[Résolu] un danger ou non ??

Bonjours,
je souhaiterai savoir si il y a dans ce rapport ZHPDiag des danger(infection et autre ...) ??
http://www.cijoint.fr/cjlink.php?file=cj201104/cijHG95n7P.txt


merci

Bonsoir,
Tu as cacaoweb qui est néfaste


Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

[MD5.EEB19CBFC3B8C8C1892AE6F726A4BB49] - (...) -- C:\Users\Arnaud\AppData\Roaming\cacaoweb\cacaoweb.exe [370416] => Infection Diverse (Mal/TinyDL-T)
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Arnaud\AppData\Roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O4 - HKUS\S-1-5-21-1804530669-598461266-653725598-1001\..\Run: [cacaoweb] . (...) -- C:\Users\Arnaud\AppData\Roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
[HKCU\Software\Spointer] => Infection BT (Adware.SPointer)
[HKCU\Software\cacaoweb] => Infection Diverse (Mal/TinyDL-T)
[HKLM\Software\CrazyLoader] => Infection BT (Adware.SPointer)
O43 - CFD: 17/04/2011 - 20:11:56 - [795159551] ----D- C:\Users\Arnaud\AppData\Roaming\cacaoweb => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 31/08/2010 - 20:32:46 - [25130] ----D- C:\Users\Arnaud\AppData\Roaming\CrazyLoader => Infection BT (Adware.SPointer)
[MD5.73CBB6C81C482EE9E11999A1D6D30F0D] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Arnaud\AppData\Local\Temp\comver.dll [40960] => Infection Diverse (Adware.GameSpyArcade)
O87 - FAEL: "{AA57EE5E-B1DA-4D50-9122-2CC9A88065AF}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) => Infection BT (Adware.SPointer)
O87 - FAEL: "{1FC61795-30C6-484F-92AD-0BDA4F1C149C}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) => Infection BT (Adware.SPointer)
O87 - FAEL: "TCP Query User{4BBF91C6-237D-4F24-8EBE-A8E1539B72A2}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P6 - TRUE | .(...) -- C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O87 - FAEL: "UDP Query User{CADCB213-E076-491B-9C9E-C9E89974373E}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P17 - TRUE | .(...) -- C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O87 - FAEL: "TCP Query User{0CCBFE8E-5809-4C8D-9CE3-A6C9CD5585C6}C:\users\pascal\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P6 - TRUE | .(...) -- C:\users\pascal\appdata\roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O87 - FAEL: "UDP Query User{D9DA2510-B465-460E-9B2B-CA49872DE512}C:\users\pascal\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P17 - TRUE | .(...) -- C:\users\pascal\appdata\roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O87 - FAEL: "TCP Query User{FF32C379-4D08-4926-A8DC-4039DB6FE7A9}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Private - P6 - TRUE | .(...) -- C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O87 - FAEL: "UDP Query User{CC911BC5-47B7-433D-A4F8-2B25CDEFC82C}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Private - P17 - TRUE | .(...) -- C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
[HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}] => Infection PUP (PUP.iMesh)
[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}] => Infection PUP (PUP.iMesh)

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

voila

Citation :

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-18-04-2011-01-01-43.txt
Run by Arnaud at 18/04/2011 01:01:43
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
C:\Users\Arnaud\AppData\Roaming\cacaoweb\cacaoweb.exe [370416] => Supprimé et mis en quarantaine

========== Module(s) mémoire ==========
C:\Users\Arnaud\AppData\Local\Temp\comver.dll [40960] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\Spointer => Clé supprimée avec succès
HKCU\Software\cacaoweb => Clé supprimée avec succès
HKLM\Software\CrazyLoader => Clé non supprimée
HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Arnaud\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1804530669-598461266-653725598-1001\..\Run: [cacaoweb] . (...) -- C:\Users\Arnaud\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur absente
{AA57EE5E-B1DA-4D50-9122-2CC9A88065AF} => Valeur supprimée avec succès
{1FC61795-30C6-484F-92AD-0BDA4F1C149C} => Valeur supprimée avec succès
TCP Query User{4BBF91C6-237D-4F24-8EBE-A8E1539B72A2}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
UDP Query User{CADCB213-E076-491B-9C9E-C9E89974373E}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
TCP Query User{0CCBFE8E-5809-4C8D-9CE3-A6C9CD5585C6}C:\users\pascal\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
UDP Query User{D9DA2510-B465-460E-9B2B-CA49872DE512}C:\users\pascal\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
TCP Query User{FF32C379-4D08-4926-A8DC-4039DB6FE7A9}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
UDP Query User{CC911BC5-47B7-433D-A4F8-2B25CDEFC82C}C:\users\arnaud\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Users\Arnaud\AppData\Roaming\cacaoweb => Supprimé et mis en quarantaine
C:\Users\Arnaud\AppData\Roaming\CrazyLoader => Supprimé et mis en quarantaine

========== Fichier(s) ==========


========== Récapitulatif ==========
1 : Processus mémoire
1 : Module(s) mémoire
5 : Clé(s) du Registre
10 : Valeur(s) du Registre
2 : Dossier(s)


End of the scan

Bonjour
Pourrais tu me poster un nouveau rapport ZHPDiag que tu vas héberger, et tu me
donnes le lien

voila je pense que c'est la bon : http://www.cijoint.fr/cjlink.php?file=cj201104/cij10zTv91.txt

On va nettoyer tout ce qui est inutile

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier


SysRestore
EmptyTemp
[HKLM\Software\CrazyLoader] => Infection BT (Adware.SPointer)
O43 - CFD: 21/08/2010 - 22:49:00 - [1311] ----D- C:\ProgramData\Partner => Game
O43 - CFD: 10/10/2010 - 21:16:20 - [338829] ----D- C:\Users\Arnaud\Appdata\Local\crazyloader Air =>
O87 - FAEL: "TCP Query User{6D4C3865-57C1-4B6D-A29E-A1FE811EC6AF}C:\users\arnaud\appdata\local\temp\jdic_0_9_5\ieembed.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\arnaud\appdata\local\temp\jdic_0_9_5\ieembed.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{9CC918EA-C051-4A1D-B72F-43E2B0D53B4E}C:\users\arnaud\appdata\local\temp\jdic_0_9_5\ieembed.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\arnaud\appdata\local\temp\jdic_0_9_5\ieembed.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{F631A7CF-8A43-4F66-8605-4828860D81E1}C:\program files (x86)\scol voyager\scol.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\scol voyager\scol.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{A2BC2E75-319B-4E8F-9F32-F7C9B2476370}C:\program files (x86)\scol voyager\scol.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\scol voyager\scol.exe (.not file.) => Fichier absent
[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit
OPT:O4 - HKLM\..\Wow6432Node\Run: [LManager] . (.Dritek System Inc. - Launch Manager Keyboard Application.) -- C:\Program Files (x86)\Launch Manager\LManager.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [PlayMovie] . (.Acer Corp. - Acer Arcade Deluxe PlayMovie Resident Progr.) -- C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
O42 - Logiciel: Java(TM) 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216020F0}
O42 - Logiciel: Java(TM) 6 Update 22 - (.Oracle.) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216022F0}
O42 - Logiciel: Java(TM) 6 Update 23 (64-bit) - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F86416023FF}

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

ok mais c'est quoi ce que je vais supprimer car j'ai vu des truc comme java ou realplayer .

sa va faire quoi quant je vais effacer ??

Ne t'inquiète pas, on supprime pas le logiciel, on supprime seulement son lancement
automatique, on optimise ton PC pour améliorer son démarrage, et on supprimes des
choses inutiles dont il n'y a plus de fichiers

ok merci cela me rassure . je lance l'opération et je poste rapport

http://www.cijoint.fr/cjlink.php?file=cj201104/cijSfAmMGD.txt


léger problème avec java ^^

C'est pas bien grave pour Java, ce sont des restants d'anciennes versions que tu
as supprimé

Y'a une clé de registre qui me résiste, on va essayer quelque chose

Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou
http://forum-aide-contre-virus.be/download/AD-Remover.html
Désactive l'anti-virus

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Scanner.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-SCAN[1].txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cijZB8Ov81.txt

Bonsoir
Relance AD Remover, et clique sur nettoyer, puis poste le rapport C:\Ad-Remover-CLEAN[1].txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cijLX6eaAJ.txt

voila madame

Bonjour,

Excusez moi de venir interrompre votre désinfection, mais celui qui a "moinsoyé" les scripts de ZHPFix de Jawaryinti, j'aimerai qu'il dise CLAIREMENT pourquoi il a fait cela.

Les scripts sont nickels.

J'ai horreur d'une telle aptitude.

Alors; quand on fait cela, on explique la raison.

Merci.

Cordialement, Juju666 - Administrateur

j'ai pas compris le terme "moinsoyé" (c'est le pousse vers le bas ???)

si c'est sa ce n'est pas mois qui l'ai fait.

salut newnew

oui oui c est ça, le pouce vers le bas. ne t'inquiète pas je sais que ce n'est pas toi (et c'est pas dans ton intérêt ^^)

A+ bonne fin avec jawaryinti

merci c'est super votre travaille sur ce forum . Super

Bonsoir newnew
Tu vas faire un scan généraliste pour une vérification
Met à jour Malwarebytes, et fait un scan complet

ok mais je te le fait demain car se soir je n'ai pas le temps de le faire en entier .



merci

Pas de problème, à demain

Salut

juju666 a écrit:

Bonjour,

Excusez moi de venir interrompre votre désinfection, mais celui qui a "moinsoyé" les scripts de ZHPFix de Jawaryinti, j'aimerai qu'il dise CLAIREMENT pourquoi il a fait cela.

Les scripts sont nickels.

J'ai horreur d'une telle aptitude.

Alors; quand on fait cela, on explique la raison.

Merci.

Cordialement, Juju666 - Administrateur

@juju en tant qu'admin je pense que tu dois avoir la main sur les +/- et tu dois pouvoir retrouver le membre et régler ca en PM
@nath, bon fin de désinfecte
++
édit:tu peux faire des test sur mon post si tu veux

Salut Jayces,

Aucune trace des "moinsoyages" dans le panel admin :o(
On désactive momentanément la fonction.
Je préfère régler ça ici qu'en MP, un mot d'explication pour tout le monde ne fera pas de tort

A+

l'analyse que tu m'a dit de faire c'est seulement avec Malwarebyte ?

si ce n'est que cela le scan est en cours.

Bonsoir newnew,
Oui, c'est bien cela, c'est pour vérifier s'il ne reste pas des traces d'infections