Analyse zhpdiagRésolu/Fermé

Question

Bonjour, 
Je rencontre des problèmes sur mon pc, si quelqu'un pouvait me donner un coup de main pour analyser le fichier zhpdiag.txt merci.
https://www.cjoint.com/c/EFrkyenZwY7

Malekal_morte- · Answer

Salut,

Je rencontre des problèmes sur mon pc 

Comme ?

seb2229 · Answer

Par moment le disque est occupé à 100% alors qu'il n'y aucune activité, et via mon antivirus fortigate j'ai Riskware/BitCoinMiner qui a été trouvé. Ainsi, j'ai lancé adwcleaner, malwarebyte afin de voir si cela pouvait être résolu mais rien. Donc je viens ici pour trouver de l'aide.

Malekal_morte- · Answer

ok fais ceci, je n'utilise pas ZHPDiag :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

seb2229 · Answer

ok je le fais de suite, merci.

seb2229 · Answer

Voici les rapports:
FRST
https://pjjoint.malekal.com/files.php?id=20150617_u7q14w7d9v11
Addition
https://pjjoint.malekal.com/files.php?id=20150617_o11g13g14d9m15
shortcut
https://pjjoint.malekal.com/files.php?id=20150617_15w11h6f10m8

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : C:\Users aurus\AppData\Local\MgRslQP1UT C:\Program Files (x86)\PC Registry Shield C:\Program Files (x86)\Mysearchdial Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe" Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau. Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur il est détecté dans quel fichier le miner ?

seb2229 · Answer

Voici le fixlog.txt Fix result of Farbar Recovery Scan Tool (x64) Version:13-06-2015 Ran by taurus at 2015-06-17 21:20:21 Run:2 Running from C:\Users aurus\Desktop Loaded Profiles: taurus (Available Profiles: taurus & fille) Boot Mode: Normal ============================================== fixlist content: C:\Users aurus\AppData\Local\MgRslQP1UT C:\Program Files (x86)\PC Registry Shield C:\Program Files (x86)\Mysearchdial Task: {90793FBE-D7BA-4346-9078-4A720C905466} - System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} => pcalua.exe -a "C:\Program Files (x86)\Mysearchdial\1.8.21.0\uninstall.exe" Task: {C570098F-5264-438B-8603-26E90BB78F1E} - System32\Tasks\PCRegistryShield_Popup => C:\Program Files (x86)\PC Registry Shield\Splash.exe <==== ATTENTION Task: {FA479444-5F87-4B98-880C-AC213D45A096} - System32\Tasks\PCRegistryShield_Start => C:\Program Files (x86)\PC Registry Shield\PcRegistryShield.exe <==== ATTENTION "C:\Users aurus\AppData\Local\MgRslQP1UT" => File/Folder not found. "C:\Program Files (x86)\PC Registry Shield" => File/Folder not found. "C:\Program Files (x86)\Mysearchdial" => File/Folder not found. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90793FBE-D7BA-4346-9078-4A720C905466} => key not found. C:\Windows\System32\Tasks\{68827150-A46F-4200-B6D4-3A2FDBC4346E} not found. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{68827150-A46F-4200-B6D4-3A2FDBC4346E}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C570098F-5264-438B-8603-26E90BB78F1E}" => key removed successfully C:\Windows\System32\Tasks\PCRegistryShield_Popup => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Popup" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA479444-5F87-4B98-880C-AC213D45A096}" => key removed successfully C:\Windows\System32\Tasks\PCRegistryShield_Start => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCRegistryShield_Start" => key removed successfully End of Fixlog 21:20:21 Concernant le message d'erreur, le fichier sur lequel il est détecté change tout le temps. Voici un exemple; time: 06/17/15 21:19:26, virus found: Riskware/BitCoinMiner, action: Access denied, c:\users aurus\appdata\local emp\msupdate71\msupdate.7z

seb2229 · Answer

oui je viens de le faire mais risque de revenir sur un autre fichier, de même il arrivait aussi sur le .exe de ccleaner.

seb2229 · Answer

Je viens de redémarrer le pc, faut-il refaire une analyse?

Malekal_morte- · Answer

histoire de :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport 
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

seb2229 · Answer

Je viens juste d'avoir encore un virus alert (riskware/BitCoinMiner) sur le process: c:\program files(x86)\ESET\eset online scanner\onlinecmdline.
Access denied

Sinon l'analyse est en cours.

Malekal_morte- · Answer

Tu n'aurais pas téléchargé un crack ou keygen avec un programme récemment ?

Pour NOD32 ... désactive ton antivirus le temps de faire le scan.

seb2229 · Answer

Oui c'est bien possible.
Ok je relance le scan ce soir car hier soir au bout de 2h pas fini.

seb2229 · Answer

Je viens de finir avec NOD32 pas d'erreur détecté, cependant je n'avais plus de contrôle sur la souris. J'ai redémarré le pc et là encore l'état d'activité du 100% mais j'ai de nouveau le contrôle de la souris.
C'est quand même bizarre.

seb2229 · Answer

je viens de vérifier et c'est le forticlient realtime. J'ai fait fin de tâche et l'utilisation du disque est devenu normal.

seb2229 · Answer

Lorsque je lance une analyse avec zhpdiag, il me trouve ceci:
---\ Recherche dans la clé de registre Feature Controls (IFC) (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  =>Rootkit.TDSS
~ Keys:  Scanned in 00mn 00s
Et je n'arrive pas à le supprimer, merci de m'aider.

seb2229 · Answer

Comment ça?

seb2229 · Answer

Ok merci pour la précision.
Cependant, j'ai encore des blocages par moment le pc ne réagit pas lorsque je lance n'importe quelle application puis au bout de quelquefois une minute l'application s'ouvre. J'ai quand même l'impression qu'il reste quelque chose,  non?

Malekal_morte- · Answer

Fais un checkdisk - paragraphe "Erreurs disque / Problème disque dur"  et vérifie si tu as des erreurs dans l'onglet Health de HDD Tune.
=> https://forum.malekal.com/viewtopic.php?t=44006&start= 


Installe Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de CoreTemp.
=> https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/


Passe un coup de SFC (System File Check) :
=> https://forum.malekal.com/viewtopic.php?t=50094&start=

seb2229 · Answer

bonsoir
pour ce qui est du test du disque visiblement cela a dû faire quelquechose car plus de blocage. Température hdd:45° et core0: 51° et core1:50°.
Ensuite le sfc, voici le rapport; http://pjjoint.malekal.com/files.php?id=20150622_s5j65o7e15.
Visiblement quelque soucis sur certain fichier mais est-ce grave?
Merci par avance.

seb2229 · Answer

Je viens de lancer le sfcfix mais même après avoir relancé le sfc \scannow j'ai toujours les mêmes erreurs.
http://pjjoint.malekal.com/files.php?id=20150623_l8b5s14c9x7
C'est quand même étrange.

seb2229 · Answer

J'ai commencé à lancer les outils DISM.exe il y a 3 commandes et j'en ai fait qu'une hier c'est assez long. Je te tiens au courant. Sinon à quoi sert le fichier search.Ink, je suppose rien si je le supprime.

seb2229 · Answer

Bonsoir,
voici  mon nouveau cbs
http://pjjoint.malekal.com/files.php?id=20150625_z5o6b15y9u9
J'ai effectué une recherche du fichier search.lnk mais rien trouvé!
Après le sfx non pas grande différence j'avoue.
Je le trouve toujours un peu lent au démarrage pourtant j'ai pas beaucoup de process qui se lance au démarrage.

seb2229 · Answer

Ca a l'air d'être un peu mieux mais toujours un peu lent au démarrage.

Malekal_morte- · Answer

Je ne pense pas pouvoir faire plus.

seb2229 · Answer

Je te remercie pour toutes les astuces que tu m'a donné. Au final, je pense que ma machine tourne quand même beaucoup qu'avant qu'elle soit infecté.
Donc un grand merci à toi, bonne soirée.

Malekal_morte- · Answer

ok bon courage =)

A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Analyse zhpdiag

27 réponses

End of Fixlog 21:20:21

Discussions similaires

Newsletters