[Résolu] Besoin d'aide ZHPDiag

[juanpilou]

Bonjour,

Je répare l'ordi de mon amie auquel ses enfants ont aussi accès. Normalement, ils sont en utilisateur standard mais ils ont réussi à choper le mot de passe et sont devenus administrateurs jusqu'à ce que l'on s'en aperçoive !...

J'ai fait un AdwCleaner mais il reste des choses.
J'ai donc fait sur vos conseils un ZHPDiag mais je ne comprends rien aux résultats.

Pouvez-vous m'éclairer sur ce qu'il faut faire pour éradiquer les sal#per#es tels que babylon ou delta search toolbar ...

Merci d'avance pour vos réponses.

[MoJac]

Bonjour juanpilou,

Ce n'est pas obligatoirement une bonne idée de passer des outils "au pif" sans savoir ce qu'on fait ...

- Je te propose de reprendre les choses dans l'ordre: diagnostics (2 outils à passer) et ensuite seulement en fonction des résultats on essaie d'agir ...

Télécharge ZHPDiag2.exe - suivre le lien en bas de page.

• Enregistre le sur ton bureau
• Une fois le téléchargement achevé,fais un double clic sur ZHPDiag2.exe (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept).
• Suis les instructions à l'écran.
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• l'outil a créé 3 icônes: ZHPDiag, ZHPFix et MBRCheck.
  
  
  
• Double clique sur le raccourci ZHPDiag sur ton Bureau (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept)..
  
  
  
• Clique sur OK.
  
  Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :
  1 : Clique sur l'icône Tournevis
  2 : Clique sur le bouton radio Tous puis
  
  décoche
  
  • 045 Derniers fichiers créés dans Windows Prefetcher.
  • 061 Derniers fichiers modifiés ou crées (Utilsateur).
  
  
  
  3: Clique sur la loupe en haut à gauche pour lancer l'analyse.
• Une fois terminé , le rapport s'affiche : Enregistrer ce rapport sur ton bureau grace à un clic sur la disquette :
  
• Le rapport est assez volumineux, met le en pièce jointe:
  
  - Va en fin de message sous les boutons "sauvegarder le brouillon, Aperçu et Envoyer" clique sur la phrase "Ajouter des fichiers joints" et suis les indications:
  
  
  
• NB: Le rapport se situe aussi sous C:\ZHP\ZHPDiag.txt
  
  Pour vérifier, en visualisant ta réponse tu auras quelque chose comme ça:
  
  

Ensuite:

Télécharger sur le bureau RogueKiller (by tigzy)

• Quitter tous les programmes
• Lancer RogueKiller.exe par double clic sous XP ou (clic droit et "exécuter en tant qu'administrateur" si tu es sous Vista/Sept).
• Attendre que le Prescan ait fini ...
  
• Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

NB: Ne rien corriger pour le moment

NB: Poste également le rapport AdwCleaner que tu as passé.
A plus

[juanpilou]

Bonjour,

Voici en pièces jointes les rapports des 3 programmes.

Merci de vous pencher sur mon cas

[MoJac]

Bonjour juanpilou,

- Je suis un peu perplexe: AdwCleaner a été utilisé pas moins de 18 fois sur cette machine en mode suppression d'après le nb de rapports ...

...
AdwCleaner[S12].txt - [22134 octets] - [28/11/2012 23:22:52]
AdwCleaner[S13].txt - [2161 octets] - [11/02/2013 15:49:38]
AdwCleaner[S14].txt - [1966 octets] - [09/03/2013 17:20:59]
AdwCleaner[S15].txt - [2411 octets] - [16/05/2013 20:29:27]
AdwCleaner[S16].txt - [2620 octets] - [26/05/2013 20:25:07]
AdwCleaner[S17].txt - [4585 octets] - [31/05/2013 10:40:48]
AdwCleaner[S18].txt - [3080 octets] - [05/06/2013 15:43:58]

.. et beaucoup de choses ont encore été supprimées lors du dernier passage.

- Peut on en conclure que ces chères têtes blondes sont seules à faire un peu n'importe quoi sur le net ?

- Pour l'heure il ne reste que des traces, mais dans un tel contexte on ne peut être sûr de rien.

- Je vois que Malwarebytes Antimalware existe sur cette machine. Ce logiciel a t'il été passé récemment et avec quels résultats ?

- Je te propse 2 choses: un script ZHPFix pour éliminer les traces qui restent et ensuite faire un scan antivirus en ligne.

1) Nous allons utiliser maintenant ZHPFix qui est présent sur ton bureau pour effectuer quelques corrections:

- Ce script va cibler certains éléments à corriger ou supprimer :

• Sélectionne et copie les lignes en gras situées entre les deux traits :
__________________________________________

[MD5.00000000000000000000000000000000] [APT] [{2A39AE06-D6ED-4A2D-BCED-9DF967A17663}] (...) -- C:\Program Files\Iminent\inst\Bootstrapper\Bootstrapper.exe (.not file.) [0]
[HKCU\Software\5e4dcdab63fbd46]
[HKCU\Software\BI]
[HKCU\Software\BabSolution]
[HKCU\Software\SearchCore for Browsers]
[HKLM\Software\5e4dcdab63fbd46]
O43 - CFD: 27/05/2013 - 21:51:12 - [0,001] ----D C:\Users\Emma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect
[MD5.89505DACB8B6A97A448F3409DAB18BCD] [SPRF][20/05/2013] (.Babylon Ltd. - Uninstaller Application.) -- C:\Users\Emma\AppData\Local\Temp\uninst1.exe [395248]
[HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}]
[HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]
[HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}]
[HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller]
[HKCU\Software\BI]
C:\Users\Emma\AppData\Local\Bundled software uninstaller
C:\Users\Emma\AppData\Local\Temp\uninst1.exe
C:\Users\Emma\AppData\Local\Temp\nsl9933.tmp
[HKCU\Software\5e4dcdab63fbd46\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1249.132]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
[HKCU\Software\5e4dcdab63fbd46\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1249.132]:version="2.6.1249.132"
[HKCU\Software\5e4dcdab63fbd46]
[HKLM\Software\5e4dcdab63fbd46]
EmptyTemp
EmptyFlash
FirewallRaz
SysRestore
__________________________________________

• Lance ZHPFix à partir du raccourci sur ton Bureau ( sous Vista / Sept, clic-droit --> Exécuter en temps qu'administrateur)



• Clic sur OK
• Clic sur l'icone (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
• Clic sur le bouton GO pour lancer le nettoyage
• Confirme le nettoyage des données si demandé.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

NB : Il est possible qu'après le passage de ZHPFix, ton bureau reste sans icône et sans barre des tâches.
Pas de panique ! il suffit de relancer explorer.exe

• Pour cela, presser simultanément ctrl+alt+suppr pour ouvrir le gestionnaire de tâches
  
• Une fois dans le gestionnaire, clique sur "fichier" et sur "nouvelle tâche"
  
• Dans le champ de saisie, tape explorer.exe puis clique sur OK

2) Attention ce scan est très long (plusieurs heures) prévoir occupation machine en conséquence ...

- Ce logiciel est paramétré pour NE PAS faire de correction, c'est volontaire - risque même minime de faux positif.

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/es ... er_enu.exe




• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.



Attention: si tu disposes de Windows VISTA/Sept, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"

A plus

• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"
  
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
  
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse

A plus

[juanpilou]

Salut,

Merci bien ! ZHPFix a supprimé pas mal de choses !!!
Je te transmets le rapport en pièce jointe.
Je ferai l'analyse anti-virus cette nuit et te posterai son résultat donc demain matin ...

bonne soirée

[juanpilou]

Bonjour,

Voici le rapport de ESET en PJ ...

[MoJac]

Bonjour juanpilou,

Bon, je pense que nous avons découvert les origines des différents pb ...

- Si ce n'est déja fait il faut désinstaller PlayerPlusX et FreeWAVMP3Converter et ensuite supprimer les installeurs à l'aide de l'explorateur:

D:\Médiatek\Téléchargements\FreeWAVMP3ConverterSetup.exe
D:\Médiatek\Téléchargements\PlayerPlusX.exe

- Après mise à jour de ZHPDiag (clic sur la flêche verte en haut à droite et installation de la nouvelle version) refais un scan ZHPDiag en administrateur, en prenant soin de paramètrer suivant indications:

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :
1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous puis

décoche

• 045 Derniers fichiers créés dans Windows Prefetcher.
• 061 Derniers fichiers modifiés ou crées (Utilsateur).

3: Clique sur la loupe en haut à gauche pour lancer l'analyse.

puis met le rapport en pièce jointe sur le forum comme précédemment.

A plus

[juanpilou]

Bonjour,

Voici le dernier rapport ZHPDiag en PJ.

Il reste pas mal de choses en effet dans les chapitres 69 et 88 du rapport ...

@ plus

[MoJac]

Re:

Effectivement il reste des élément en relation avec Delta Search. La version d'Adwcleaner utilisée n'est pas à jour:

# AdwCleaner v2.007 - Rapport créé le 05/06/2013

La version actuelle est Version:2.302

- Désinstalle la version actuelle par action sur le bouton approprié, puis réinstalle la dernière version:

Télécharge AdwCleanerV2 de Xplode sur ton bureau

Lance l'outil en cliquant sur AdwCleanerV2.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
Clique sur le bouton Suppression



Un message t'informe que toutes les applications vont être fermées, valide par OK pour continuer.



Une fois le scan terminé, une fenêtre d'informations va s'ouvrir. Lis bien son contenu.



Le pc va redémarrer. Valide par OK



Poste le rapport qui s'ouvre après le redémarrage de l'ordinateur par copier-coller dans ta réponse.
Il sera enregistré sous C:\AdwCleaner[Sx].txt



Refais ensuite un scan ZHPDiag pour faire le point. On verra si il faut terminer "à la main" ou si AdwCleaner a fait le boulot en totalité.

A plus

[juanpilou]

Re

Oups désolé pour la version non à jour de AdwCleaner ...

Voici les nouveaux résultats. Il reste toujours des trucs (ou traces ?) de la ### toolbar deltasearch dans le chapitre 88.
Ainsi que quelques lignes en bleus en divers endroits...

@ +

[MoJac]

Bonjour juanpilou,

- Les résidus en O88 sont insignifiants.

- Par contre le paragraphe O82 a disparu ...

A plus

[juanpilou]

Merci beaucoup pour le temps que tu m'as accordé.

[MoJac]

Re:

On termine:

- Désinstallation des logiciels utilisés:

Télécharge DelFix (d'Xplode) sur ton bureau
lance le par double clic et clique sur "Exécuter".



Le rapport sera enregistré dans le presse-papier que tu pourras poster. .

Faire redémarrer l'ordinateur pour terminer le nettoyage.

- Conseils généraux relatifs à la sécurité:

• Il est impératif de maintenir à jour
  - Ton système d'exploitation (mettre les MàJ de Windows en Automatique.
  - Ta ou tes suites bureautiques (MS office ou les versions libres Open Offices).
  - Ton ou tes navigateurs.
  - Bien entendu ton Antivirus ainsi qu'un bon Antimalware généraliste (Malwarebytes Antimalware est très bon).
  . Faire des scans complets après mise à jour régulièrement à une cadence dépendant de la nature de la navigation passée ...
  - Les Add On complémentaires sources de bien des tracas: Java, Lecteurs pdf Acrobat, Adobe FlashPlayer.
  
  A ce propos:
  
  - Il faut désinstaller Adobe Reader X et installer la toute dernière version
  http://get.adobe.com/fr/reader/
  Sans oublier de décocher Oui, installer McAfee Security Scan Plus (facultatif)
  
  - Il existe un moyen simple de vérifier si les add on de FireFox sont à jour:
  https://www.mozilla.org/fr/plugincheck/
  Si tu ne te sers pas de FireFox désinstalle le.
  
  - Fuir comme la peste les "optimiseurs de registres", même si ils sont opportunément proposés dans les bandeaux publicitaires des sites comme les notres. Vista et suivant n'ont pas besoin d'être optimisés, il font ça très bien tout seul. Toute intervention parasite sur le registre amène des catastrophes (machine instable, blocages divers, etc ...).
  Seuls les nettoyeurs de fichiers temporaires et caches peuvent être utilisés sauf si ils sont accompagnés de sponsors ...
  
• Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF)
  Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi.
• Les programmes d'installation de logiciels "gratuits"et les "sponsors"
  Etre très attentif avant d'installer les sponsors avec un logiciel gratuit, d'essai ou encore moins commercial.
  Dans la grande majorité où l'installation est pré-cochée, il suffit de décocher et pour cela de bien lire toutes les pages qui se succédent lors de l'installation.
  Quoi qu'il en soit lire le CLUF (Contrat de licence à l'utilisateur final) avant afin d'éviter certains désagréments.
  Exemple de CLUF
  Liste des programmes et de leurs sponsors
  
• Judiciarisation des espaces d’entraide informatique.
  - La nouvelle tendance des sociétés sans scrupule qui téléchargent un tas de cochonnerie sur les machines des internautes, est d'attaquer en justice les forums de sécurité qui suppriment toutes ces pestes et qui par conséquent nuisent à leur business.
  
  A lire attentivement le papier de notre ami Gof sur ce sujet. Notre activité est donc menacée ...
  
• Les risques légaux d'Internet, vol de données privées
  Les cinq piliers de l'espionnage par Pierre Pinard de Assiste.
  A noter que ce site dans son ensemble est une mine de conseils et renseignements sur le sujet.
  
• Le P2P : Les risques liés au P2P:Idées reçues

Sauf si tu as des questions ou encore des pb, je te propose d'en rester là.

Toute l'équipe de Micro-Astuce te souhaite bon surf en toute sécurité

[juanpilou]

Merci beaucoup pour tous ces conseils pratiques et avisés.
Je vais de ce pas m'envoyer ce topic sur mon mail afin de l'avoir toujours dorénavant avec moi