[résolu - 26/08/10] ZHPDiag

[buckhulk]

bonjour,

voilà VIRUS/C/C/ sur le forum formation m'a dit de venir ici pour que l'on regarde mon ZHPDiag que j'ai fait !!

Il crois que cela à a voir avec le fait que je n'ai plus accès à toutes les fonctions de mon compte Tinypic !

le soucis c'est que j'ai les mêmes erreurs avec mon pc Netbook en wifi !!!

je sais que je suis souvent infecté , car je télécharge souvent des films

D'abord que je télécharge beaucoup !! tu sais ici on a que 3 chaines de télé à moins d'avoir le satellite ou le cable donc de payer !!!
Ensuite que je n'ai jamais eu de gros problèmes de sécurité !
J'ai des problèmes avec Tinypic depuis que j'ai changé de XP ( en effet avant j'avais celui du magasin et je ne pouvais pas activer les mises à jour , pour les avoir il fallait que j'emmène l'ordi au magasin ) donc j'ai acheté ,ma liscence !
J'ai les mêmes problèmes avec Tinypic sur mon ordi portable !
Je suis allé essayer à l'AFPA ici à la réunion , cela fonctionnait très très bien !!
Je me demande si cela ne vient pas de mon FAI car j'ai aussi des problèmes de bande passante avec eux et je n'ai pas la même vitesse sur mon ordi portable , mais peut-être est-ce normal ???
J'ai comme antivirus Avira premium acheté , online armor et SuperAntispyware acheté aussi et en résident!
je passe Mbam une fois par semaine, je passe Ccleaner tous les soirs, et ATFcleaner de temps en temps !
Divers logiciels de désinfection aussi de termps en temps !!!

ZHPFix parfois car je sais les liens que je veux garder mais c'est très long et fastidieux !!

le soucis c'est que cela ne se produit que sur Tinypic !!!!! (impossible de rajouter des images et de grandes difficultés pour atteindre celle que j'ai déjà mises !

cela étant si quelqu'un veut bien regarder ce que je n'ai pas vu , ce serait sympa :

le log est chez ci-joint : http://www.cijoint.fr/cjlink.php?file=cj201008/cijcx8AuKV.txt

[juju666]

Salut

J'ai pas été plus loin que les toolbar et j'ai trouvé une infection Conduit

Je suppose que tu sais qu'il n'est pas nécessaire d'ouvrir d'autres sujets tant que celui-ci n'est pas terminé, pour ta sécurité. Ici, ou sur d'autres forums.

Télécharge >-> AD-Remover <-< (de C_XX) sur ton Bureau.


Déconnecte-toi de internet et ferme toutes applications en cours(Le meilleur moyen et de débrancher le câble Ethernet)

• Lance le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
• Clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.(Pour VISTA/7)
• Au menu principal, choisis l'option Nettoyer.
• En fin de suppression il se peut qu'il te soit demandé de redémarrer ton ordinateur,Accepte
• Poste le rapport qui sera générer automatiquement au redémarrage Ici stp.

(Le rapport est sauvegardé aussi sous C:\Ad-Report-(00/00/0000).log)


P.S : "Process.exe", une composante de l'outil, est détecté à tort par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


Aide et tuto :==> http://alabien.forumactif.net/faq-tutor ... t12.htm#12


@+

[buckhulk]

bonjour juju666

merci pour ta rapidité !

j'ai trouvé une infection Conduit

c'est quoi cette infection conduit ? comment on la reconnais ??

Je suppose que tu sais qu'il n'est pas nécessaire d'ouvrir d'autres sujets tant que celui-ci n'est pas terminé, pour ta sécurité. Ici, ou sur d'autres forums.

Évidement , je te laisse faire !!

dès que c'est fait je t'envoie le rapport (tu as bien lu tout mon message ??? )

[juju666]

J'étais sur le forum, mais je n'y habite pas je te rassure

On reconnait à ces lignes:

Code: Tout sélectionner

O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll

[HKCU\Software\Conduit]

O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit

---\\ Search Browser Infection (SBI) (O69)
O69 - SBI: prefs.js [bruno dugay - w4rshwxz.default] user_pref("CT2504091.SearchEngine", "Search||http://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM&ctid=CT2504091
O69 - SBI: prefs.js [bruno dugay - w4rshwxz.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");


Entre autres

[buckhulk]

oui ça doit être normal puisque comme je te l'ai dit je télécharge très souvent avec vuze !
mais qu'est-ce que conduit fait exactement ?
c'est un fichier (film ) que j'ai téléchargé qui m'a mis ce truc ou cela va avec vuze ??

voici le log final , il est en 4 partie je les héberge chez ci-joint , ailleurs (sur le site , ça ne veut pas !!

1 : http://www.cijoint.fr/cjlink.php?file=cj201008/cij1LOq6q7.txt
2 : http://www.cijoint.fr/cjlink.php?file=cj201008/cijOBZB3ru.txt
3 : http://www.cijoint.fr/cjlink.php?file=cj201008/cijC25fhjW.txt
4 : http://www.cijoint.fr/cjlink.php?file=cj201008/cijZV5nZ9w.txt

voilà je pense que c'est tout !!!

J'étais sur le forum, mais je n'y habite pas je te rassure

Je n'ai jamais dit ça !!

bien que cela va être bien pour les suivants quand tu sera correcteur !!!!

[juju666]

Non. En fait c'est une toolbar inutile qui redirige tes recherche. Idem avec softonic !

Tu peux désactiver l'instal des toolbars ! Pour ça, je te dirige vers le lien de malekal que tu connais "Les toolbars c'est pas obligatoire!" ==> http://forum.malekal.com/les-toolbars-e ... t6173.html

Tu avais également des restes d'Ask Toolbar:

Code: Tout sélectionner

HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd


Je n'ai pris qu'une ligne en exemple

Cette toolbar néfaste également s'installe avec Néro par exemple.

Ah mais non, en fait c'est pas la première fois que tu utilise AD-R je vois

bien que cela va être bien pour les suivants quand tu sera correcteur !!!!

Je crois que je suis encore loin d'être correcteur

Y'a du taf à faire encore !

==> revenons à nos moutons

Fais moi un second ZHP pour voir l'avancement du travail et s'il y a des restes à fixer

[buckhulk]

ok je t'envoie !

Tu peux désactiver l'instal des toolbars ! Pour ça, je te dirige vers le lien de malekal que tu connais "Les toolbars c'est pas obligatoire!"

oui je connais , à vrai dire c'est des toolbar que j'ai été obligé de mettre et j'ai oublié de les enlever après !!

généralement je passe aussi toolbar&sd mais .....

bon je te fais un diag

[juju666]

Toolbar S&D n'est plus à jour depuis longtemps et je ne crois pas qu'il soit compatible Vista/7 ==> utiliser AD-R qui lui est mis à jour

[buckhulk]

hébergé chez ci-joint aussi : http://www.cijoint.fr/cjlink.php?file=cj201008/cij8HPadtX.txt

mais ce qui me pose problème c'est que je ne me souviens pas avoir supprimer le premier et maintenant je n'en retrouve plus qu'un (rapport) !!!!
regarde si ce n'est pas celui que je t'ai déjà donné , si c'est le cas je suprimerais et je le recommencerais !!

Toolbar S&D n'est plus à jour depuis longtemps et je ne crois pas qu'il soit compatible Vista/7 ==> utiliser AD-R qui lui est mis à jour

oui je sais mais moi j'ai XP

de toutes façon tous mes logiciels sont à jour ,et quand je fait une recherche je passe par la barre de recherche Google !! et comme j'ai SiperAntispyware en résident et qui passe toutes les nuits ça va à peu près !

mais c'est bien de nettoyer de temps en temps enfin de le faire faire par quelqu'un d'autre !!
on ne "voit" jamais la même chose !

mais au départ c'était parceque j'ai des problèmes avec un seul site !!! Tinypic ou j'ai des images téléchargées , ou maintenant je peux les retrouver mais ou je ne peux toujours pas en télécharger d'autre , comme tu vois je n'ai donc plus accès aux différents services de Tinypic !!!!
c'était 9a qui m'enmerdais , en parlant poliment !!!

[juju666]

C'est le bon

System drive C: has 4 GB (2%) free of 149 GB

==> il faut absolument que tu libère de la place sur ton disque

10% pour être à l'aise.

Je dois te faire un mini script ZHPFix il faut que je le fasse valider avant

Sais tu ce qu'est

Code: Tout sélectionner

C:\Program Files\WeFi


?

Tu as en effet une belle collection de films et heu...; Hum.... je ne reviendrais pas sur certains

[buckhulk]

oui je m'ammuse mais bon il y a mieux encore il y a des sites vraiment comment dirais-je ... in et en vert par wot !!!

cela mis à part beaucoup ne sont pas téléchargé c'est pour cela que cela prend de la place , je ferais une défrag cette nuit , mais ce n'est pas pour cela que Tinypic ne fonctionne plus chez moi !!!
enfin c'est sympa de me faire un scipt , mais c'est pour supprimer quoi ??

et comment tu fais pour justement faire un script ?
j'apprendrais plus tard ?
comment on se sert très correctement de ZHP car j'ai plusieurs fois fait un ZHPDiag puis un ZHPFix mais à chaque fois c'est long de faire ligne par ligne pour supprimer les "méchantes" , je ne dois pas l'utiliser comme il faut .

je regarde chaque ligne , l'une après l'autre avec ZHP (celui ou il y a les petits dessins) et en même temps je coche les cases sur ZHPfix puis je fais le fix !!!
mais c'est long et à chaque fois cela me prend un sacré bout de temps !!!

d'ailleurs j'ai du mal à chaque fois de me souvenir du comment il faut faire alors je tatonne un peu à chaque fois avant !!

en effet je viens de regarder , je ne savais pas que tout mon espace était utilisé je vais tout de suite libérer de l'espace !!!! grand

[juju666]

Merci pour le remerciement

Répond à ma question STP sinon je vire

Pour le script ZHPFix:

Copie le texte suivant:

Code: Tout sélectionner

    P2 - FPN: [HKLM] [@funwebproducts.com/Plugin] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\FunWebProducts\Installr\16.bin\NPFunWeb.dll (.not file.)

P2 - FPN: [HKLM] [@pack.google.com/Google Updater;version=14] - (.Google - Google Updater plugin<br><a href="http://pack.google.com/">http://pack.) -- C:\Program Files\Google\Google Updater\2.4.1970.7372\npCIDetect14.dll

P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=8] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O8 - Extra context menu item: Google Sidewiki... . (.Google Inc. - Google Toolbar for Internet Explorer.) -- C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll

O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM]

O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM]

O4 - HKUS\S-1-5-21-1644491937-602609370-839522115-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

P2 - FPN: [HKCU] [@tools.google.com/Google Update;version=8] - (.Google Inc. - Google Update.) -- C:\Documents and Settings\bruno dugay\Local Settings\Application Data\Google\Update\1.2.183.29\npGoogleOneClick8.dll


    R3 - URLSearchHook: Microsoft Url Search Hook - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Vuze_Remote\tbVuze.dll

    R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Softonic_France\tbSoft.dll     
    O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll     

    O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll

    O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll

    O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll     

    O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM]     

    O42 - Logiciel: Vuze Remote Toolbar - (.Vuze Remote.) [HKLM] 


Ouvre ensuite ZHPFix

Clique sur le H bleu "Coller les lignes Helper"

Normalement ces lignes doivent apparaître

Si tel n'est pas le cas, supprime tout ce qu'il y a dans la fenêtre ZHPFix et copie/colle le texte donné avant.

Clique sur Tous puis Nettoyé.

Un rapport doit apparaître sur le bureau "ZHPFixReport", envoie le sur cijoint et donne moi le lien que je vérifie.

Par contre il y a une ligne étrange sur ton rapport ZHPDiag....

Aurais tu déjà utilisé GMER?

Même si oui, on va vérifier par sécurité

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur >-> cette page <-<, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
  
• Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
  
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
  
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
  
• Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Note:
Des lignes rouges doivent apparaître en cas d'infection :

* Sur ces lignes rouges:
o Services: Clic-droit puis delete service
o Process: Clic-droit puis kill process
o Adl, file: Clic-droit puis delete files


Concernant le script ZHP

en fait, c'est très simple

Je vois que tu t'es déjà servi de ZHP analyseur de rapport

Il faut pas faire ça au début, sinon, tu ne saura jamais lire correctement un rapport

Je fais tout ligne par ligne pourtant je l'ai sur mon bureau

Donc, dès que tu a une ligne infectée, je la copie sur bloc note

Puis quand tout est fini, copier/coller dans ZHP

Tous, Nettoyer, bye bye les merdouilles

Simple non? C'est comme pour HJT sauf que là, c'est "Fix Checked" et tu dois pas utiliser un deuxième outil

Les scripts, on voit ça au dernier niveau paraît il mais tu peux t'inscrire sur Web-Tranquille, Anthony a fait un tuto pour les scripts OTM et Malekal pour les CFScript. Pas compliqué crois moi

Je vais pas te donner un cours ici et puis, je pense pas que j'expliquerai cela correctement

[juju666]

Ah oui j'oubliais

Je vais t'expliquer le script:

P2 - FPN: [HKLM] [@funwebproducts.com/Plugin] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\FunWebProducts\Installr\16.bin\NPFunWeb.dll (.not file.) ==> un résidu d'infection navigateur

P2 - FPN: [HKLM] [@pack.google.com/Google Updater;version=14] - (.Google - Google Updater plugin<br><a href="http://pack.google.com/">http://pack.) -- C:\Program Files\Google\Google Updater\2.4.1970.7372\npCIDetect14.dll ==> toolbar google, inutile


R3 - URLSearchHook: Microsoft Url Search Hook - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Vuze_Remote\tbVuze.dll ==> résidu de Conduit

O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll ==> idem, mais pour softonic

O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll ==> toolbar Vuze inutile




Voilà

[buckhulk]

bon donc je fait de'abord ZHP ensuite Gmer , mais

Aurais tu déjà utilisé GMER?

oui il me semble !!

j'attaque ZHP , je ferme toutes mes fenètres , j'ai je pense fait un peu de place sur le disque , je n'ai pas vérifié !!

[buckhulk]

à proppos tu me fais supprimer vuze ??
et mes téléchargements ??
bon je fais , on verra bien !