[Résolu] Analyse ZHPDiag

[Tommy41]

Bonjour à tous

Depuis deux jours je reçois des dizaines de mails envoyés par "MAILER DEAMON@orange.net" qui sont, en fait, des tentatives de spams adressés à des adresses mail par l'intermédiaire de mon adresse personnelle.

Ce n'est pas "dramatique" car ces pourriels sont filtrés par mon anti-spam et rejetés.

Pourtant, ils résultent évidemment d'une infection dont j'aimerais me débarrasser !!

Pour ce faire, j'ai lancé un ZHP Diag, puis un ADW Cleaner en surveillant ce que ce dernier a éradiqué.

Après plusieurs passages dont un en mode sans échec, Le dernier rapport ZHP Diag montre encore une ligne rouge impossible à supprimer (essai avec Spybot, malwarebytes, adwcleaner, rien à faire)

Je ne connais pas la manipulation à faire avec ZHP fix ...

Quelqu'un peut-il m'aider ?

Merci à ceux qui ont pris la peine de lire toute ma prose ... et merci d'avance à ceux qui voudront bien m'aider ...

 

Voici le dernier rapport ZHP Diag : © CJoint.com, 2012

[Apollo]

Bonjour,

 

1) Désinstaller Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

 

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

 

 

Tu peux alors désinstaller Spybot S&D par ajouter/supprimer des programmes, ou par Programmes et Fonctionnalités dans Vista/Seven.

 

Jesses Entraide

 

---------------------------------

2) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O23 - Service: Wsys Service (WsysSvc) . (...) - C:\ProgramData\eSafe\eGdpSvc.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [Desk 365 RunAsStdUser] (...) -- C:\Program Files\Desk 365\desk365.exe (.not file.) [0]

O87 - FAEL: "{6FCA9380-F81B-4D58-A71A-02331BD28BB4}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\RelevantKnowledge\rlvknlg.exe (.not file.)

O87 - FAEL: "{36F3A20A-15EC-481D-B488-8EE9AC961179}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\RelevantKnowledge\rlvknlg.exe (.not file.)

O87 - FAEL: "TCP Query User{EF9FC28B-1B8E-48F3-B989-131B5525FAA2}C:\program files\relevantknowledge\rlvknlg.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\relevantknowledge\rlvknlg.exe (.not file.)

O87 - FAEL: "UDP Query User{0AFCF41A-5610-4401-97A7-7C0AA750A5DD}C:\program files\relevantknowledge\rlvknlg.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\relevantknowledge\rlvknlg.exe (.not file.)

SS - | Auto 0 | (WsysSvc) . (...) - C:\ProgramData\eSafe\eGdpSvc.exe

[HKLM\SYSTEM\CurrentControlSet\Services\WsysSvc]

[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc]

[HKLM\SYSTEM\CurrentControlSet\Services\WsysSv]

C:\ProgramData\eSafe\eGdpSvc.exe

firewallraz

emptytemp

emptyflash

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------

3) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

 

--------------------------

4)Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Tommy41]

Merci de cette réponse précise et détaillée !

Je me lance dans sa réalisation step by step en espérant ne rien rater ...

 

(Je n'imaginais que Spybot puisse être aussi nocif )

 

Merci encore

 

Je reviens dès que c'est terminé ...

[Apollo]

Spybot S&D n'est pas nocif mais il nous gêne et il est largué.

 

@++

[Tommy41]

Voilà, tout semble s'être déroulé normalement et toutes les "cochonneries" semblent avoir disparues ...

Je te mets les différents rapports :

Malwarebytes : © CJoint.com, 2012 (4 heures 10 minutes 50 secondes, à cause des DD externes sans doute, pas mal ...)Rien à signaler.

ZHP Fix : http://cjoint.com/?3GAqMyCmde6 (erreur de ma part : j'ai lancé 2 fois ZHP fix avec tes indications ! Ce qui explique que la seconde fois, il ne trouve plus rien ! Pas malin de ma part, désolé...

SFTGC : http://cjoint.com/?3GAqN27zWbf

 

Peut-être me confirmeras-tu que tout est nickel. En tout cas, merci beaucoup pour ta disponibilité !.

Modifié le 26 juillet 2013 par Tommy41

[Apollo]

Sécurisation:

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

-------------------------------

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'autodétruira ensuite.

 

---------------------------

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

@++

[Tommy41]

Tout est fait, merci encore !