FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Alek5555]

Bonjour à toute et à tous

J'aimerais savoir ce que vous pensez de ce rapport,j'ai du mal à l'interpréter,

http://cjoint.com/?0Jrnvrz6fNY

J'ai vu ceci reprenez moi si j'ai complètement faux

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

Par contre au niveau des lignes O23 - Service: @%SystemRoot%\ je suis perdu, je ne sais pas comment interpréter ce que je lis

Si quelqu'un à le temps de m'expliquer un peu plus en détail ce rapport ce serait vraiment sympa

Merci d'avance

[jacques.gache]

bonjour, poste plutôt un zhpdiag il sera plus complet pour savoir si saloperies ou pas sur le pc

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
• Installe le logiciel.
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Clic sur Complet
  
  Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
• Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

[Alek5555]

Je voulais commencer par Hijackthis car peut être plus simple à comprendre

J'aimerais comprendre et savoir interpréter ce type de rapport

http://cjoint.com/?0Jrptsz3sOB

Voila le rapport

Y a t'il une partie du rapport beaucoup plus importante à étudier que les autres ?

[Alek5555]

J'ai essayé de comprendre temps bien que mal ce rapport

Voici les lignes qui mon interpelé


Dans "Tâches planifiées en automatique (O39)"
les 3 lignes commençant par "[MD5.00000000000000000000000000000000] [APT]" qu'est ce que ça veut dire ?

O42 - Logiciel: Projet1 - (...) [HKLM][64Bits] -- ST6UNST #1 je ne vois pas ce que c'est

Dans la catégorie "HKCU & HKLM Software Keys"

[HKCU\Software\Canneverbe Limited]
[HKCU\Software\IM Providers]
[HKCU\Software\JEDI-VCL]
[HKCU\Software\Mobileleader]
[HKCU\Software\PC SOFT]
[HKCU\Software\Trolltech]
HKCU\Software\Wow6432Node]
[HKCU\Software\ej-technologies]
[HKCU\Software\tibSys]
[HKLM\Software\Khronos]
[HKLM\Software\SonicFocus]
[HKLM\Software\Sonic]
[HKCU\Software\Papyrus Software]

Possible de m'expliquer ce que c'est ?


---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

en lisant cette partie, je me rend compte qu'il reste des résidus de programmes que j'avais désinstallés via le panneau de configuration. Je dois les supprimer manuellement à chaque fois ?

O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm -> une ancienne infection ?

O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - http://www.bing.com
-> une infection encore présente ?

Tout à la fin :

---\\ Récapitulatif des détections trouvées sur votre station
http://www.nicolascoolman.fr/blog/ =>Toolbar.Agent
http://nicolascoolman.fr/pup-whitesmoke =>PUP.Whitesmoke
http://nicolascoolman.fr/pup-babylon =>PUP.Babylon
~ MSI: 3 link(s) detected in 00mn 00s

C'est le résultat final ? ce nom c'est celui du site ou j'ai dl Zhpdiag je ne crois pas y être allez une seul fois avant.

Beaucoup de question je m'en excuse ! Mais ce serait vraiment très instructif pour moi

MERCI D'AVANCE !!!

[jacques.gache]

bonjour, si tu veux en savoir plus sur se que sont les lignes de zhpdiag http://www.nicolascoolman.fr/download/zhphelp/
pour moi tu fais zhpfix comme expliqué et tu passes adsfix, merci

1) fais zhpfix

• Copie les lignes en gras ci dessous :
  
  Script ZHPFix
  SysRestore
  ProxyFix
  FirewallRaz
  EmptyPrefetch
  EmptyTemp
  EmptyFlash
  [HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
  [HKLM\Software\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
  [HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
  [HKLM\Software\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
  [HKLM\Software\Classes\AppID\secman.DLL]
  
• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  1. Clique sur Importer
  2. Puis Clic sur "GO"
  
  
  
• Confirmes les nettoyages des données en cliquant sur "Oui"
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse.

2) passes adsfix

• Désactive ton antivirus le temps du téléchargement et de l'utilisation.
• Télécharge AdsFix sur ton bureau.
  Note : Enregistrer votre travail avant de continuer !
• Lance AdsFix
• Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
• Inscrit ton pays
• Clique sur Nettoyer , après l'avoir débloqué dans les options
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\AdsFix_date_heure.txt sur Cjoint puis donne le lien obtenu.

Aide:

• Tutoriel AdsFix - Option "Nettoyage"
• Désactiver temporairement sa protection résidentielle

[Invité]

Bonjour,

J'ai lancé Zhpfix et les lignes en gras que je devais copier, étaient déjà présente dans le logiciel.

Voici le rapport : http://cjoint.com/?DJsoX4kWUV6


Et ADSFIX : http://cjoint.com/?DJsoYSrtiuu


Si vous avez un peu de temps, pouvez vous répondre aux questions que j'ai écris dans les messages précédents .

Merci d'avance

[jacques.gache]

bonjour, comment va le pc postes un nouveau zhpdiag en cliquant sur complet, merci

pour savoir se que sont les lignes regarde cela http://ahp.li/eaf7ddcfb1f1ede36207.chm tu as toutes les explications

[Alek5555]

Bonjour,

Je n'ai pas vu de changement entre les deux rapports :

http://cjoint.com/?0Jtllvh6OUO

Merci pour ton lien, mais même avec sa je ne trouve pas de réponse claire à mes questions

Peux tu prendre quelques minutes pour m'expliquer avec tes mots

Dans "Tâches planifiées en automatique (O39)"
les 3 lignes commençant par "[MD5.00000000000000000000000000000000] [APT]" comment interpréter ces 3 lignes ?

Dans la catégorie "HKCU & HKLM Software Keys"

[HKCU\Software\Canneverbe Limited]
[HKCU\Software\IM Providers]
[HKCU\Software\JEDI-VCL]
[HKCU\Software\Mobileleader]
[HKCU\Software\PC SOFT]
[HKCU\Software\Trolltech]
HKCU\Software\Wow6432Node]
[HKCU\Software\ej-technologies]
[HKCU\Software\tibSys]
[HKLM\Software\Khronos]
[HKLM\Software\SonicFocus]
[HKLM\Software\Sonic]
[HKCU\Software\Papyrus Software]

Ces clés sont elle utiles ?


---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

en lisant cette partie, je me rend compte qu'il reste des résidus de programmes que j'avais désinstallés via le panneau de configuration. Je dois les supprimer manuellement à chaque fois ?

O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm -> une ancienne infection ?

O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - http://www.bing.com
-> une infection encore présente ?


Merci d'avance jacques gache

[jacques.gache]

bonjour, je vais pas rechercher chaque ligne de registre pour te dire, fais le toi même sur google, j'ai pas envie comme pendant ma formation helper de passer des soir entier à recherché, si tu veux savoir si utile ou pas tu les supprime et si ton pc ne redémarre pas c'est qu'elle était utile !!lol !! je plaisante !!

concernant cela Dans "Tâches planifiées en automatique (O39)"
les 3 lignes commençant par "[MD5.00000000000000000000000000000000] [APT]" comment interpréter ces 3 lignes ?
il faut aller jusqu'au bout de la ligne et tu saura à qui c'est !!

[MD5.00000000000000000000000000000000] [APT] [{20789381-5B98-44DA-B3C6-61FCF0572B33}] (...) -- F:\t‚l‚chargements\call_of_duty_4_modern_warfare_mise_a_jour_depuis_v1.6_multi-langues_247528.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{9FEA0AA3-959A-4191-BE02-910E286ADD0B}] (...) -- F:\t‚l‚chargements\GameRangerSetup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{A97B7127-C16E-452E-BA1B-31CD26F44CD3}] (...) -- E:\Jeux instal\SIERRA\Pharaon\unin_ph.exe (.not file.) [0]


et puis O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm -> une ancienne infection ?
tu tiens cela d'ou ??

O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - http://www.bing.com
-> une infection encore présente ?
bing est un moteur de recherche de chez microsoft présent d'office sur IE et sur la page de MSN

[Invité]

Je me suis surtout mal exprimé, j'ai bien vu à quoi ces 3 lignes correspondaient mais, si elles sont présentes dans les taches planifiées, c'est qu'elles utilisent des ressources non ? Ou il faut un élément déclencheur ? et ce (.not file.) [0] veux dire ?

C'est le fait d'avoir lu cela "Recherche d'infection sur les...." qui m'a fait croire que c'était d'ancienne infection.

Je comprend tout à fait que tu ne veuilles pas lire chaque ligne à ma place j'en demande pas autant jusque un ptit coup de pousse pour que je puisse mieux comprendre ces rapports.

En tout cas merci d'avoir pris la peine de me répondre pour les précédents messages

[jacques.gache]

bonjour, oui les taches planifier se lance selon qu'ils sont programmer , et ce (.not file.) [0] veux dire que la tache est morte donc pas active logiciel qui en était à l'origine a du être désinstaller!! regarde dans ccleaner , options, démarrage, tâche planifier si tu les vois tu effaces !!

bon pour moi c'est bon côté infections tu passes delfix et je mettrais en résolu!!

• Télécharges Delfix sur ton Bureau.
• Lance Delfix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche la case suivantes :
  
  • Réactiver l'UAC
  • Supprimer les outils de désinfection
  • Effectuer une sauvegarde du registre
    
    

[Invité]

merci à toi pour ces infos et le temps que tu m'as accordé