> Tous les forums > Forum Sécurité
 utilisation de ZHP suite a infectionSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
gabsta
  Posté le 08/12/2013 @ 13:01 
Aller en bas de la page 
Petit astucien

Bonjour

Je sollicite l'aide de ce forum suite a l'infection de mon PC (sous Windows 7) par des logiciels indesirables qui ont ralenti considerablement mon ordi.

Apres un passage de Malwarebytes et ensuite de adwcleaner, ceux-ci ont deja supprime bon nombre de ces virus mais ils ne trouvent desormais plus rien de suspect. J'ai suivi la procedure explique dans le site sur la page"Aide au diadnostic d'un PC infecté" qui propose en 3eme partie d'utiliser ZHP diag et de creer un fichier texte de diagnostic. Chose que j'ai faite mais et c'est la que je sollicite votre aide, je ne vois pas comment exploiter les lignes du rapport indiquant qu'il y a encore des PUPs et adwares qui sevissent dans mon ordi.

Voici le lien permettant de voir le rapport de ZHP:

http://cjoint.com/?0Lim32mjZ0K

Voila. je vous remercie par avance pour votre aide precieuse.

Publicité
Evasion60
 Posté le 08/12/2013 à 13:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Gabsta, et bienvenue sur PCA Sécurité

Poste les deux rapports des Outils que tu as déjà passés
MBAM et AdwCleaner

Je regarde ton log ZHP et reviens



Modifié par Evasion60 le 08/12/2013 13:18
Evasion60
 Posté le 08/12/2013 à 13:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Applique ce correctif =>

Ouvre le bloc-notes
Sélectionne et copie les lignes en gras ci dessous =>


Script ZHPFix
ShortcutFix
G2 - GCE: Preference [User Data\Default] [ieadcoanfjloocmfafkebdnfefmohngj] BonanzaDeals v.3.5.0.0 (Activé) => Adware.BonanzaDeals
G2 - GCE: Preference [User Data\Default] [jpmbfleldcgkldadpdinhjjopdfpjfjp] Wajam v.1.24 (Activé) => PUP.Wajam*
O3 - Toolbar: (no name) [64Bits] - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline => Toolbar.Avast
O3 - Toolbar\WebBrowser: (no name) [64Bits] - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline => Toolbar.Norton
O4 - GS\Desktop [Pépé]: Nettoyez votre registre gratuitement!.lnk - Clé orpheline
O45 - LFCP:[MD5.61875639FCD1A988E207AD94E2181B3C] - 29/11/2013 - 16:48:02 ---A- - C:\Windows\Prefetch\WAJAM_VALIDATE.EXE-43E9621C.pf => PUP.Wajam*
O45 - LFCP:[MD5.B40BA8A011EB4C66151FF82BDB206CB1] - 29/11/2013 - 16:48:18 ---A- - C:\Windows\Prefetch\MYSEARCHDIALSRV.EXE-2317CE73.pf => Adware.MyWebSearch*
O45 - LFCP:[MD5.8C72080BF852060D6EACD357A77F32F3] - 29/11/2013 - 16:48:24 ---A- - C:\Windows\Prefetch\WAJAM_DOWNLOAD.EXE-60F1B172.pf => PUP.Wajam*
O45 - LFCP:[MD5.541EEF1686AF9C01BFF57D0D3542193F] - 29/11/2013 - 16:48:31 ---A- - C:\Windows\Prefetch\MYSEARCHDIAL.EXE-4B3073D4.pf => Adware.MyWebSearch*
O45 - LFCP:[MD5.74261B1AA901B8C05D38067B0C8FF753] - 29/11/2013 - 16:48:48 ---A- - C:\Windows\Prefetch\WAJAMUPDATERV3.EXE-B6E3A8C1.pf => PUP.Wajam*
O69 - SBI: SearchScopes [HKCU] {94941CCA-0272-4A2E-8F71-2580B7521B61} - (Mysearchdial) - http://start.mysearchdial.com => Adware.MyWebSearch*
[HKLM\Software\Google\Chrome\Extensions\ieadcoanfjloocmfafkebdnfefmohngj] => Adware.BonanzaDeals
[HKLM\Software\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp] => PUP.Wajam
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}] => Toolbar.Orange
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494] => Infection PUP (Adware.IMBooster)
C:\Users\Pépé\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj => Adware.BonanzaDeals
C:\Users\Pépé\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp => PUP.Wajam
EmptyCLSID
Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier : C\ZHP\ZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

A te lire avec son rapport

gabsta
 Posté le 08/12/2013 à 13:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
gabsta
 Posté le 08/12/2013 à 13:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
gabsta
 Posté le 08/12/2013 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour et merci de ton aide Evasion60.

Voici le rapport de ZHP fix suite a ce que tu m'as demande de faire.

Apparement il n' y a plus de virus. Il y a-t il un moyen de verifier qu'il n'y en a effectivement plus par un scan supplementaire de ZHP diag ?

Cordialement.

-----------------------------

Rapport de ZHPFix 2013.12.6.4 par Nicolas Coolman, Update du 06/12/2013
Fichier d'export Registre :
Run by Pépé at 08/12/2013 13:46:24
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 02s)
Réparation des raccourcis navigateur

========== Clés du Registre ==========
SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}]
SUPPRIMÉ: SearchScopes :{94941CCA-0272-4A2E-8F71-2580B7521B61}
SUPPRIMÉ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494

========== Valeurs du Registre ==========
SUPPRIMÉ: Toolbar: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5}
SUPPRIMÉ: Toolbar: {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}

========== Dossiers ==========
SUPPRIMÉ: C:\Users\Pépé\AppData\Local\{E3D249FA-E9BD-4C75-BB13-8DC0F7A03CF7}
SUPPRIMÉS Temporaires Windows (118)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉ: c:\users\pépé\appdata\local\google\chrome\user data\default\preferences
SUPPRIMÉ: c:\windows\prefetch\wajam_validate.exe-43e9621c.pf
SUPPRIMÉ: c:\windows\prefetch\mysearchdialsrv.exe-2317ce73.pf
SUPPRIMÉ: c:\windows\prefetch\wajam_download.exe-60f1b172.pf
SUPPRIMÉ: c:\windows\prefetch\mysearchdial.exe-4b3073d4.pf
SUPPRIMÉ: c:\windows\prefetch\wajamupdaterv3.exe-b6e3a8c1.pf
SUPPRIMÉS Temporaires Windows (105) (85 620 191 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
6 : Clés du Registre
2 : Valeurs du Registre
3 : Dossiers
8 : Fichiers


End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\Users\Pépé\AppData\Roaming\ZHP\ZHPFix[R1].txt - 08/12/2013 13:46:27 [2053]

gabsta
 Posté le 08/12/2013 à 14:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

gabsta
 Posté le 08/12/2013 à 14:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Suite a l'operation ZHP fix precedente, j'ai poste un nouveau rapport ZHP diag. Est-ce que tout a l'oir en ordre cette fois ?

Merci pour ta reponse Evasion 60.

Evasion60
 Posté le 08/12/2013 à 17:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Pour moi, c'est bon et nous pouvons terminer =>

1/ A

Vista / Seven / Windows 8/8.1

Télécharge TFC (de OldTimer) sur ton bureau

Lance TFC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

  • Clique sur Start

    Note : Patiente le temps du scan

  • Clique sur Exit

    Image
2/

image DelFix (d'Xplode)


Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.



  • Téléchargez et enregistrez DelFix sur votre bureau.
  • Cliquez sur Delfix pour le lancer.
  • Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
  • Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"


    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
  • Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
  • Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier.

    Le rapport ressemblera à ceci....

    Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
Vous pouvez maintenant l'enregistrer et poster son contenu.

Tu peux mettre ton sujet en "Résolu"
Bonne continuation

eInfoPack_downoad_art

Si tu as eu des soucis d'infection, ce n'est certainement pas par hazard.
Voici quelques conseils pour t'aider à surfer surement et pour adopter un bon comportement.

Le meilleur antivirus, c'est le comportement entre l'écran, la page Web et la souris.
Il ne faut pas cliquer sur n'importe quoi ( lien - image ) : Prendre le temps de lire, de réfléchir avant de cliquer !

A l'installation d'un nouveau logiciel, bien choisir le site de téléchargement
Ne pas télécharger sur 01Net, Télécharger.com, Softonic et bien d'autres
Ces sites repack les logiciels proposé en y incluant des adwares publiciels.

Préfère des Serveurs propres comme - PCAstuces - Zebulon - Comment ça marche.net ( CCM )- Sosvirus
Toujours préférer le site de l'éditeur du logiciel que tu veux télécharger.

Bien lire durant l'installation d'un nouveau logiciel les options à décocher, bon nombres d'installeurs proposent l'installation tierce de barre d'outil, navigateur web, etc...
N'accepte pas ces installation tierce.
Voir le diaporama de Nardino => http://www.rue-du-montceau.fr/demo_wintoflash.html Qui traite le sujet en prenant comme exemple l'installation de wintoflash



/!\ En aucun cas télécharger sur des sites Warez - P2P - Cracks - Keygens
Banir les sites pornographiques et de Poker, sources de problèmes par la suite ... -> Ils installent de faux codecs
Fais aussi attention à tes données de carte bancaire !


********************************************************************




Il est primordiale de tenir son système d'exploitation à jours, pour cela active l'éxécution automatique des mises à jours Windows.



Mais il est tout aussi primordiale de tenir ses logiciels tierce comme Java - Adobe Reader - FlashPlayer - etc ...
Pour cela il existe un petit programme bien pratique, j'ai nommé Update Checker.
Pour suivre aussi d'autres mises à jour, regarde de ce côté => PC Astuces

Il est aussi intéressant de vacciner les HDD, et supports externes USB, contre les infections venant de support externe USB infectés, avec MKV =>
http://services.service-webmaster.fr/cpt-clics/clics-30453-6507.html



L'utilisations d'une multitude d'antispyware et "anti-machin" n'est pas recommandé, privilégiez plutôt Malwarebyte's anti-malware
Ces fonctions généralistes ont largement fait leurs preuves sur les forums de désinfections
Utilisez le une fois par semaine ou tous les quinze jours en ayant bien pris soin de le mettre à jours avant d'effectuer une analyse

Pour télécharger Malwarebyt'es Anti-Malware => http://www.malwarebytes.org/mbam/program/mbam-setup.exe


image


Sous Windows Vista, Seven, 8 l'utilisation du pare-feu Windows est largement suffisante

Bien entendu, vous pouvez en choisir un autre de votre choix


<a href=

Pour télécharger Mozilla Firefox cliquez sur ce lien => http://www.mozilla.org/fr/download/?product=firefox-21.0&os=win&lang=fr

Le navigateur Firefox est malléable et vous pourrez y associer ces extensions =>
Adblock Plus : Bloquage des publicités
NoScript : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix


CCleaner

Pour télécharger CCleaner => http://www.piriform.com/ccleaner/builds
Il y a aussi une version Slim => http://www.piriform.com/ccleaner/download/slim
Aidez-vous de ce tutoriel pour son utilisation et ses réglages

Tu peux mettre ton sujet en "Résolu"
Bonne continuation

Publicité
gabsta
 Posté le 09/12/2013 à 10:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour ton aide efficace et pour tes recommendations instructives, evasion60 !

je vais relire tout cela et les appliquer avec assiduite (ou essayer de les faire appliquer par mon pere (il a 79 ans !) car c'etait son PC qui etait infecte...).

Bonne continuation a toi aussi.

gabsta
 Posté le 09/12/2013 à 19:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour

me revoila avec mon probleme de virus et avant d'utiliser DELFIX et TFC comme preconise par Evasion60 pour terminer la desinfection, j'ai repasse par acquis de conscience une derniere fois ZHP diag et (mauvaise) surprise le PC est apparemment infecte par PUP.MyPCBackup et par Adware.BonanzaDeals. J'ai repasse aussi Malwarebytes mais il n'a rien trouve.

Est-ce que quelqu'un pourrait m'aider a les supprimer du PC en me donnant le script necessaire pour ZHP fix ?

Je vous remercie par avance pour votre aide.

PS: je joins le fichier ZHPdiag.txt dans un post suivant

gabsta
 Posté le 09/12/2013 à 19:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Evasion60
 Posté le 09/12/2013 à 19:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

/!\ Ils sont inactifs et dans le dossier Prefetcher !

C:\Windows\Prefetch\MYPC BACKUP.EXE-B5EA9514.pf
C:\Windows\Prefetch\BONANZADEALSLIVE.EXE-67A98E0D.pf

gabsta
 Posté le 10/12/2013 à 10:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour

OK merci de m'avoir rassure sur l'inocuite de ces virus a l'endroit ou ils se trouvent.

J'ai termine la procedure et espere que tout se passera bien desormais (en suivant vos conseils )

Je clos a nouveau la discussion.

Bonne journee.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
30,17 €SSD SanDisk Plus 240 Go à 30,17 €
Valable jusqu'au 26 Février

Amazon propose actuellement le SSD SanDisk Plus 240 Go à 30,17 € livré gratuitement. Une bonne affaire pour ce SSD très fiable et performant qui offre des débits de 530 Mo/s en lecture et 445 Mo/s en écriture. Il est garanti 3 ans. On le trouve ailleurs à partir de 42 €.


> Voir l'offre
19,79 €Prise connectée Wi-Fi TP-Link HS100 à 19,79 €
Valable jusqu'au 28 Février

Amazon fait une promotion sur la prise intelligente Wi-Fi TP-Link HS100 qui passe à 19,79 € alors qu'on la trouve habituellement autour de 35 €. Cette prise peut être contrôlée à distance en utilisant l'app gratuite KASA sur votre smartphone (iOS ou Android). Vous pouvez créer des planifications horaires pour allumer ou éteindre automatiquement et quand vous le souhaitez, l'appareil qui y est branché. Pour en savoir plus, n'hésitez pas à lire notre dossier pratique Contrôler une prise électrique à distance.


> Voir l'offre
35,99 €Souris sans fil Logitech G305 à 35,99 €
Valable jusqu'au 26 Février

Amazon fait une belle promotion sur la nouvelle souris sans fil Logitech G G305 qui passe à 35,99 € livrée gratuitement alors qu'on la trouve ailleurs autour de 50 €. Cette souris vous offre des performances sans fil de niveau professionnel et une fiabilité inégalée surpassant même certaines des meilleures souris gaming filaire. Dotée du capteur HERO, vous allez connaitre une précision exceptionnelle grâce à sa sensibilité pouvant aller jusqu'à 12 000 dpi.


> Voir l'offre

Sujets relatifs
Infection PC suite à l'utilisation d'un Keygen, navigateur ralenti
aide utilisation hijackthis suite infection ver
Infection suite à téléchargement
Infection suite tél sur softonic
Infection, trou dans le pare-feu, utilisation avira impossible.
Infection suite au téléchargement de Dreiver Max
infection suite mise à jour flash player
demande analyse suite infection OMIGA
Suite mise a jour pilotes (infection)
Pbl de redirection systématique de pages web suite à infection
Plus de sujets relatifs à utilisation de ZHP suite a infection
 > Tous les forums > Forum Sécurité