le 30/01/2019 à 08:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Pierre,

Pour supprimer C:\FRST, j'ai de nouveau le message :

Vous devez disposer d'une autorisation pour effectuer cette action.

Vous avez besoin d'une autorisation de USER-PC\USER pour modifier ce dossier.

Publicité
Pierre95
 Posté le 30/01/2019 à 08:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Pour ces suppressions, es tu logué en tant qu'Administrateur ?

Si oui, alors je peux transférer ta demande dans le Forum " Windows 7 "

ou mieux ouvre une nouvelle demande dans ce Forum

Original_Sin
 Posté le 30/01/2019 à 18:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

OK, je vais ouvrir un nouveau sujet.

Original_Sin
 Posté le 10/03/2019 à 14:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour

Je ne sais si je dois ouvrir un nouveau sujet ou continuer sur celui-ci.

J'ai lancé une analyse avec ZHPDiag et il a trouvé des choses.

ZHPDiag

FRST

Addition

Shortcut

Merci d'avance pour votre retour.

Pierre95
 Posté le 10/03/2019 à 14:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Original Sin

J'ai lancé une analyse avec ZHPDiag et il a trouvé des choses.

Apparemment rien de nuisible ... à premiere vue !!

Si tu veux nettoyer tout cela, tu dois ouvrir une nouvelle demande.

Dans le cas ou tu serais partant de refaire équipe avec moi, tu mettra dans le titre [Pierre 95] Analyse de mes rapports

et au début de ta demande, que tu veux travailler avec moi et tu remets tes rapports ( ZHPDiag et les 3 générés par Frst comme tu l'as fait ici



Modifié par Pierre95 le 10/03/2019 14:41
Pages : Début ... 1 2 [3] ... Fin
[Début] Page 3 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Analyse ZHPCleaner
[El Magnifico]Demande analyse cause lenteur
Analyse rapport Zhpdiag
[El Magnifico] PopUp "Windows is infected" avec bip PC - Analyse ZHPDIAG
[Pierre95]demande analyse zhpdiag et frst
Demande d'une analyse
Liens de téléchargement alternatifs pour ZHPDiag, ZHPCleaner, ZHPFix
[El Magnifico]analyse rapports
Merci pour votre analyse
analyse des rapports diag et frst
Plus de sujets relatifs à [Pierre95]Analyse de mon fichier ZHPCleaner.txt
 > Tous les forums > Forum Analyse de rapports et désinfection