Malekal's forum

[tintin34]

Bonjour, je suis nouveau parmi vous

je viens ici sur les conseils d'un membre d'un autre forum où je suis et qui pense que ici des experts seront à même de m'aider

j'ai la suppicion d'avoir ete polué, entre autre par clickpotato que j'ai erradiqué, mais je vois des lignes bizarres
dans le rapport ZHPDiag

clés orphelines, toolbar, des nom que je connais pas non plus en processus ou en application

qui est en mesure si je lui fourni le rapport obtenu de l'interpreter?
j'ai collé le rapport dans zhpfix puis cliqué sur go mais une erreure de violation de partage apparait
et j'ai pas acces a ZHPHelper

par avance merci
pour ceux qui voudrons bien me repondre

[troubadour2404]

Bonjour, tintin34

Je suis moi aussi nouveau sur ce forum même s'il m'est arrivé de le parcourir de nombreuses fois auparavant à la recherche de telle ou telle information concernant la sécurisation de mon pc.

Si tu souhaites que ton rapport soit analysé, tu auras sans doute meilleur compte de l'uploader via le service disponible sur le site de malekal : http://pjjoint.malekal.com/

Tu obtiendras une adresse url que tu copieras dans un message pour que les personnes susceptibles de t'aider puissent trouver facilement le rapport en question.

Bon courage et aussi bonne chance!

Benoit.

[Malekal_morte]

Salut,

yep mettre le rapport sur pjjoint, parce que sans rapport, on peux pas faire grand chose.

[tintin34]

Ok pas de soucis je savais pas comment il etait souhaitable de transmettre le rapport;

voici le lien

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120629_x5v13p8k10q9

[Malekal_morte]

Rien de dramatique sur le rapport.

[tintin34]

merci

pourtant tous les 40 à 60 secondes une fenetre IE s'ouvre d'elle même avec de la pûb à l'interrieur
spybot S&D plante en cours d'analyse

et que penser entre autres des lignes que j'ai extrait du rapport ZHPDiag et qu'on peut lire ici:
http://pjjoint.malekal.com/files.php?id=20120629_r11w5f6f14l8
pourquoi enfin quand j'importe le rapport dans zhpfix et que je clique sur GO j'obtiens toujours une erreur de conflit de partage

[angelique]

On lit pas zhp ici, zhp ç'est zebulon !

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
  
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
  
• Sous Registre: standard cochez Tous.
  
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
  
  
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT
  

  
  
  
• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  
  
  
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
    
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
    
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : http://www.malekal.com/tutorial_OTL.php

[tintin34]

merci Angelique de ton aide

moi on m'avait envoyé ici pour zhp mais pas de soucis avec otl

voila les deux rapports générés

http://pjjoint.malekal.com/files.php?id=20120630_z8k14w10o12v9
http://pjjoint.malekal.com/files.php?id=20120630_k7c13l11h9e11

avec les options de configuration demandées

[angelique]

relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
===> desinstalle Spybot - Search & Destroy ça sert à rien ;)


et cette fois ci clic CORRECTION

:OTL
SRV - (KVPTRBB) -- C:\DOCUME~1\tintin34\LOCALS~1\Temp\KVPTRBB.exe File not found
DRV - (SANDRA) -- C:\Program Files\Sandra Lite 2010.SP2\WNt500x86\Sandra.sys File not found
DRV - (MEMSWEEP2) -- C:\WINDOWS\system32\1.tmp File not found
:files
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB34005$ /c
C:\WINDOWS\$NtUninstallKB34005$ /D
@Alternate Data Stream - 173 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0B4227B4
@Alternate Data Stream - 149 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 128 bytes -> C:\WINDOWS:nlsPreferences
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
:reg
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="100"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"link"=hex:00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc .


===> Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

[tintin34]

Bon alors j'ai suivi les instructions pour le correctif

mais au redemarrage j'ai eu une erreur dans la creation du rapport :(

[Malekal_morte]

Passe à TDSSKiller pour voir.

[tintin34]

bonjour

donc j'ai executé tdskiller
il a trouvé 13 fichiers suspects ont des noms que je connais
aucun avec chiffres
un qui s'appelle serial dont je ne sais pas à qu'oi il appartient
...

voici le rapport:
http://pjjoint.malekal.com/files.php?id=20120701_v5n12g7e13o9

pour celui d'OTL qui a planté au redemarrage il se trouve peut etre aussi dans un dossier?

[angelique]

Tu as toujours tes pubs ?

[tintin34]

oui ca n'arrete pas

en moins d'une heure ca depasse les 60 fenetres IE ouvertes et du coup l'ordi rame

(je vois aucun processus suspect dans le gestionnaire de tache )

et de temps en temps j'ai la fenetre active du premier plan qui reste active mais qui disparait derriere d'autres
ainsi qu'un kernelfaultcheck qui s'inscrit de temps en temps dans les clés de démarrage

au boot également le firewall kerio me demande mon autorisation de sortie sur le net par kernel tcpip a deux reprises (j'ai toujours refusé pour le moment, et j'avais vidé la totalité des regles définies avant de venir ici pour qu'il me redemande pour chaque sortie)

[angelique]

Mouai moi non plus


relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
O37 - HKU\S-1-5-21-1060284298-854245398-728546851-1004\...exe [@ = exefile] -- Reg Error: Key error. File not found
:commands
[resethosts]
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc .



verification MBR

Page explicative par Malekal : http://forum.malekal.com/mbr-malwares-c ... 29519.html

• telecharge dans c:\ pas ailleurs remover.exe

ton du dois avoir c:\remover.exe avant de continuer!!

• ouvre ton bloc-note [executer---> notepad]

» copie_colle dans la fenêtre du du bloc note le contenu du texte ci dessous :

Code: Tout sélectionner

@ECHO OFF
cd c:\
start remover.exe dump \\.\PhysicalDrive0 tralala
EXIT


» enregistre (fichier\enregistrer sous ..) ce texte sous le nom copymbr.bat à coté de remover.exe pas ailleurs!!!! , en piece jointe là si tu veux pas le faire :

http://www.sendspace.com/file/dneemd





• double clic sur copymbr.bat , un fichier tralala est crée à coté de remover.exe

• rend toi sur le site http://www.virustotal.com/ ou http://virusscan.jotti.org/ afin de scanner le fichier tralala , il faut cliquer reanalyze si l'archive a déja été au préalable analisée.

voir analyse VT : virustotal-comment-scanner-fichier-t9828.html

» une fois le scan terminé , poste l'adresse du lien dans ta prochaine réponse

------------


===> refait un nouveau rapport OTL