Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Aide pour un script

Matt_44

Par Matt_44
dans Analyses et éradication malwares

 Partager

Messages recommandés

Matt_44 Power Member

Matt_44

Posté(e)
Posté(e)

Bonjour,

 

Voilà je m'intéresse beaucoup à la sécurité informatique et pour me former... quoi de mieux que de récupérer les pc des amis pour désinfection (il y a du boulot). Donc pour celui ci, même procedure que d'habitude ZHPcleaner, ADWcleaner, JRT, malware byte puis ZHP diag (rapport ci joins). Là j'ai essayé de rédiger un script et j'aimerai que vous le verifiez car il s'agit d'apprendre, pas de faire n'importe quoi.

 

Le rapport ZHP

http://cjoint.com/?3KllfoQpnXR

 

Mon script (il y a probablement certaine chose que je n'ai pas osé supprimer) :

http://cjoint.com/?3KllgMmd7Xs

 

Merci de votre aide.

pear Devil Member !

pear

Posté(e)
Posté(e)

 

je m'intéresse beaucoup à la sécurité informatique et pour me former... quoi de mieux que de récupérer les pc des amis pour désinfection

Il y a mieux: se former, sans risquer d'endommager les pc des amis

 

Pour devenir Helper, il y a une Formation avec des exercices, avec une progression encadrée par un helper:

 

Pour s' inscrire : Helper Formation (HF) >> https://helper-formation.fr/

 

Formation durant en moyenne 9 à 12 mois ,suivant le temps libre et disponibilité !!

 

ou

 

Sécurity_ X > http://www.infos-du-net.com/forum/28...mation-helpers

et

* Sécurité Academy (SA) >> https://formation.securite-academie.fr/index.php

Matt_44 Power Member

Matt_44

Posté(e)
  • Auteur
Posté(e)

Super, merci ! Les inscriptions semblent fermées pour le moment mais je garde un oeil dessus.

Et concernant mon script ? Si il n'est pas bon, est il possible d'en avoir un autre avec quelques explications en attendant la formation officielle ?

 

merci

Matt_44 Power Member

Matt_44

Posté(e)
  • Auteur
Posté(e)

Oui j'ai du mal a comprendre quand même, quand j'ouvre ZHPhelp, le sommaire a gauche est lisible mais si je clique sur quelques choses je ne devrais pas avoir davantage d'explication dans la fenêtre de droite ?

pear Devil Member !

pear

Posté(e)
Posté(e)

Je ne comprends pas où est votre problème.

 

Voici ce que vous devez obtenir:

 

Zeb Help Process 2 by Nicolas Coolman - Rapport de synthèse du 11/11/2014 14:57:40

INFORMATION


INFECTION IDENTIFIEE
Liste disponible seulement en version Helper


PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
O20 - AppInit_DLLs: . (...) - C:\WINDOWS\system32\config\systemprofile\AppData\Local\Smartbar\Application\Resources\crdlil64.dll (.not file.)
[HKLM\Software\Wow6432Node\29796a4b-b903-40f9-98b4-953aeeaa7a54]
[HKLM\Software\Wow6432Node\348f3a27-b923-4608-93f5-f8efdc1cbec4]
[HKLM\Software\Wow6432Node\38fb24f9-988e-40b1-af00-0f84e2f5bda2]
[HKLM\Software\Wow6432Node\85909898-e705-4489-9133-934f4713eede]
[HKLM\Software\Wow6432Node\RichMediaViewV1]
[HKLM\Software\Wow6432Node\SPPDCOM]
O43 - CFD: 18/10/2014 - 16:11:30 - [] ----D C:\Program Files (x86)\Software
O43 - CFD: 18/10/2014 - 08:17:56 - [] ----D C:\Users\ANNE MATHIEU\AppData\Local\com
O44 - LFC:[MD5.613F9759E21E23656888D4A6D1A0CED6] - 27/10/2014 - 18:09:32 ---A- . (...) -- C:\extensions.ini [97]
[MD5.B67811645C5A3B8E4E4B1A1DB1EE271C] [WIS][19/10/2014] (.Boxore OU. - Software Update Helper.) -- C:\Windows\Installer\2e8e2.msi [45056]
C:\Program Files (x86)\Software
[HKLM\Software\Wow6432Node\29796a4b-b903-40f9-98b4-953aeeaa7a54]
[HKLM\Software\Wow6432Node\348f3a27-b923-4608-93f5-f8efdc1cbec4]
[HKLM\Software\Wow6432Node\38fb24f9-988e-40b1-af00-0f84e2f5bda2]
[HKLM\Software\Wow6432Node\85909898-e705-4489-9133-934f4713eede]
[HKLM\Software\Wow6432Node\RichMediaViewV1]
[HKLM\Software\Wow6432Node\SPPDCOM]
C:\Windows\Installer\2e8e2.msi

SCRIPT DE SUPPRESSION DE FICHIER
c:\extensions.ini

PROCESSUS SUPERFLU DU SYSTEME
O4 - HKLM\..\Wow6432Node\Run: [LManager] Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [ACP init] (...) -- C:\Program Files (x86)\Advanced Cleaner Pro\RegistryCleaner.exe (.not file.) [0]
O42 - Logiciel: Governor of Poker 2 Premium Edition - (.WildTangent.) [HKLM][64Bits] -- WTA-1b9fc0ad-38e1-4900-868e-89d5bd5002ad
O43 - CFD: 20/03/2014 - 13:17:22 - [] ----D C:\Program Files (x86)\BoontyGames
O44 - LFC:[MD5.633B81D67680B1EE13388FC89DE831B0] - 05/11/2014 - 21:06:39 ---A- . (...) -- C:\install.log [2104]
O44 - LFC:[MD5.34C8DB9196AAB56DF847CF4B91CE74E8] - 10/11/2014 - 23:55:14 ---A- . (...) -- C:\Windows\pvsw.log [1130]
O68 - StartMenuInternet: <speed browser> <speed browser>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files (x86)\speed browser\Application\browser.exe (.not file.)

PROCESSUS D'ACTION INCONNUE
[HKCU\Software\AppDataLow\FDA]
[HKCU\Software\Reg]
[HKLM\Software\Wow6432Node\Client]
[HKLM\Software\Wow6432Node\Reg]
O43 - CFD: 06/09/2013 - 14:41:08 - [] ----D C:\Users\ANNE MATHIEU\AppData\Roaming\lm

PROTECTION DU SYSTEME (Antivirus, FireWall, Anti-Malwares)
Avast Free Antivirus v10.0.2208
Malwarebytes Anti-Malware version 2.0.3.1025
[MD5.07AF92553C94A548C38BE54B6A668318] - (.AVAST Software - avast! Antivirus.) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe [5225064] [PID.2548]
O4 - HKLM\..\Wow6432Node\Run: [AvastUI.exe] . (.AVAST Software - avast! Antivirus.) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe
O23 - Service: avast! Antivirus (avast! Antivirus) . (.AVAST Software - avast! Service.) - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O41 - Driver: (aswRdr) . (.AVAST Software - avast! WFP Redirect Driver.) - C:\Windows\system32\drivers\aswRdr2.sys
Avast Free Antivirus - (.AVAST Software.) [HKLM][64Bits] -- Avast
Malwarebytes Anti-Malware version 2.0.3.1025 - (.Malwarebytes Corporation.) [HKLM][64Bits] -- Malwarebytes Anti-Malware_is1
AVAST Software
[HKCU\Software\MCAFEE]
[HKLM\Software\Wow6432Node\Malwarebytes' Anti-Malware]
O43 - CFD: 10/11/2014 - 11:45:43 - [] ----D C:\Program Files (x86)\Malwarebytes Anti-Malware
Microsoft
O43 - CFD: 16/07/2014 - 12:44:45 - [] ----D C:\ProgramData\McAfee
O44 - LFC:[MD5.5C3669B71657F22E67A1D4BD49D2CBE7] - 10/11/2014 - 11:45:36 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\mbam.sys [25816]
O44 - LFC:[MD5.4750016EF9CC1DEC6DA3FE5AF9A7F095] - 10/11/2014 - 20:52:06 ---A- . (.AVAST Software - avast! WFP Redirect Driver.) -- C:\Windows\System32\Drivers\aswRdr2.sys [93568]
O44 - LFC:[MD5.26C43960C99EE861A5D0EDC4DCF3B1C3] - 10/11/2014 - 21:58:37 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\MBAMSwissArmy.sys [129752]
O58 - SDL:10/11/2014 - 20:52:06 ---A- . (.AVAST Software - avast! WFP Redirect Driver.) -- C:\Windows\System32\Drivers\aswRdr2.sys [93568]
SR - | Auto 10/11/2014 50344 | (avast! Antivirus) . (.AVAST Software.) - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
Microsoft%Windows Defender

RAPPORT SIMPLIFIE
Windows Defender W8 (Deactivate)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
O4 - HKLM\..\Wow6432Node\Run: [LManager] Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [start_BusinessEverywhere_{e34778cb-4457-4646-b83d-76c8241d15b9}] . (.Pas de propriétaire - Business Everywhere.) -- C:\Program Files (x86)\OrangeBusinessServices\Business Everywhere\{e34778cb-4457-4646-b83d-76c8241d15b9}\BusinessEverywhere.exe
O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no
O23 - Service: DeclarationsSociales (DeclarationsSociales) . (.Sage France - DeclarationsSociales.Service.) - C:\Program Files (x86)\SagePaie\Declarations sociales\Serveur\DeclarationsSociales.Service.exe
[MD5.00000000000000000000000000000000] [APT] [ACP init] (...) -- C:\Program Files (x86)\Advanced Cleaner Pro\RegistryCleaner.exe (.not file.) [0]
O39 - APT: - (..) -- C:\Windows\Tasks\FSFTGV.job [1386]
O39 - APT: - (..) -- C:\Windows\Tasks\ZIZV.job [1382]
O42 - Logiciel: Déclarations Sociales - (.Sage.) [HKLM][64Bits] -- {F2A02A3C-ECD7-4A1C-9D70-146396CCE5D5}
O42 - Logiciel: Farm to Fork Collector's Edition - (.WildTangent.) [HKLM][64Bits] -- WTA-481cdb11-33ae-48d8-97c5-b5f6123c4002
O42 - Logiciel: Governor of Poker 2 Premium Edition - (.WildTangent.) [HKLM][64Bits] -- WTA-1b9fc0ad-38e1-4900-868e-89d5bd5002ad
O42 - Logiciel: Kingdom Tales 2 - (.WildTangent.) [HKLM][64Bits] -- WTA-73311e13-3820-4fae-9cda-c99a46f1bb8a
O42 - Logiciel: Legend of Egypt: Jewels of the Gods - (.WildTangent.) [HKLM][64Bits] -- WTA-e223959a-ca74-43af-a6bd-a3360ec0f2ce
O42 - Logiciel: Magic Bookshop Mahjong - (.WildTangent.) [HKLM][64Bits] -- WTA-313caa41-8434-4aff-91c8-01a72e7e15fb
O42 - Logiciel: Moai: Build Your Dream - (.WildTangent.) [HKLM][64Bits] -- WTA-58bb274b-3dba-4299-bab8-8cfcf2087888
O42 - Logiciel: Rise of Dynasty - (.WildTangent.) [HKLM][64Bits] -- WTA-71f2e909-caf7-4baf-bcb9-3134a23af6a7
O42 - Logiciel: Rush Hour! Gas Station - (.WildTangent.) [HKLM][64Bits] -- WTA-754b6b7c-1df4-4bc5-bcb3-39e10e2b7a94
O42 - Logiciel: Types CLR du système SQL Server - (.Microsoft Corporation.) [HKLM][64Bits] -- {9929A5DB-25BB-4E94-A73D-6E5014D1009E}
[HKCU\Software\AppDataLow\FDA]
[HKCU\Software\AppDataLow\KrabWeb]
[HKCU\Software\HD_Quality_FR]
[HKCU\Software\JetFun]
[HKCU\Software\Reg]
[HKCU\Software\test]
[HKLM\Software\Wow6432Node\Client]
[HKLM\Software\Wow6432Node\GoHD-nv]
[HKLM\Software\Wow6432Node\Reg]
[HKLM\Software\Wow6432Node\Software]
O43 - CFD: 10/11/2014 - 22:52:49 - [] ----D C:\Program Files (x86)\23BD2FDA-B46A-4A13-853B-2785D8E0BA56
O43 - CFD: 20/03/2014 - 13:17:22 - [] ----D C:\Program Files (x86)\BoontyGames
O43 - CFD: 18/10/2014 - 16:11:30 - [] ----D C:\Program Files (x86)\Software
O43 - CFD: 10/11/2014 - 11:30:46 - [] ----D C:\ProgramData\DGRbMZ
O43 - CFD: 10/11/2014 - 22:52:49 - [] ----D C:\ProgramData\e435d908-8e15-4e0c-ae35-3dc1cb10ee1e
O43 - CFD: 12/12/2013 - 18:13:16 - [] --H-D C:\ProgramData\{56B2E1B1-9D92-4E7E-9EF7-FD47CF6C727E}
O43 - CFD: 16/10/2013 - 10:03:22 - [] --H-D C:\ProgramData\{7AE769A4-8067-4E64-AB5B-93DBD16F13A5}
O43 - CFD: 13/03/2014 - 21:21:54 - [] --H-D C:\ProgramData\{9E7C816E-9044-4091-980C-B27AA63ED5FB}
O43 - CFD: 13/03/2014 - 21:35:49 - [] --H-D C:\ProgramData\{CE5535E4-4C11-4098-B944-7FB0C330BAF5}
O43 - CFD: 07/10/2014 - 08:58:23 - [] --H-D C:\ProgramData\{F28EEEC7-C26D-43BF-9E2F-18250E087FD3}
O43 - CFD: 04/10/2014 - 17:52:02 - [] ----D C:\Users\ANNE MATHIEU\AppData\Roaming\JetFun
O43 - CFD: 31/07/2014 - 22:17:39 - [] ----D C:\Users\ANNE MATHIEU\AppData\Roaming\Jewels Of The Gods
O43 - CFD: 06/09/2013 - 14:41:08 - [] ----D C:\Users\ANNE MATHIEU\AppData\Roaming\lm
O43 - CFD: 10/11/2014 - 11:28:07 - [] ----D C:\Users\ANNE MATHIEU\AppData\Local\14570
O43 - CFD: 18/10/2014 - 08:17:56 - [] ----D C:\Users\ANNE MATHIEU\AppData\Local\com
O43 - CFD: 07/10/2014 - 08:36:44 - [] ----D C:\Users\ANNE MATHIEU\AppData\Local\III
O44 - LFC:[MD5.633B81D67680B1EE13388FC89DE831B0] - 05/11/2014 - 21:06:39 ---A- . (...) -- C:\install.log [2104]
O44 - LFC:[MD5.CA46278EB51488D3C7011FA09A901F36] - 08/11/2014 - 17:05:00 ---A- . (...) -- C:\awhA69C.tmp [687]
O44 - LFC:[MD5.CA46278EB51488D3C7011FA09A901F36] - 10/11/2014 - 11:17:52 ---A- . (...) -- C:\awhED41.tmp [687]
O44 - LFC:[MD5.34C8DB9196AAB56DF847CF4B91CE74E8] - 10/11/2014 - 23:55:14 ---A- . (...) -- C:\Windows\pvsw.log [1130]
O44 - LFC:[MD5.613F9759E21E23656888D4A6D1A0CED6] - 27/10/2014 - 18:09:32 ---A- . (...) -- C:\extensions.ini [97]
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1
O68 - StartMenuInternet: <speed browser> <speed browser>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files (x86)\speed browser\Application\browser.exe (.not file.)
SR - | Auto 10/04/2012 7680 | (DeclarationsSociales) . (.Sage France.) - C:\Program Files (x86)\SagePaie\Declarations sociales\Serveur\DeclarationsSociales.Service.exe

Matt_44 Power Member

Matt_44

Posté(e)
  • Auteur
Posté(e)

On ne doit pas parler du même logiciel...

J'arrive a obtenir votre rapport avec ce logiciel et non celui que vous m'avez fait télécharger en premier

http://www.nicolascoolman.fr/download/zhp/

 

A a du mal ce comprendre...bref a partir de celà, comment puis je rédiger mon script ? Si je comprends bien, il faut copié dans le script ce qu'il y a dans PROCESSUS D'ACTION INCONNUE, PROCESSUS SUPERFLU DU SYSTEME et PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...) ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...