[Résolu] Analyse de rapport ZHP et conseils

[Apollo]

1) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

http://theknitter-apollo.xooit.com/p22075.htm

 

Si tu as déjà cet outil, inutile de le re-télécharger.

 

Ferme tes applications, navigateurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFTGC.txt)

 

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

---------------------

2) Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.

 

http://fr.malwarebytes.org/mwb-download/

 

Faites un double clic sur mbam-setup-2.0.2..exe et suivez les invites pour installer le programme.

 

Lancer Malwarebytes Anti-Malware

 

Un essai gratuit de 14 jours des fonctions de la version Premium est pré-sélectionné. Si vous le désirez, vous pouvez dé-cocher cette case, et cela ne diminuera pas les capacités d'analyse et de suppression du programme.

 

 

Examen "Menaces" + Recherche de Rootkits:

 

Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits.

 

Cliquez sur l'onglet Examen, puis cliquez sur Examiner maintenant >>. Si une mise à jour est disponible, cliquez sur le bouton Mettre à jour maintenant.

 

Un Examen "Menaces" va démarrer.

 

Avec certaines infections, vous pouvez voir l'affichage de ce message:

 

'Malwarebytes n'a pas pu charger le pilote Anti-Rootkit DDA'

 

 

Cliquez sur 'Oui' sur ce message, pour permettre le chargement du pilote après un redémarrage.

 

Laissez l'ordinateur redémarrer. Continuez avec le reste de ces instructions.

 

Quand l'examen est terminé, click Appliquer les actions.

 

Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.

 

Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

 

Langage:

 

 

Cocher recherche rootkits:

 

 

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)

Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

 

Cliquez sur l'onglet Historique > Journaux de l'application.

 

Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.

 

Cliquez sur Exporter.

 

Cliquez sur Fichier texte (*.txt)

 

Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.

 

Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

 

Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

 

Cliquez sur OK

 

Attachez ce fichier dans votre prochaine réponse.

 

 

@++

[teoteou]

Voilà le rapport SFTGC : http://cjoint.com/?3Jxkj3OZXcT

 

Je lance Malwarebyte (je le lance habituellement deux fois par mois).

 

Théo

[teoteou]

Voilà le rapport Malwarebyte. Il n'a rien identifié de malveillant, peut etre car je l'ai lancé il y a quelques jours seulement, suite à la réception de deux mails infectés.

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 23/10/2014
Heure de l'examen: 10:15:40
Fichier journal: Rapport Malwarebyte.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.10.23.02
Base de données Rootkits: v2014.10.22.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Théodore

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 411021
Temps écoulé: 56 min, 16 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

 

 

 

[Apollo]

Bonjour,

 

C'est une bonne initiative d'utiliser MBAM 2 fois par mois.

 

Tu devrais cependant nettoyer tes temp plus souvent avec SFTGC

 

26744 éléments supprimés => 1.59 Go libérés. (53 mn 30 s)

 

Comment se comporte le pc?

 

 

Mises à jour:

 

Flash Player: http://outils-pierre13.forumactif.org/t273-flashplayerupdate-outil-de-mise-a-jour

 

---------------

 

Adobe Reader (si tu l'as): http://www.vista-xp.fr/forum/topic13669.html#p114767 ou ici pour une mise à jour + sécurisée:

http://outils-pierre13.forumactif.org/t249-adobereaderupdate-outil-de-mise-a-jour-adobe-reader

 

-----------------------------------

 

Java: http://outils-pierre13.forumactif.org/t323-javaupdate#1344

 

------------------

 

Mettre Windows à jour via Windows Update si ce n'est déjà fait de même que les navigateurs.

 

---------------------

Refais ensuite un scan ZHPDiag stp.

 

@++

[teoteou]

Bonjour,

 

Le PC va bien, et parait plus réactif.

 

Concernant les mises à jour :

- Flash player = màj faite le 21/10/14

- Adobe Reader = màj faite le 06/10/14

--> est ce nécessaire de les refaire?

 

J'ai lu ton protocole pour sa màj et suis surpris : ce n'est pas dangereux de désactiver son antivirus en restant connecté à internet ?

J'ai téléchargé tes deux applications et effectivement, Avira les perçoit comme des virus ; il faudrait que je le désactive.

 

Je m'occupe de Java.

Merci a+

[Apollo]

Flash player = màj faite le 21/10/14

 

- Adobe Reader = màj faite le 06/10/14

 

--> est ce nécessaire de les refaire?

Non, ma procédure est standard, cela me permet de ne pas devoir retaper tout le temps les mêmes choses; j'aurais beau faire

 

Le court laps de temps nécessaire de désactivation de l'antivirus ne met pas ton pc en péril.

C'est juste pour éviter les faux-positifs. (fausses alarmes).

 

Il est évident qu'il faut réactiver sa protection sitôt les mises à jour effectuées.

 

@++

[teoteou]

Ok je comprends !

 

Pour Java c'est fait.

Merci beaucoup c'est vraiment une crasse les demandes de mise à jour de java, ton service est bien utile...

 

Windows et Firefox à jour, je relance un ZHP Diag.

 

Merci !

[teoteou]

Voilà le rapport ZHP Diag : http://cjoint.com/?3Jxn2rgyNSy

 

Merci d'avance !

[Apollo]

ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified

O69 - SBI: prefs.js [Théodore - urmw3ejo.default] user_pref("extensions.trusted-ads.serp_mywebsearch", "\"%2F*!%20serp-mywebsearch%20-%20v0.1.10%20-%202014-04-07%2018%3A21%3A58%20*[...]

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. http://general-changelog-team.fr/fr/outils/26-delfix

Lance-le et coche "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'autodétruira ensuite.

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

Utilise pour ça, l'éditeur complet

 

 

@++

[teoteou]

Hello,

 

Voilà le ZHPFixreport :

 

Rapport de ZHPFix 2014.9.16.7 par Nicolas Coolman, Update du 16/09/2014
Fichier d'export Registre :
Run by Théodore at 23/10/2014 16:10:08
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 07s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope

========== Eléments de donnée du Registre ==========
REMPLACÉ Value Start_ShowHelp : Good (1) - Bad (0)

========== Préférences navigateur ==========
SUPPRIMÉ Mozilla Pref: user_pref("extensions.trusted-ads.serp_mywebsearch", "\"%2F*!%20serp-mywebsearch%20-%20v0.1.10%20-%202014-04-07%2018%3A21%3A58%20*[...]

========== Dossiers ==========
SUPPRIMÉ: C:\Users\Théodore\AppData\Local\{C27EB416-93B8-4632-AEC0-95D38571C9A2}
SUPPRIMÉS Temporaires Windows (13)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (24) (33 625 718 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
1 : Clés du Registre
14 : Valeurs du Registre
1 : Eléments de donnée du Registre
3 : Dossiers
2 : Fichiers
1 : Préférences navigateur


End of clean in 00mn 50s

========== Chemin de fichier rapport ==========
C:\Users\Théodore\AppData\Roaming\ZHP\ZHPFix[R1].txt - 23/10/2014 16:10:15 [1973]