Faire un don
ANNONCES

Bienvenue sur notre forum d'entraide informatique :youpie:
Notre équipe est là pour vous aider à régler vos problèmes informatiques.
Postez un message sur le forum pour expliquer votre problème,
vous obtiendrez une assistance efficace, gratuite et rapide (si les délais sont parfois un peu plus longs, c'est que nous avons beaucoup de demandes :ooops: ).

Si devenir "helper" vous tente, les inscriptions à notre école de formation sont ouvertes par intermittence. Suivez les instructions données sur cette page
NB : nous sommes en ce moment victimes d'une vague d'inscriptions malveillantes. Si vous rencontrez des problèmes de connexion, envoyez nous un mel sur la boite des admins. Merci de votre compréhension

administrateurs(arobase)helper-formation.fr

N'hésitez pas à rendre une petite visite à nos partenaires, ça leur fera plaisir, et à nous aussi :D

Rapport ZHPDiag

La première étape avant de poster dans ce forum est >>ICI<<
( Aucune aide ne sera apportée sur une version illégale de Windows ) :!:

Rapport ZHPDiag.

Messagepar Chapi » Jeu 19 Jan 2012 22:56

Bonjour !

Ce serait bien aimable si quelqu'un pouvait jeter un coup d'oeuil à ce rapport ZHPDiag.
En effet il semblerait que je soit infecté, bien que je n'y vois aucun symptôme.

De plus j'apprécierais si la personne qui voudra bien s'en occuper, faisait ça pas à pas, en m'expliquant sa démarche, de façons à ce que cela soit instructif, sachant que je viens de commencer la formation helpeur.

Merci beaucoup,

Chapi
Chapi
Helper
Helper
 
Messages: 59
Enregistré le: Jeu 19 Jan 2012 21:50
Localisation: Lyon

Re : Rapport ZHPDiag.

Messagepar Michael Forest » Sam 21 Jan 2012 16:02

Bonjour le petit nouveau,
Effectivement, pas beau l'avion! :affraid:
Un fichier hosts complètement vérolé, et un bonne cinquantaine de publiciels et autres logiciels potentiellement néfastes.
On ne va pas faire dans le détail tout de suite, mais travailler plutôt à l'explosif.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Ensuite:
• Télécharge RstHosts sur ton bureau.
• Lance-le et appuie sur "Restaurer".

* Note : Le rapport est également sauvegardé à la racine du disque dur (C:\RstHosts.txt)

Colle les 2 rapports dans ta prochaine réponse (inutile de les héberger, colle les simplement sous balises "spoiler")
A+
Michael

PS: étant donné que tu es en formation, je ne vais pas te donner toutes les indications que tu demandes, car elles font partie de la formation, et ce sera à toi de les découvrir au fur et à mesure que tu avanceras, éventuellement en posant des questions à tes futurs correcteurs ;)
Bon courage!
La plupart des problèmes informatiques viennent de l'interface chaise-clavier
Avatar de l’utilisateur
Michael Forest
Administrateur du site
Administrateur du site
 
Messages: 2729
Enregistré le: Sam 24 Oct 2009 14:56
Localisation: Montargis

Re : Rapport ZHPDiag.

Messagepar Chapi » Sam 21 Jan 2012 21:10

Merci beaucoup de m'aider,

Voici le rapport AdwCleaner :
# AdwCleaner v1.407 - Rapport créé le 21/01/2012 à 19:51:50
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Propriétaire - CHAPRON_TELE (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Propriétaire\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\Propriétaire\Application Data\cacaoweb
Dossier Présent : C:\Documents and Settings\Propriétaire\Application Data\OfferBox
Dossier Présent : C:\Documents and Settings\Propriétaire\Application Data\pdfforge
Dossier Présent : C:\Documents and Settings\Propriétaire\Application Data\Search Settings
Dossier Présent : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Présent : C:\Program Files\Application Updater
Dossier Présent : C:\Program Files\OfferBox
Dossier Présent : C:\Program Files\pdfforge Toolbar
Fichier Présent : C:\Program Files\Mozilla Firefox\extensions\pdfforge@mybrowserbar.com

***** [Registre] *****

Clé Présente : HKCU\Software\cacaoweb
Clé Présente : HKCU\Software\Offerbox
Clé Présente : HKCU\Software\Search Settings
Clé Présente : HKCU\Software\AppDataLow\Software\pdfforge
Clé Présente : HKLM\SOFTWARE\Application Updater
Clé Présente : HKLM\SOFTWARE\Offerbox
Clé Présente : HKLM\SOFTWARE\pdfforge
Clé Présente : HKLM\SOFTWARE\Search Settings
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Présente : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Profil : o3pjrdf5.default
Fichier : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\o3pjrdf5.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v16.0.912.75

Fichier : C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3289 octets] - [21/01/2012 19:51:50]

########## EOF - C:\AdwCleaner[R1].txt - [3417 octets] ##########


Ainsi que le rapport de RstHosts :
-|x| RstHosts v2.0 - Rapport créé le 21/01/2012 à 19:58:39
-|x| Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
-|x| Nom d'utilisateur : Propriétaire - CHAPRON_TELE (Administrateur)

-|x|- Informations -|x|-

Emplacement : C:\WINDOWS\System32\drivers\etc\hosts
Attribut(s) : RASH
Propriétaire : Propriétaire - CHAPRON_TELE
Taille : 89 bytes
Date de création : 30/01/2011 - 18:42:27
Date de modification : 21/01/2012 - 19:54:01
Date de dernier accès : 21/01/2012 - 19:54:01

-|x|- Contenu du fichier -|x|-

# Fichier Hosts créé par RstHosts

127.0.0.1 localhost
::1 localhost

-|x|- E.O.F - C:\RstHosts.txt - 636 bytes -|x|-


Par contre je t'informe que pour obtenir le rapport il faut en plus de restaurer, utiliser la fonction "rapport" dans le menu.

De plus, j'ai restauré mon fichier host, mais je ne suis point sur qu'il ai été vérolé, en effet, les seules entrées positives avaient été rentré par moi même :
O1 - Hosts: 64.202.189.170 # PCParadise.fr (Merci pour l'hébergement de la liste en *.rar)
O1 - Hosts: 66.102.9.99 # Google
O1 - Hosts: 69.63.189.11 # Facebook
O1 - Hosts: 209.85.229.19 # Gmail
O1 - Hosts: 194.169.240.247 # Commentcamarche.net
O1 - Hosts: 194.28.157.10 # dpstream.net

Quand au 162 XXX autres lignes, si je ne m'abuse, elle ne font que bloquer la connection vers les sites dont l'ip est rentrée, c'est à dire que du bonus, quoique cela engendre certainement un ralentissement, mais cela permettait, entre autre que Google chrome qui est le navigateur que j'utilise, n'arrive pas à afficher la centaine de pubs qu'on veux nous faire visionner...
Ces lignes avaient, à la base été rentrées par moi-même, un site, je ne sais plus lequel, référençait tous les sites indésirables. Et mises à jour par "Skybot-search and destroy".

Merci beaucoup.

Chapi
Chapi
Helper
Helper
 
Messages: 59
Enregistré le: Jeu 19 Jan 2012 21:50
Localisation: Lyon

Re : Rapport ZHPDiag.

Messagepar Michael Forest » Dim 22 Jan 2012 16:05

Hello,
On va pouvoir relancer ADwC, cette fois en mode suppression
Attention, il va détruire les clés qui vont avec ton PDFForge, mais ce logiciel n'est pas clair, si tu y tiens, tu pourras toujours le réinstaller après, mais je te conseillerais plutôt d'en choisir un autre.

Pour le fichier Hosts, le mieux est d'en avoir un le plus petit possible, avec ton usine à gaz, même sans vérole, c'était de la folie :affraid:
ça peut se concevoir dans le cadre d'un contrôle parental, mais je me doute que ce n'est pas ton cas :lol:
Quant à Spybot, son efficacité est très controversée; il charge la demande en ressource, sans vraiment apporter grand'chose, à part t'envoyer une douzaine d'avertissements chaque fois que tu veux installer ou lancer un programme.
Si tu veux le désinstaller, prends soin de désactiver le tea-timer, et d'annuler le système de protection des fichiers, sinon, la désinstal ne sera pas complète.
Je te dirai par quoi le remplacer en fin de traitement

Pour ne pas surfer à l'aveuglette, choisis plutôt un additif fondé sur la réputation des sites, comme WOT (ou le Webrep d'Avast 6)

A+
Michael

PS : j'allais oublier, après AdwC, refais moi un ZHPDiag, qu'on voit ce qui reste
La plupart des problèmes informatiques viennent de l'interface chaise-clavier
Avatar de l’utilisateur
Michael Forest
Administrateur du site
Administrateur du site
 
Messages: 2729
Enregistré le: Sam 24 Oct 2009 14:56
Localisation: Montargis

Re : Rapport ZHPDiag.

Messagepar Chapi » Dim 22 Jan 2012 16:38

Bonjour !

voici le rapport d'ADwC en mode suppression :

# AdwCleaner v1.407 - Rapport créé le 22/01/2012 à 15:06:09
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Propriétaire - CHAPRON_TELE (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Propriétaire\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\cacaoweb
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\OfferBox
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\Search Settings
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\OfferBox
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Fichier Supprimé : C:\Program Files\Mozilla Firefox\extensions\pdfforge@mybrowserbar.com

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Profil : o3pjrdf5.default
Fichier : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\o3pjrdf5.default\prefs.js

C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\o3pjrdf5.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v16.0.912.75

Fichier : C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3446 octets] - [22/01/2012 15:06:09]

*************************

Dossier Temporaire : 20 dossier(s) et 40 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [3668 octets] ##########


Pour PDFForge, j'utilise fréquemment PDFCreator, l'un à-t'il un lien avec l'autre ? Sinon je n'utilise jamais PDFForge.

Pour ma liste host et ce qui concerne Skybot, le tea-timer est déjà désactivé, à ma connaissance. Sinon je n'utilisais pas cette liste comme contrôle parental^^, mais plutôt pour limiter le nombre de cochonneries que mon pc attrape lorsque je surf, et en fait d'après les scans de ce même logiciel, je trouvais cela plutôt efficace, le nombre de "spyware" détectés par scan étant passé de plusieurs dizaines, à presque 0.
Michael forest a écrit:Quant à Spybot, son efficacité est très controversée; il charge la demande en ressource, sans vraiment apporter grand'chose, à part t'envoyer une douzaine d'avertissements chaque fois que tu veux installer ou lancer un programme.


Je n'ai pas souvenir que Skybot ai la moindre fois intervenu durant l'installation/le lancement d'un quelconque programme.

Sinon j'ai déjà le le Webrep d'Avast 6, mais je n'ai pas souvent le réflexe de le regarder, ou de mis fier...

Voici le rapport ZHPDiag : http://cjoint.com/?3AwpKetQIcy

En espérant que cela soit mieux !

Merci beaucoup pour ton aide !

Chapi
Chapi
Helper
Helper
 
Messages: 59
Enregistré le: Jeu 19 Jan 2012 21:50
Localisation: Lyon

Re : Rapport ZHPDiag.

Messagepar Michael Forest » Lun 23 Jan 2012 15:51

Hello,
Je n'ai pas souvenir que Skybot ai la moindre fois intervenu durant l'installation/le lancement d'un quelconque programme.

Normal, tu as désactivé le tea-timer, c'est lui qui t'affiche un message chaque fois qu'un prog tente de modifier la BDR.
Crois moi, tu as MBAM, et il est bien plus efficace; d'ailleurs tu parles de maliciels détectés par Spybot, mais MBAM t'a-t-il détecté les mêmes? Spybot ne fait que lister les modifs dans la BDR, mais ne fait pas la différence entre les légitimes et les malveillantes :affraid:

mais plutôt pour limiter le nombre de cochonneries que mon pc attrape lorsque je surf

Tu reverras le rôle du fichier hosts au cours de ta formation (peut-être sera-ce moi qui te corrigerai d'ailleurs :twisted: ), mais pour ce que tu dis, c'est totalement faux; en résumé, le hosts bloque l'accès à certaines URL (ou les redirige), si tu peux accèder à un site, c'est qu'il n'est pas bloqué, et rien ne dit qu'il ne va pas te contaminer, car le hosts ne fait pas la différence entre un bon et un mauvais site. Installe plutôt Wot en plus de Webrep, c'est bien mieux adapté à ce que tu souhaites.

Pour la création de PDF, OpenOffice le permet directement, je ne sais pas pour MS office 2003, mais à partir de la version 2007, il le permet aussi; renseigne toi, il est posssible qu'un additif soit disponible, ce qui te permettrait de te débarrasser de PDF Creator (pas néfaste en lui même, mais à quoi bon garder des trucs inutiles)

Revenons à ton diag:
Connais tu ce fichier "is-VN3FH? à quoi peut-il bien se rattacher?

Attention, les instructions suivantes sont à éxécuter à partir du message du forum, et non à partir du courriel de notification
• Clic sur "tout sélectionner" ci-dessous, puis clic droit sur la sélection, puis "copier"
----------------------------------------------------------
Code: Tout sélectionner
O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}   
[HKCU\Software\Spointer]   
[HKLM\Software\CrazyLoader]   
O43 - CFD: 30/01/2011 - 19:59:54 - [0,256] ----D- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\crazyloader Air   
O51 - MPSK:{aefa2f72-fd13-11de-99f1-001fd067291c}\AutoRun\command. (...) -- F:\e9naq.exe (.not file.)   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5F65718-341D-4e7d-9842-FCB9CC89527E}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C5F65718-341D-4e7d-9842-FCB9CC89527E}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]   
[HKLM\Software\Classes\Installer\Features\3D7B197543B881247905A6E8540DDA23]   
[HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23]   
[HKLM\Software\CrazyLoader]   
[HKCU\Software\Spointer]   
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{a057a204-bacc-4d26-8287-79a187e26987}       
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Crazyloader Air
 O51 - MPSK:{275b8047-f48b-11df-9b85-001fd067291c}\AutoRun\command - Clé orpheline   
O51 - MPSK:{62c6f17c-d498-11e0-9d11-001fd067291c}\AutoRun\command. (...) -- E:\ICM_Manager.exe (.not file.)   
O51 - MPSK:{732a653e-3769-11df-9a58-001fd067291c}\AutoRun\command - Clé orpheline   
O51 - MPSK:{8583ceab-1b07-11e0-9bd3-001fd067291c}\AutoRun\command - Clé orpheline   
O51 - MPSK:{8583cead-1b07-11e0-9bd3-001fd067291c}\AutoRun\command - Clé orpheline   
O51 - MPSK:{9a6c479c-2427-11e1-9d96-001fd067291c}\AutoRun\command. (...) -- E:\ICM_Manager.exe (.not file.)   
O51 - MPSK:{9fea580b-4ebd-11df-9a89-001fd067291c}\AutoRun\command - Clé orpheline    => Orphean Key not necessary
O51 - MPSK:{a69db234-08b0-11de-982b-001fd067291c}\AutoRun\command. (...) -- C:\WINDOWS\system32\launcher.exe (.not file.)   
O51 - MPSK:{b09b6e89-cc8d-11de-99a7-001fd067291c}\AutoRun\command. (...) -- F:\shell\Shelexec.exe (.not file.)   
O51 - MPSK:{c4fdb620-b363-11df-9b0f-001fd067291c}\AutoRun\command - Clé orpheline   
[HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}]   
[HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}]   
[HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}]
 OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-1482476501-261903793-1801674531-1006-1482476501-261903793-1801674531-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:SR - | Auto 29/08/2008 238888 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe


----------------------------------------------------------
• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag, l'icône verte en haut, à droite qui apparaitra a la fin de l'analyse ZHPdiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») (les lignes ci dessus doivent apparaître dans la fenêtre)
• Clique sur le bouton « GO » pour lancer le nettoyage,
• Copie/colle la totalité du rapport dans ta prochaine réponse

Tutoriel:
http://www.premiumorange.com/zeb-help-p ... hpfix.html

Ensuite:
Désinstalle Java version 6 update 7 (tu as l'update 30)
JK Défrag et My Defrag, font double emploi, un seul suffit, mais c'est toi qui vois ;)


Allez, au travail :mrgreen:
La plupart des problèmes informatiques viennent de l'interface chaise-clavier
Avatar de l’utilisateur
Michael Forest
Administrateur du site
Administrateur du site
 
Messages: 2729
Enregistré le: Sam 24 Oct 2009 14:56
Localisation: Montargis

Re : Rapport ZHPDiag.

Messagepar Chapi » Lun 23 Jan 2012 22:03

Bonsoir !

Merci de ton suivis !

d'ailleurs tu parles de maliciels détectés par Spybot, mais MBAM t'a-t-il détecté les mêmes?


Eh bien disons que j'avais l'habitude de faire plus souvent des scans skybot que MBAM, puisque niveau temps, c'est pas du tout équivalent^^, alors en effet c'est pas très malin de ma part parce que la différence de temps doit de toute évidence correspondre à une analyse plus poussée ! M'enfin c'est le passé ! Donc tu me conseil de supprimer totalement Skybot, en utilisant la procédure que tu m'a indiqué à un de tes précédents posts ?

en résumé, le hosts bloque l'accès à certaines URL (ou les redirige), si tu peux accèder à un site


Ce qui n’empêche pas que les sites donc l'accès à l'url est bloqué, je ne peux y accéder et donc ne peux être infecté, et avec la liste host que j'avais....
Mais je me ait et verrais ça durant ma formation ! :smile2:
Sinon penses-tu que Adblock est une bonne solution pour éviter les pubs qui partent dans tout les sens ?
Quand à WOT je m'en vais de ce pas collecter deux trois information sur cette extension !

Pour la création de PDF, OpenOffice le permet directement, je ne sais pas pour MS office 2003, mais à partir de la version 2007, il le permet aussi; renseigne toi, il est posssible qu'un additif soit disponible, ce qui te permettrait de te débarrasser de PDF Creator (pas néfaste en lui même, mais à quoi bon garder des trucs inutiles)


Je me sers de PDFCreator également pour créer des PDF à partir d'images, puisque ce logiciel agis comme une "imprimante", je choisis les fichiers que je veux imprimer, avec l'assistant impression de Windows je choisis PDFCreator et j'obtiens mon PDF !

Connais tu ce fichier "is-VN3FH? à quoi peut-il bien se rattacher?


Je ne connais absolument pas ce fichier, de plus il est dans le dossier Windows, là ou je n'aurais jamais eu l'idée de le poser. Donc si il ne fait pas partir des fichiers qui permettent le bon fonctionnement de Windows, ça doit pas être un truc à garder !?

Voici le rapport ZHPFix :
Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-23-01-2012-20-22-45.txt
Run by Propriétaire at 23/01/2012 20:22:45
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
SUPPRIME pdfforge Toolbar v1.1.2

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Spointer
SUPPRIME Key: HKLM\Software\CrazyLoader
SUPPRIME CLSID MPSK: {aefa2f72-fd13-11de-99f1-001fd067291c}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5F65718-341D-4e7d-9842-FCB9CC89527E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C5F65718-341D-4e7d-9842-FCB9CC89527E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
ABSENT Key: HKLM\Software\Classes\Installer\Features\3D7B197543B881247905A6E8540DDA23
ABSENT Key: HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23
SUPPRIME CLSID MPSK: {275b8047-f48b-11df-9b85-001fd067291c}
SUPPRIME CLSID MPSK: {62c6f17c-d498-11e0-9d11-001fd067291c}
SUPPRIME CLSID MPSK: {732a653e-3769-11df-9a58-001fd067291c}
SUPPRIME CLSID MPSK: {8583ceab-1b07-11e0-9bd3-001fd067291c}
SUPPRIME CLSID MPSK: {8583cead-1b07-11e0-9bd3-001fd067291c}
SUPPRIME CLSID MPSK: {9a6c479c-2427-11e1-9d96-001fd067291c}
SUPPRIME CLSID MPSK: {9fea580b-4ebd-11df-9a89-001fd067291c}
SUPPRIME CLSID MPSK: {a69db234-08b0-11de-982b-001fd067291c}
SUPPRIME CLSID MPSK: {b09b6e89-cc8d-11de-99a7-001fd067291c}
SUPPRIME CLSID MPSK: {c4fdb620-b363-11df-9b0f-001fd067291c}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}
SUPPRIME Key: Service: Bonjour Service
SUPPRIME Key: StartupReg: Adobe Reader Speed Launcher
ABSENT Key: Service: Bonjour Service

========== Valeur(s) du Registre ==========
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{a057a204-bacc-4d26-8287-79a187e26987}
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: ctfmon.exe
ABSENT RunValue: ctfmon.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Propriétaire\Local Settings\Application Data\crazyloader Air

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\propriétaire\local settings\application data\crazyloader air


========== Récapitulatif ==========
29 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)


End of clean in 02mn 23s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/01/2012 22:28:08 [621]
C:\ZHP\ZHPFix[R2].txt - 18/01/2012 14:30:50 [3354]
C:\ZHP\ZHPFix[R3].txt - 23/01/2012 20:22:45 [3513]


Désinstalle Java version 6 update 7 (tu as l'update 30)


Il y aurait pas une petite confusion ? j'ai la version 6 update 30 et la version 7 update 2, j'ai donc supprimé essayé de supprimer la plus ancienne, (version 6), mais ce message est apparut "Erreur interne 2753. regutils.dll". Et donc il a pas l'air de vouloir se désinstaller...

JK Défrag et My Defrag, font double emploi, un seul suffit, mais c'est toi qui vois


J'avais en installant My Defrag, supprimé à l'aide de CCleaner, JK Défrag, et d’ailleurs celui-ci n’apparaît plus ni dans le menu CCleaner ni dans le programme "ajout/suppression de programmes" de Windows...

De plus j'ai profiter de ce passage dans CCleaner pour désinstaller une Bar Bing qui venais de je ne sais où ainsi que pour faire un nettoyage et une vérification registre !

Puis je me suis dis qu'un petit passage de ZHPDiag pourrait servir, le voilà : http://cjoint.com/?3AxuYnLK9FV

Au passage je vois qu'il existe encore des entrée P1, sachant que j'ai désinstallé Opéra, je pense qu'il faudrait les supprimer, non ?

Merci encore ! :salut:

Chapi
Modifié en dernier par Chapi le Mar 24 Jan 2012 21:08, modifié 1 fois.
Chapi
Helper
Helper
 
Messages: 59
Enregistré le: Jeu 19 Jan 2012 21:50
Localisation: Lyon

Re : Rapport ZHPDiag.

Messagepar Michael Forest » Mar 24 Jan 2012 14:48

:salut:
Donc tu me conseil de supprimer totalement Skybot, en utilisant la procédure que tu m'a indiqué à un de tes précédents posts ?


Je persiste et signe :lol:
Cependant pour désinstaller, tu peux passer par le désinstallateur windows, ou celui de Spybot; je peux aussi l'inclure dans mon prochain script.

la différence de temps doit de toute évidence correspondre à une analyse plus poussée !

Disons plus précise et mieux ciblée.

Ce qui n’empêche pas que les sites donc l'accès à l'url est bloqué, je ne peux y accéder et donc ne peux être infecté

Effectivement, mais si tu sais que ce site est dangereux, tu n'iras pas; c'est le rôle de Wot et Webrep de t'avertir sur un site que tu ne connais pas (ce que ne fait pas le hosts).

Je ne connais absolument pas ce fichier, de plus il est dans le dossier Windows, là ou je n'aurais jamais eu l'idée de le poser. Donc si il ne fait pas partir des fichiers qui permettent le bon fonctionnement de Windows, ça doit pas être un truc à garder !?

Tu apprendras aussi au cours de ta formation, un certain nombre de principes, dont celui là:
Si tu ne connais pas, tu ne touches pas.
On peut continuer à chercher des infos sur ce fichier, mais dans le doute, on n'y touchera pas ;)

Il y aurait pas une petite confusion ? j'ai la version 6 update 30 et la version 7 update 2, j'ai donc supprimé essayé de supprimer la plus ancienne, (version 6), mais ce message est apparut "Erreur interne 2753

Je ne t'ai jamais demandé de supprimer la 6.30, mais la 6.7 dont tu as encore des traces, je peux aussi l'inclure dans le prochain script.

J'avais en installant My Defrag, supprimé à l'aide de CCleaner, JK Défrag, et d’ailleurs celui-ci n’apparaît plus ni dans le menu CCleaner ni dans le programme "ajout/suppression de programmes" de Windows...

De plus j'ai profiter de ce passage dans CCleaner pour désinstaller une Bar Bing qui venais de je ne sais où ainsi que pour faire un nettoyage et une vérification registre !

Puis je me suis dis qu'un petit passage de ZHPDiag pourrait servir, le voilà : http://cjoint.com/?3AxuYnLK9FV

Au passage je vois qu'il existe encore des entrée P1, sachant que j'ai désinstallé Opéra, je pense qu'il faudrait les supprimer, non ?

Pour tout ça, on va faire un peu de formation :twisted:
Tu vas attentivement étudier ton rapport diag, et me faire une liste de tout ce qui te parait inutile, donc à supprimer, et je te ferai le script corrspondant
A+
Michael
La plupart des problèmes informatiques viennent de l'interface chaise-clavier
Avatar de l’utilisateur
Michael Forest
Administrateur du site
Administrateur du site
 
Messages: 2729
Enregistré le: Sam 24 Oct 2009 14:56
Localisation: Montargis

Re : Rapport ZHPDiag.

Messagepar Chapi » Mar 24 Jan 2012 21:09

Bonsoir !

Tu apprendras aussi au cours de ta formation, un certain nombre de principes, dont celui là:
Si tu ne connais pas, tu ne touches pas.
On peut continuer à chercher des infos sur ce fichier, mais dans le doute, on n'y touchera pas

Alors là ! j'aurais fait le contraire :roll: Heureusement que tu es là ! :)
D'ailleurs ceci pouvant peut-être te renseigner sur ce programme en question, voici ce que le dernier rapport ZHP comporte, j'en profite pour préciser, que je n'y ai absolument pas touché, si ce n'est une simple recherche hier, soit rien le 09/01/2012 :
Code: Tout sélectionner
O44 - LFC:[MD5.973F1A040AB02C920BDCE491BE8B764B] - 09/01/2012 - 19:01:37 ---A- . (...) -- C:\WINDOWS\is-VN3FH.lst   [301]
O44 - LFC:[MD5.77088B7612C0D0038D4B0C3E195DB567] - 09/01/2012 - 19:01:37 ---A- . (...) -- C:\WINDOWS\is-VN3FH.msg   [20903]
O44 - LFC:[MD5.C4F170188DF056C2DDCF6A3A2A7C7D22] - 09/01/2012 - 19:01:37 ---A- . (.Pas de propriétaire - Setup/Uninstall.) -- C:\WINDOWS\is-VN3FH.exe   [1174528]
O53 - SMSR:HKLM\...\startupreg\InnoSetupRegFile.0000000001  [Key] . (.Pas de propriétaire - Setup/Uninstall.) -- C:\WINDOWS\is-VN3FH.exe


Au passage petite question : Ça faisait longtemps que je me demandais à quoi servait le programme Bonjour d'apple et que j'hésitais à le supprimer, j'ai vu que tu me l'a fait supprimer, à quoi servait-il ?

Alors voici les lignes que j'aurais fixé :
En ce qui concerne Opera :
Code: Tout sélectionner
P1 - OPN:Opera Plugin Navigator . (.Microsoft Corporation - Office Plugin for Netscape Navigator.) -- C:\Program Files\Opera\Program\Plugins\NPOFFICE.DLL


En ce qui concerne mozilla, ça fait beaucoup mais c'est des trucs qui me semblent inutiles donc....
Code: Tout sélectionner
G2 - GCE: Preference [User Data\Default] [hdokiejnpimakedhajhdlcegeplioahd] LastPass v.1.73.3 (Désactivé)
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\amazon-france.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\bing.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\cnrtl-tlfi-fr.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\eBay-france.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\MediaDICO-fr.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\wikipedia-fr.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\yahoo-france.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\yahoo.xml
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin2.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin3.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin4.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin5.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin6.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin7.dll
P2 - FPN:Firefox Plugin Navigator . (.Pas de propriétaire - npsnapfish.) -- C:\Program Files\Mozilla Firefox\Plugins\npsnapfish.dll
P2 - FPN: [HKLM] [@Apple.com/iTunes,version=1.0] - (...) -- C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll


En ce qui concerne Internet explorer :
Code: Tout sélectionner
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com
Et les entrées en 09 je ne sais pas quoi en penser... Parce que je ne les vois pas dans mon internet explorer...

Code: Tout sélectionner
O10 - WLSP:\000000000004\Winsock LSP File . (.Apple Inc. - Bonjour Namespace Provider.) -- C:\Program Files\Bonjour\mdnsNSP.dll


Code: Tout sélectionner
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
J'ai trouvé cette entrée plutôt bizarre, (file not found), mais je pense que je n'aurais aps pris l'initiative d'y toucher, car cela semble concerner le boot.


Code: Tout sélectionner
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Spybot - Search & Destroy -  Scheduled Task.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
En ce qui concerne Skybot, bien que je pense que ces entrées se suppriment si l'on désinstalle le logiciel proprement.

Code: Tout sélectionner
O42 - Logiciel: Adobe AIR - (.Adobe Systems Incorporated.) [HKLM] -- Adobe AIR
O42 - Logiciel: Adobe AIR - (.Adobe Systems Incorporated.) [HKLM] -- {FE23D063-934D-4829-A0D8-00634CE79B4A}
Deux Adobe Air, il me semblerais qu'il y en ai un de trop, non ?


De même : Hotfix me semble apparaître un peu trop souvent :...
Code: Tout sélectionner
O42 - Logiciel: Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) - (.Microsoft Corporation.) [HKLM] -- {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}.KB953595
O42 - Logiciel: Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) - (.Microsoft Corporation.) [HKLM] -- {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}.KB958484
O42 - Logiciel: Hotfix for Microsoft .NET Framework 4 Client Profile (KB2461678) - (.Microsoft Corporation.) [HKLM] -- {3C3901C5-3455-3E0A-A214-0B093A5070A6}.KB2461678
O42 - Logiciel: Hotfix for Windows Media Format 11 SDK (KB929399) - (.Microsoft Corporation.) [HKLM] -- KB929399
O42 - Logiciel: Hotfix for Windows XP (KB915800-v4) - (.Microsoft Corporation.) [HKLM] -- KB915800-v4
O42 - Logiciel: Hotfix for Windows XP (KB954550-v5) - (.Microsoft Corporation.) [HKLM] -- KB954550-v5
O42 - Logiciel: Hotfix for Windows XP (KB976002-v5) - (.Microsoft Corporation.) [HKLM] -- KB976002-v5


Et toujours dans le même registre, deux logiciel d'installation Windows Live, par ailleurs déjà installé... :
Code: Tout sélectionner
O42 - Logiciel: Installation Windows Live - (.Microsoft Corporation.) [HKLM] -- WinLiveSuite_Wave3
O42 - Logiciel: Installation Windows Live - (.Microsoft Corporation.) [HKLM] -- {133742BA-6F46-4D3E-85AF-78631D9AD8B8}


Je désinstallerais bien également ça, qui à mes yeux est devenu totalement obsolète puisque j'utilise VLC
Code: Tout sélectionner
O42 - Logiciel: QuickTime - (.Apple Inc..) [HKLM] -- {216AB108-2AE1-4130-B3D5-20B2C4C80F8F}



Code: Tout sélectionner
O42 - Logiciel: Bonjour - (.Apple Inc..) [HKLM] -- {8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
O42 - Logiciel: Java(TM) 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}
O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {981029E0-7FC9-4CF3-AB39-6F133621921A}
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1


Voilà un gros morceau de fait !

Code: Tout sélectionner
[HKLM\Software\Opera Software]


Autre programme qui me semble pas très "normal" :
Code: Tout sélectionner
[HKLM\Software\ffffffff]


Concernant Jk Defrag, voilà la seul entrée que je trouve :
Code: Tout sélectionner
O43 - CFD: 09/01/2012 - 20:10:12 - [0,007] ----D- C:\Program Files\JkDefrag


Code: Tout sélectionner
O43 - CFD: 18/01/2012 - 14:29:48 - [0,017] ----D- C:\Program Files\Opera
O43 - CFD: 09/11/2010 - 18:53:32 - [65,478] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 18/01/2012 - 14:29:38 - [0,030] ----D- C:\Documents and Settings\Propriétaire\Application Data\Opera
O43 - CFD: 29/04/2011 - 16:37:44 - [0,000] ----D- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\LastPass
O43 - CFD: 18/01/2012 - 14:29:46 - [0,030] ----D- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Opera
O47 - AAKE:Key Export SP - "C:\Program Files\Opera\opera.exe" [Enabled] .(...) -- C:\Program Files\Opera\opera.exe (.not file.)


Ceci m'intrigue également :
Code: Tout sélectionner
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vgasave.sys . (...) -- C:\WINDOWS\system32\Drivers\vgasave.sys (.not file.)
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (...) -- (.not file.)


Code: Tout sélectionner
O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Opera\Opera.exe (.not file.)
O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Program Files\Opera\Opera.exe (.not file.)
O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Program Files\Opera\Opera.exe (.not file.)


Apparemment ceci n'est pas parti :
Code: Tout sélectionner
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]   =>Toolbar.Agent


Et voilà

Pfiou, c'est tout un job de lire 1446 lignes quand la moitier sont totalement incompréhensible ! :réfléchi2:

Je te remercie de m'avoir proposé cet exercice, au lieu de m’imposer un script !
Et te remercie d'autant plus d'avoir lu cet affreux post, avec très certainement plus de lignes qu'il n'en faut....

Merci :merci:
Chapi
Helper
Helper
 
Messages: 59
Enregistré le: Jeu 19 Jan 2012 21:50
Localisation: Lyon

Re : Rapport ZHPDiag.

Messagepar Michael Forest » Mer 25 Jan 2012 20:02

Bonsoir,
D'ailleurs ceci pouvant peut-être te renseigner sur ce programme en question, voici ce que le dernier rapport ZHP comporte, j'en profite pour préciser, que je n'y ai absolument pas touché

J'avais déjà vu, mais d'autres recherches m'ont amené à trouver qu'il s'agit d'un composant de MBAM, donc bien sûr, on n'y touche pas.

Ça faisait longtemps que je me demandais à quoi servait le programme Bonjour d'apple et que j'hésitais à le supprimer, j'ai vu que tu me l'a fait supprimer, à quoi servait-il ?

Plus ou moins assimilé à un logiciel espion.
3 liens pour plus d'infos
http://fr.wikipedia.org/wiki/Apple_Bonjour
http://forum.malekal.com/supprimer-appl ... t8317.html
http://www.labo-apple.org/fr/spip.php?article569

En ce qui concerne mozilla, ça fait beaucoup mais c'est des trucs qui me semblent inutiles donc....

là, c'est toi qui vois, mais ne fais jamais quelquechose que tu pourrais regretter plus tard

En ce qui concerne Internet explorer :

C'est la page d'accueil par défaut, aucun intérèt à changer ça

Et les entrées en 09 je ne sais pas quoi en penser... Parce que je ne les vois pas dans mon internet explorer...

ça non plus, ça ne mange pas de pain, ce sont des accès directs au services concernés

J'ai trouvé cette entrée plutôt bizarre, (file not found), mais je pense que je n'aurais aps pris l'initiative d'y toucher, car cela semble concerner le boot

Oui, tu as raison, ça n'aboutit à rien, mais ça ne gène rien

En ce qui concerne Spybot, bien que je pense que ces entrées se suppriment si l'on désinstalle le logiciel proprement.

Normalement oui, mais on refera un diag pour vérifier, après avoir passé le karcher.

Deux Adobe Air, il me semblerais qu'il y en ai un de trop, non ?

Regarde bien, le nom de fichier n'est pas le même

De même : Hotfix me semble apparaître un peu trop souvent :...

Normal :lol: ce sont tous les correctifs de Microsoft

Et toujours dans le même registre, deux logiciel d'installation Windows Live, par ailleurs déjà installé... :

Même chose que plus haut, 2 noms différents

O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {981029E0-7FC9-4CF3-AB39-6F133621921A}

Tu tiens aussi à virer ça? tu ne te sers plus de Skype?
Il est vrai que maintenant, avec les abonnements Internet+téléphone, l'intérèt est limité

[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] =>Toolbar.Agent

Je ne pense pas que ce soit néfaste, ça appartient à un service d'info windows
http://www.threatexpert.com/files/hsssrv.exe.html

Voilà, je n'ai pas re-mentionné ce qui doit légitimement figurer dans le script, il ne te reste plus qu'à me faire la liste finale, comme si tu écrivais le script toi-même
A+
Michael

PS:
Pfiou, c'est tout un job de lire 1446 lignes quand la moitier sont totalement incompréhensible

ça, c'est indispensable pour être désinfecteur :haha:
Peu à peu le nombre des "incompréhensibles" va diminuer, mais ça restera tout de même un peu fastidieux :ooops:
Malheureusement, on n'a pas le choix
La plupart des problèmes informatiques viennent de l'interface chaise-clavier
Avatar de l’utilisateur
Michael Forest
Administrateur du site
Administrateur du site
 
Messages: 2729
Enregistré le: Sam 24 Oct 2009 14:56
Localisation: Montargis

Suivante

Retourner vers Virus / Sécurité

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : MSN [Bot] et 16 invités