Forums Zebulon.fr: [Résolu] Rapport analyse ZHPDiag - Forums Zebulon.fr

Bonjour,
J'ai des Soucis avec mon pc: Les noms des répertoires affichés disparaissent, j'ai aussi des écrans bleu de temps en temps, j'ai aussi des interruptions en cascade d'erreur (notamment quand je veux faire du nettoyage avec des logiciels) où je dois tout fermer et relancer l'ordi ...
J'ai donc décidé d'utilisé l'outil "ZHPDiag" de Nicolas, mais il bloque à:
- search Browser Infection (69), car blocage de l'analyse à : Windows/system32/ie4uinit.exe.
- Recherche de driver rookit (057), il bloque à : sav des processus en cours...33
J'ai donc décoché ces 2 numéros (69 et 57) et je mets l'analyse ci-dessous.
Avec mes remerciements pour votre aide
Cordialement

Rapport ZhpDiag.

-édit- Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.
Il est donc préférable de faire héberger de tels rapports, par exemple chez C'est ce que j'ai fait avec le tien

Ce message a été modifié par papigelou - 24 février 2012 - 06:19 .
Raison de l'édition : Rapport hébergé ;o)

Bonjour papigelou,

Merci de prendre connaissance de ces recommandations et appliquer ce qu'il y a faire avant de commencer un premier nettoyage.

---

Très Important!:

>>> A faire immédiatement:
- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.
Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.
- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.
- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.
>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.
>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains outils utilisés peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller" (PAS de raccourcis).
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.

>>> Comment répondre:
- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).
- Héberger les rapports sur cjoint.com. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.
Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.
- Merci de coller les rapports (quand c'est demandé) directement sans rien y ajouter ni balises de citation, ni de code ni de formatage de texte (gras, italique) c'est déjà assez difficile avec ce que les pirates essaient de camoufler.
>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.
>>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!

---

>>> C'est parti!

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

Citation

Lancer ZHPFix (raccourci sur le Bureau ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].
Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].
Fermer toutes les applications et autres fenêtres en cours (y compris Internet) et désactiver les programmes de protection (antivirus, pare-feu et antispyware).
Enfin, cliquer sur le bouton [Nettoyer] et laisser faire.
Redémarrer le PC pour finir le nettoyage si demandé, héberger le rapport "ZHPFixReport.txt" et poster son adresse. Ce rapport est en outre sauvegardé sur le Bureau.


>>> ComboFix/Analyse: Télécharger, sur le Bureau ComboFix© (par sUBs) depuis ici ou ici.
Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer sur "ComboFix.exe". Suivre les instructions en acceptant l'installation de la Console de Récupération (proposée pour Windows XP si pas installée).
NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer). Ne pas tenir compte du message disant que ça peut durer 10mn.
Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/coller son contenu dans la prochaine réponse.


>>> Que reste-t-il comme symptômes à vérifier?

Bonjour Dylav, et mille excuses pour le copier/coller.
Je t'écris à partir du portable car l'analyse avec ComboFix semble bloquée, cela fait + de 30mn.
Il ne se passe rien sur l'écran bleu de ComboFix ou après les 3 premières lignes, le tiret flottant s'est éteint, et m'a souris ne répond plus, tout est figé à l'écran!!!
J'ai fait ZHPFix et je l'ai sav sur mon disque dur externe; Je l'ai posté ici : Lien CJoint.com BBms4FWwwUf
Si je n'ai pas de réponse d'ici 30 à 45mn, j'éteindrai le pc fixe pour éventuellement relancer ComboFix.
@+ et merci de ton aide

PS : Il faut que je te dise aussi qu'il y a quelques jours, j'avais fait des mises à jour de pilotes et de logiciels, et qu'ensuite, à l'allumage, il apparaissait la page de réglage du bios. J'ai donc réinstallé une sav de mon DD, et cela ne change rien, la page est toujours là à l'allumage.

Bonjour,

Dis donc papigelou, tu as vu qui t'a demandé d'utiliser ComboFix (CF)?
--

Ne relance plus CF. Dis-moi seulement si tu es sûr que c'est une fenêtre du Bios qui se lance au démarrage de Windows et que demande-t-elle (l'idéal est de faire une capture d'écran si possible).
As-tu d'autres soucis en plus de ça?

Bonjour lance_yen, (excuse-moi pour mon erreur de personne!)

C'est les pages Award Bios Setup Utility qui apparaissent à l'allumage.
Sur le lien ci-après, tu descends jusqu'à : Exemple d'interface bios, et il y a les modèles correspondant à ce qui apparaît sur mon écran.
configuration du bios
Je tape donc "F10" pour lancer mon pc.
L'horloge est remise à chaque fois au 1er janvier 2002, et il faut que je la règle.

J'ai fait un fichier jpg d'une image prise sur le site, mais je ne sais pas comment la joindre.
Quand je fais insérer une image, il m'est demandé une url?

Re,

Aucun souci pour l'éventuelle erreur!
Pour ton image tu peux l'héberger sur Cjoint.com et poster son adresse mais ça peut être inutile maintenant que j'ai compris ton problème.
Dans la page de ton Bios tu cherches quelque chose qui ressemble à "Setup defaults" et tu appuies sur la touche correspondante du clavier, confirmer et suivre jusqu'au redémarrage. Voir ce que ça donne.

Si pas de changement, voir côté de la pile et la changer si nécessaire.

J'ai changé la pile (il est vrai qu'elle avait 8 ans), et l'allumage s'est bien passée ce matin avec l'horloge à l'heure.
Je pense donc que pour cette page du Award Bios, c'est classé.

Reste ces problèmes (messages d'erreur qui apparaissent en cascade, etc...), comme indiqué dans mon 1er message, ainsi que les blocages dans les analyses faites soit avec ZHPDiag ou plus récemment ComboFix.

Une ou des cochonneries doivent être planquées dans mon pc?

Bonjour,

Plus de détails sur:
- Les noms des répertoires affichés disparaissent: A quel endroit et exemples? Répertoires ou leurs raccourcis?
- Des "interruptions en cascade d'erreur": textes des messages d'erreurs ou copies d'écrans?

>>> Utiliser RogueKiller: Télécharger sur le Bureau RogueKiller (par Tigzy) depuis ici.
Fermer tous les programmes et fenêtres en cours et double-cliquer sur "RogueKiller.exe".
Saisir 1 et appuyer sur "Entrée". Laisser faire!
En cas de blocage recommencer autant de fois que nécessaire. S'il ne fonctionne vraiment pas, le renommer en "winlogon.exe".
Un rapport "RKreport[x].txt" sera créé et sauvegardé au même emplacement que RogueKiller.exe, Copier/colle son contenu dans la prochaine réponse.

Re,

Modification pour RK:

>>> Utiliser RogueKiller: Télécharger sur le Bureau RogueKiller (par Tigzy) depuis ici.
Fermer tous les programmes et fenêtres en cours et double-cliquer sur "RogueKiller.exe".
Cliquer sur le bouton "Scan" et laisser faire!
En cas de blocage recommencer autant de fois que nécessaire. S'il ne fonctionne vraiment pas, le renommer en "winlogon.exe".
Un rapport "RKreport[x].txt" sera créé et sauvegardé au même emplacement que RogueKiller.exe, Copier/colle son contenu dans la prochaine réponse.

Ce message a été modifié par lance_yien - 14 février 2012 - 02:25 .

- Les noms des répertoires affichés disparaissent: Ce sont toutes les écritures qui s'enlèvent, que ce soit sous les icônes du bureau, dans la barre de notifications actives et dans les répertoires de l'explorateur affiché.

- Des "interruptions en cascade d'erreur": Le problème, c'est que les écritures des messages d'erreur qui apparaissent en cascade sont absentes aussi, et je ne peux faire de copie d'écran car car le pc finit par bloquer et je dois l'éteindre.

Voici le rapport de RogueKiller ci-dessous;

RogueKiller V7.0.4 [08/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/46)
Blog: tigzy-RK

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Utilisateur [Droits d'admin]
Mode: Recherche -- Date : 14/02/2012 14:15:42

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[PROXY FF] dbocgppo.default\ 127.0.0.1:57192 -> FOUND
[PROXY FF] lk24ax86.default\ 127.0.0.1:57192 -> FOUND
[PROXY FF] r50bmy0j.default\ 127.0.0.1:57192 -> FOUND
[PROXY FF] yo15ksoq.default\ 127.0.0.1:57192 -> FOUND
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.10sek.com
127.0.0.1 10sek.com
127.0.0.1 www.123topsearch.com
127.0.0.1 123topsearch.com
127.0.0.1 www.132.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6Y120P0 +++++
--- User ---
[MBR] 36fe03c75381103efcf85888c048dd89
[BSP] fb90b63f0e7c9d6b19ff4144fee42f26 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 117246 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Toshiba StorE HDD USB Device +++++
--- User ---
[MBR] 016caf51032b0d87f0eb64b3c0b3f3e6
[BSP] ef46558d40643ff1d15ee40c8106f190 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715404 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt