[Résolu]Entrée du registre

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu]Entrée du registre

Messagepar Bruno11 » 23 Sep 2012 09:04

Bonjour,, après avoir fait un scan avec Roguekiller il a trouvé des entré du registre a supprimé je les supprime
et elle revienne toujours que faire?
Merci.

¤¤¤ Entrees de registre : 7 ¤¤¤

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
Dernière édition par Bruno11 le 24 Sep 2012 21:48, édité 1 fois.
Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entré du registre

Messagepar Dell » 23 Sep 2012 13:59

Hello Bruno11

qui t'a demandé de faire un scan avec Roguekiller

un peu de lecture......
:arrow: :arrow: Chaque procédure est pour 1 machine, n'essayez pas chez vous

Certains outils de désinfection et de nettoyage sont à utiliser avec l'aide d'un helper
_DELL_
Windows 10/ 64 Bits, FireFox, F-Secure,
Internet InOne M , SwisscomTv InOne M, Téléphonie IP InOne M, mobile inOne go
Avatar de l’utilisateur
Dell
Modérateur
Modérateur
 
Messages: 11481
Inscription: 16 Oct 2002 16:57
Localisation: Aigle (Suisse)

Re: Entré du registre

Messagepar Bruno11 » 23 Sep 2012 16:19

En faite j avais le virus police et au depart j ai utilisé des scan generaliste comme Malwearbit et spyboot qui ma enlevé 2 Hijackers alors ensuit je me suis dit que pour vérifier en profondeur je devait scané avec Roguekiller.,mais pour l instant il me reste encore 4 entré illégitime et je ne sais plus quoi faire je voudrait de l aide, merci.
Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entré du registre

Messagepar Falkra » 23 Sep 2012 16:41

Crée ton propre sujet stp et attends d'avoir les infos.
Certains outils ne sont pas à utiliser seul sans l'avis d'un helper qualifié (cf infos en haut du forum dans la partie encadrée en rouge).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Entré du registre

Messagepar lenapache » 23 Sep 2012 16:41

Bonjour Bruno11

On va voir ce qui se passe sur ce PC pour commencer on va faire un audit.

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Image Scan

    Télécharge ZHPDiag (de Nicolas coolman)

  • Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  • Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Lance ZHPDiag en double cliquant sur Image présent sur ton bureau
  • Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
  • Clique sur Options Image
  • Clique sur Image
  • Clique en haut à gauche sur la loupe Image

    Image
  • Laisse le scan se dérouler.

    Image
  • Le scan terminé, clique sur la disquette Image
  • Enregistre le rapport sur le bureau.
  • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Image Pour poster le rapport en lien utilise cet hébergeur de fichiers : Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Entré du registre

Messagepar Bruno11 » 23 Sep 2012 18:11

Voici le lien du rapport : http://cjoint.com/?3Ixtiyjh5si
Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre

Messagepar lenapache » 24 Sep 2012 07:14

Bonjour Bruno11


Rien de bien vraiment méchant dans ce rapport, juste quelques petites traces d'infection et du superflu à éliminer.

Les rapports demandés doivent être postés en lien et dans la même réponse


Script ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours


  • Clique sur Script ZHPFix
  • Sur la page qui s'ouvre clic droit et Tout sélectionner
  • Refais un clic droit et Copier
  • Double clique sur Image qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  • Clique en haut à gauche sur la deuxième icône (colller le presse papiers) Image
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

    Image
  • Clique sur Image
  • Confirme le nettoyage des données si demandé

    Image
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
  • Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt


Nouveau scan ZHPDiag

Image Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as deux rapports à poster
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Entrée du registre

Messagepar Bruno11 » 24 Sep 2012 08:39

Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre

Messagepar lenapache » 24 Sep 2012 09:13

Je vais te faire passer un autre scanneur, ce sont des restrictions que tu vois dans le rapport de RogueKiller OTL nous permettra de vérifier ce point.


Les rapports d'Otl doivent être postés en lien, ils sont parfois trop longs pour tenir dans une réponse.

  • Télécharge OTL de (Old_Timer)
  • Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.
  • Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur


  • Coche Tous les utilisateurs
  • Règle Age des fichiers sur 60 jours
  • Coche Recherche lop et Recherche purity
  • Si tu as une version 64 bits de Windows coche aussi la case 64 bits qui est en dessous de Tous les utilisateurs.

Copie/colle le texte qui est dans cadre code sous l'emplacement Personnalisation

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT


Image


  • Clique sur le bouton Analyse rapide
  • Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

Poste le contenu de OTL.txt (qui sera affiché) ainsi que de Extras.txt (qui sera réduit dans la Barre des Tâches) en lien.

Pour poster les rapports en lien utilise Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Entrée du registre

Messagepar Bruno11 » 24 Sep 2012 10:39

Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre

Messagepar lenapache » 24 Sep 2012 14:51

Rien de bien méchant dans ce rapport

[size="3"]Sript OTL[/size]


Image Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.

  • Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur
  • Sous l'emplacement Personnalisation copie/colle le texte en citation

:OTL
[2012/08/17 14:43:22 | 000,000,000 | ---D | M] (uTorrentBar_FR) -- C:\Users\S\AppData\Roaming\Mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
[2012/08/18 10:57:55 | 000,000,000 | ---D | M] (BittorrentBar_FR) -- C:\Users\S\AppData\Roaming\Mozilla\Firefox\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
[2012/09/06 10:39:00 | 000,160,136 | ---- | M] () -- C:\Users\S\AppData\Roaming\.spotflux\updates\dist\backup\lib\win-down.exe

:commands
[emptytemp]

  • Clique sur le bouton Correction
  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste le contenu du rapport dans ta prochaine réponse.
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Entrée du registre

Messagepar Bruno11 » 24 Sep 2012 17:14

Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre

Messagepar lenapache » 24 Sep 2012 17:31

Mets à jour Malwarebyte's

  • La mise à jour faite :
  • Sélectionne Exécuter un examen complet si ce n'est pas déja fait
  • clique sur Rechercher
    • Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
    • Si MalwareByte's a détecté des infections :
    • Clique sur Afficher les résultats
    • Ensuite sur Supprimer la sélection
  • Poste le rapport de MalwareByte's Anti-Malware
  • Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs
  • Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
  • Aide pour MalwareByte's [size="3"]Lien[/size]
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Entrée du registre

Messagepar Bruno11 » 24 Sep 2012 19:23

alwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.24.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
S :: I [administrateur]

24/09/2012 19:20:04
mbam-log-2012-09-24 (19-20-04).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 333955
Temps écoulé: 48 minute(s), 15 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre

Messagepar Bruno11 » 24 Sep 2012 20:43

Bonsoir, merci beaucoup pour ton aide, les entrées de registre n' apparaisse que l lorsque je scan avec RogueKiller donc je pense que c est le logiciel qui a probablement un bug ou c'est un défaut car avec n'importe quelle autre logiciel ces entrées ne sont jamais présente a l'issu du scan, merci encore pour le temps que tu m a accordé.
Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre

Messagepar lenapache » 24 Sep 2012 21:31

Bonsoir Bruno11

Ces lignes que détecte RogueKiller :

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ



Ces sont des restrictions si il y avait eu un zéro entre les parenthèses roguekiller l'aurait remplacé par le chiffre 1 donc de ce côté la tout est Ok

C'est terminé on peut passer au final, il ne te reste plus qu'a supprimer les outils téléchargés pour désinfecter ton pc, suivre les consignes de sécurité et de passer en résolu ton sujet comme indiqué en fin de ma réponse


Image Suppression des outils téléchargés.


  • Télécharge Delfix (d'Xplode) sur ton bureau.
  • Lance le et clique sur Recherche
  • Le scan fini clique sur Suppression
  • Relance DelFix clique sur Désinstaller


Image Je te donne quelques consignes de sécurité :

  • Windows Update ( http://www.windowsupdate.com/ ) parfaitement à jour (catégories critique, Services Pack et Services Release)
  • Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
  • Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
  • Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
  • Scan hebdomadaire avec un antimalware
  • Verifie si ta console Java est à jour:
    Java Sun http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour)
  • Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.
  • Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
  • En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo http://www.filehippo.com/download_jre_32/

Image Lecture recommandée

  • Les toolbars ce n'est pas obligatoire Lien
  • Les antispywares gratuits ça sers à rien Lien
  • Quelques idées reçues Lien
  • Les dangers des cracks Lien
  • Reconnaître les Pups (programmes potentiellement indésirables) Lien


Edite ton premier post et mets aprés le titre de ton sujet (Résolu) comme ceci :Entrée du registre (Résolu)
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Entrée du registre (Résolu)

Messagepar Bruno11 » 24 Sep 2012 21:50

Merci beaucoup et bonne soirée.
Bruno11
 
Messages: 9
Inscription: 23 Sep 2012 08:59

Re: Entrée du registre (Résolu)

Messagepar lenapache » 24 Sep 2012 22:38

Bonne soiré à toi aussi
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5728
Inscription: 11 Sep 2011 11:32
Localisation: Picardie


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités