Question pour Eddy34
Hors ligneAtex Le 23/06/2011 à 14:49 Profil de Atex Configuration de Atex

APVS

 

Salut,

Avant quand je décontaminais les PC de mes connaissances, je n'utlisais généralement qu'Hijackthis. Mais depuis quelques temps il est "désuet" et ne fonctionne de tout façon pas correctement pour Seven.

 

Je veux donc me faire à un autre outil tel que ZHPDiag. J'ai donc fouillé le premier rapport de Schnucki, et je trouve les lignes suivantes qui ne me plaisent pas:

 

R3 - URLSearchHook: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (...) (No version) -- (.not file.)

...........Qui devrait être:

R3 - URLSearchHook: IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbInc1.dll

R3 - URLSearchHook: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (...) (No version) -- (.not file.)

...........Qui serait:

R3 - URLSearchHook: IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbInc1.dll

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} Orphean Key

........Qui devrait correspondre à:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Orphean Key

.........O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll

O3 - Toolbar: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (...) -- (.not file.)

.........O3 - Toolbar: IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\IncrediMail_MediaBar_2\prxtbInc2.dll

O23 - Service: (DcomLaunch) - Orphean Key

O23 - Service: (WdiServiceHost) - Orphean Key

O23 - Service: (WdiSystemHost) - Orphean Key

O67 - Shell Spawning: <.bat> [HKLM\..\open\Command] "%1" %* (.not file.)

O67 - Shell Spawning: <.cmd> [HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.com> [HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.exe> [HKLM\..\open\Command] "%1" %* (.not file.)

O67 - Shell Spawning: <.html> [HKCU\..\open\Command] (.Not Key.)
O67 - Shell Spawning: <.bat> [HKCR\..\open\Command] "%1" %* (.not file.)

O67 - Shell Spawning: <.cmd> [HKCR\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.com> [HKCR\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.exe> [HKCR\..\open\Command] "%1" %* (.not file.)

 

Cependant, à la fin du rapport il y a les (O88) du Scan additionnel: 

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive] =>PUP.OfferBox
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook] =>Adware.Agent
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1] =>Adware.Agent
[HKLM\Software\Classes\Interface\{2a42d13c-d427-4787-821b-cf6973855778}] =>Adware.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}] =>Toolbar.Babylon
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}] =>Toolbar.Babylon
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =>Toolbar.Agent
[HKLM\Software\Classes\CLSID\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =>Toolbar.Agent
[HKLM\Software\Classes\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}] =>Adware.Agent
[HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}] =>Toolbar.Conduit
[HKLM\Software\Classes\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}] =>Adware.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}] =>Toolbar.Babylon
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}] =>Toolbar.Babylon
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}] =>Toolbar.Agent
[HKLM\Software\Classes\Installer\Features\5B4758C25396ECF468E04F8E063287FF] =>PUP.OfferBox
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\IncrediMail_MediaBar_2 Toolbar] =>Toolbar.Conduit
C:\Program Files\IncrediMail_MediaBar_2 =>Toolbar.Conduit
C:\Users\schnucki\Appdata\Local\moovida air =>Adware.SPointer
C:\Users\schnucki\Appdata\LocalLow\BabylonToolbar =>Toolbar.Babylon
C:\Users\schnucki\Appdata\LocalLow\IncrediMail_MediaBar_2 =>Toolbar.Conduit

 

Question: Pourquoi ne retrouve t'on pas trace des lignes du scan additionnel dans les autres sections du rapport? Et est-ce que tu te base uniquement sur O88 ou aussi sur le reste du rapport ?

 

Merci pour tes réponses.

Hors ligneEddy34 Le 24/06/2011 à 07:45 Profil de Eddy34 Configuration de Eddy34

Bonjour Atex,

Comme ta question demande plusieurs réponses et que je ne les maitrises pas toutes je préfère les répercuter vers Nicolas qui est un collègue donc:

Dans un premier temps certaines lignes demandent réflexion de sa part et voici sa première réponse en attendant les autres:

Nicolas Coolman
Développeur
Développeur


Messages218
Points250
Réputation10
LocalisationFrance


Hello,

Il faudrait que tu mes postes ton ZHPDiag en entier.

1) Pour lignes O2,O3 et R3 qui sont en "not file"


Citation:
R3 - URLSearchHook: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (...) (No version) -- (.not file.)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} Orphean Key
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Orphean Key
O3 - Toolbar: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (...) -- (.not file.)


Il faudrait que tu me fasses un export de 4 clés


Citation:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]



2) Ne touches pas à ces lignes, je suis en train de travailler sur ce module afin de pouvoir les filtrer !


Citation:
O23 - Service: (DcomLaunch) - Orphean Key
O23 - Service: (WdiServiceHost) - Orphean Key
O23 - Service: (WdiSystemHost) - Orphean Key


3) Cet affichage est normal, ces clès d'extension n'ont pas de processus d'exécution, il ne faut pas y toucher !


Citation:
O67 - Shell Spawning: <.bat> [HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.cmd> [HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.com> [HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.exe> [HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.bat> [HKCR\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.cmd> [HKCR\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.com> [HKCR\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.exe> [HKCR\..\open\Command] "%1" %* (.not file.)


4) Cet affichage en incorrecte pour les fichiers d'extension html 
O67 - Shell Spawning: <.html> [HKCU\..\open\Command] (.Not Key.)

5) Le module O88 repose sur un fichier changelog de l'outil ZHPScan. Certains éléments se retrouvent dans les autres modules.


NOTE : Il existe une documentation complète dans ZHPDiag.

A+ tchuss

--
Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Hors ligneAtex Le 24/06/2011 à 23:50 Profil de Atex Configuration de Atex

APVS

Merci, je patiente donc. cool

Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels