FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[castor2]

bonjour

j'ai lancé zhpdiag, collé le rapport après avoir cliqué sur importer dans zhp diag mais
Une fenetre avertissement s'ouvre: "Exemples: Script ZHPFix (ligne obligatoire) C:\Program Files\MagniPic
[HKEY_CURRENT_USER\Software\MagniPic]
[HKEY_CURRENT_USERS\S-1-5-18\Control MagniPic]
[HKCU\Software\MagniPic]

pourquoi cette fenêtre apparaît-elle et que dois-je faire dans ces cas la ?
(j'aimerais savoir pour la prochaine fois)
voici le rapport zhpdiag

http://cjoint.com/?3FrnisJCMSE

merci beaucoup !

[g3n-h@ckm@n]

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[castor2]

bonjour

merci de votre réponse : voici le lien du rapport shortcut module :
http://upload.sosvirus.net/www/?a=di=gK8vcRKFSD

[g3n-h@ckm@n]

re

ok

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[castor2]

bonsoir

j'ai installé malwarebytes mais ai oublié de décocher la case activer l'essai gratuit

du coup l'ai désinstallé plusieurs fois et maintenant quand je le réinstalle il ne me le propose plus on dirait qu'il le fait automatiquement, désolée de mon étourderie, avez vous une idée pour réparer cette erreur ?

merci

[castor2]

bonsoir

c'est bon j'ai décoché ^^

[g3n-h@ckm@n]

coucou

lol

[castor2]

bonsoir

j'ai coché français dans l’installation de malware mais il s'est quand même installé en anglais
j'espère que ça ne pose pas de problème pour le rapport
le bouton copy to clipborad ? ne marchait pas je l'ai donc exporter en text


le voici :

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 20/06/2014
Scan Time: 22:25:13
Logfile: log malware.txt
Administrator: Yes

Version: 2.00.2.1012
Malware Database: v2014.06.20.12
Rootkit Database: v2014.06.19.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: mathieu

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 279600
Time Elapsed: 22 min, 24 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 1
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Good: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Bad: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),Replaced,[ceeeff7b314a0f27e44dfb85dd2740c0]

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

re

oué ok c'et une clé orpheline restante

==

des soucis persistent ?

[castor2]

bonjour

qu'est ce qu'une clé orpheline restante ?

et, à l'avenir, comment éviter ce genre de problème ?
et si virus malgré tout, je suivrai la même procédure avec shortcut module ?

merci

[g3n-h@ckm@n]

tout te sera expliqué en temps voulu

tu n'as pas répondu à m question pas contre

[castor2]

bonjour

ah oui pardon : pour répondre, oui la connexion reste lente mais surtout avec google ou en streaming
pas en téléchargement je crois

voici la capture d'écran d'un test de connexion

merci

[g3n-h@ckm@n]

pas bon le streaming pendant la desinfection si flashest pas à jour ou java tu vas réinfecter la machine aussi sec ^^

une clé orpheline est une clé sans destination de fichier, elle pointe sur plus rien

bref on va faire un diag

   

•    
• Copie le script ci dessous :
  
     
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
  
     
• Télécharge OTL (by OldTimer) sur ton bureau.
     
• Lance OTL,  exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
     
• Coche/Sélectionne les cases comme l'image ci dessous
  
  
     
• Colle le Script copié plus haut  dans la partie inférieure d'OTL "Personnalisation"
  
     
• Clique sur Analyse
  
     
  
  
     
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
     
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
     Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
     En cas de problème avec SOSUpload, utiliser Cjoint

[castor2]

voici les deux documents de olt :
http://upload.sosvirus.net/www/?a=di=eLhlpaFiSX

http://upload.sosvirus.net/www/?a=di=TOCHyghTeE

merci

[g3n-h@ckm@n]

ok y a plus rien encore des soucis ?

[castor2]

bonsoir

pourtant la connexion rame avec google etc
et il y a des bruits de cliks qui viennent de nulle part quand je surfe
ça fait ça dés que j'ai un virus

merci

[g3n-h@ckm@n]

fais voir un rapport de ca ?

http://gen-hackman.purforum.com/t7-gmer

[castor2]

bonjour

j'ai coché tt le reste sauf 3rd party j'espère que j'ai bien fait
voilà le résultat :

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-06-22 10:55:48
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 - \Device\Ide\IAAStorageDevice-1 TOSHIBA_ rev.GJ00 596,17GB
Running: 052488yb.exe; Driver: C:\Users\mathieu\AppData\Local\Temp\pwdiifow.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff800035c1000 45 bytes [00, 00, 9E, 00, 55, 4E, 62, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 575 fffff800035c102f 29 bytes [00, 00, 00, 00, 00, 00, 00, ...]

---- User code sections - GMER 2.1 ----

? C:\Windows\system32\tschannel.dll [452] entry point in ".rsrc" section 000007fef87e6894
.text C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE[3432] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE[3432] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe[3172] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe[3172] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2
? C:\Windows\system32\mssprxy.dll [3172] entry point in ".rdata" section 00000000719671e6
.text C:\Users\mathieu\AppData\Roaming\Dropbox\bin\Dropbox.exe[3912] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Users\mathieu\AppData\Roaming\Dropbox\bin\Dropbox.exe[3912] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe[4612] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe[4612] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[5344] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[5344] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2
? C:\Windows\system32\mssprxy.dll [5344] entry point in ".rdata" section 00000000719671e6
.text C:\Program Files (x86)\BitTorrent\BitTorrent.exe[4928] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077031465 2 bytes [03, 77]
.text C:\Program Files (x86)\BitTorrent\BitTorrent.exe[4928] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000770314bb 2 bytes [03, 77]
.text ... * 2

---- Threads - GMER 2.1 ----

Thread C:\Windows\system32\svchost.exe [1128:800] 000007fef8585170
Thread C:\Windows\system32\WLANExt.exe [1212:1252] 000000018000b674
Thread C:\Windows\system32\WLANExt.exe [1212:1256] 000000018000b690
Thread C:\Windows\system32\WLANExt.exe [1212:1260] 000000018000b658
Thread C:\Windows\system32\WLANExt.exe [1212:1264] 0000000180022170
Thread C:\Windows\system32\WLANExt.exe [1212:1268] 000007fefa7e2f9c
Thread C:\Windows\System32\spoolsv.exe [1540:4868] 000007fef71110c8
Thread C:\Windows\System32\spoolsv.exe [1540:4876] 000007fef70d6144
Thread C:\Windows\System32\spoolsv.exe [1540:4880] 000007fef4065fd0
Thread C:\Windows\System32\spoolsv.exe [1540:4884] 000007fef7013438
Thread C:\Windows\System32\spoolsv.exe [1540:4888] 000007fef40663ec
Thread C:\Windows\System32\spoolsv.exe [1540:4896] 000007fef7785e5c
Thread C:\Windows\System32\spoolsv.exe [1540:4900] 000007fef7155074
Thread C:\Windows\system32\svchost.exe [1680:2076] 000007fef92d35c0
Thread C:\Windows\system32\svchost.exe [2500:2556] 000007fef8c57130
Thread C:\Windows\system32\svchost.exe [2500:2564] 000007fef8c4d5c0
Thread C:\Windows\system32\svchost.exe [2500:3660] 000007fef4065fd0
Thread C:\Windows\system32\svchost.exe [2500:5244] 000007fef7013438
Thread C:\Windows\system32\svchost.exe [2500:6060] 000007fef40663ec
Thread C:\Windows\system32\svchost.exe [3848:3476] 000007fefde8a808
---- Processes - GMER 2.1 ----

Library C:\Users\mathieu\AppData\Roaming\Dropbox\bin\wxmsw28uh_vc.dll (*** suspicious ***) @ C:\Users\mathieu\AppData\Roaming\Dropbox\bin\Dropbox.exe [3912](2014-01-03 01:09:26) 0000000004080000
Library c:\users\mathieu\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpfofp0h.dll (*** suspicious ***) @ C:\Users\mathieu\AppData\Roaming\Dropbox\bin\Dropbox.exe [3912](2014-06-21 04:34:57) 0000000005470000
Library C:\Users\mathieu\AppData\Roaming\Dropbox\bin\libcef.dll (*** suspicious ***) @ C:\Users\mathieu\AppData\Roaming\Dropbox\bin\Dropbox.exe [3912](2013-08-23 19:01:44) 00000000698f0000
Library C:\Users\mathieu\AppData\Roaming\Dropbox\bin\icudt.dll (*** suspicious ***) @ C:\Users\mathieu\AppData\Roaming\Dropbox\bin\Dropbox.exe [3912] (ICU Data DLL/The ICU Project)(2013-08-23 19:01:42) 0000000068f60000

---- EOF - GMER 2.1 ----

merci

[g3n-h@ckm@n]

re

je l'aurais bien voulu la 3è partie moi

ferme dropbox si tu t'en sers pas ca bouffe de la ressource internet, et ne le demarre pas avec windows, ca doit pouvoir se gérer ca dans les options

[castor2]

bonjour

dropbox fermé et configuré pour ne plus se lancer au démarrage ^^
et voici la 3rd party



http://upload.sosvirus.net/www/?a=di=Jy74EVCvxx

merci

[g3n-h@ckm@n]

il était pas bien en txt ?

[castor2]

bonsoir

message trop long en texte
merci

[g3n-h@ckm@n]

et là ?

http://cjoint.com , ils le prennent pas ?

[castor2]

bonjour

voici le rapport 3rd party de gmer
http://cjoint.com/?0Fxnb3Xu5cG

merci

[g3n-h@ckm@n]

EN DOCUMENT TEXTE STP

[castor2]

bonjour

voici le rapport 3rd party de gmer que j'ai converti en txt

http://cjoint.com/?0Fyo5oiEuiY

merci

[g3n-h@ckm@n]

ok héberge le rapport de ceci stp

http://www.aht.li/2372125/Process_List.exe

ca fera un Report.txt à coté de l'executable

[castor2]

bonjour

ça me dit "impossible de trouver le fichier C:\Users\Mathieu\Desktop\Report.txt
voulez vous créer un nouveau fichier ?"

et si je clik oui il crée un report vide

[g3n-h@ckm@n]

ah zut , et il y est pas sur ton bureau des fois ?

ok retélécharge-le j'ai fait une modif

[castor2]

bonjour

j'ai retéléchargé mais quand je le lance une fenêtre s'affiche "redaing processes" puis plus rien...

merci

[g3n-h@ckm@n]

hello

regarde sur ton bureau

il doit y avoir ce fameux report.txt dans tes icones

[castor2]

bonjour

hélas ^^ pas de report sur le bureau
merci

[g3n-h@ckm@n]

ptain chuis vert chez moi ca fonctionne nickel !!

[castor2]

bonsoir

je viens de relancer process list : dans le doute voici une capture d'écran d'une recherche report par date, le raccourci correspond aux précédents reports vides je crois

merci

[castor2]

bonjour

http://cjoint.com/?0FAmgRlrqCF

merci

[g3n-h@ckm@n]

Autant pour moi , c'est moi qui suis un âne , je te filais pas le bon lien

http://www.aht.li/2406843/Process_List.exe

[castor2]

bonjour

ça ne marche toujours pas : "reading processes" mais pas de report

merci

[g3n-h@ckm@n]

regarde bien dans tes icones sur ton bureau

[castor2]

Bonsoir

j'ai du partir de chez moi pour un moment
je ne suis plus devant l'ordi donc avant 1 mois au moins

comment faire pour reprendre qd je reviendrai ?

merci

[g3n-h@ckm@n]

ben normalement tu postes à la suite ou tu demandes à un administrateur de réouvrir le sujet s'il est fermé