Étiqueté : ,

Vous lisez 88 fils de discussion
  • Auteur
    Messages
    • #24638
      Electricien 69
      Participant

      Bonjour Nicolas,

      j’espère que tu vas bien.

      Je ne trouve aucun endroit pour poser des feedback. As tu un lien pour te les remonter ?

      Edit :

      Ligne de One Drive de Microsoft en Onage :

      O4 – GS\Programs [RJ]: OneDrive.lnk . (…) C:\Users\RJ\AppData\Local\Microsoft\OneDrive\OneDrive.exe [Unsigned]
      O4 – GS\Programs [Public]: OneDrive.lnk . (…) C:\Users\RJ\AppData\Local\Microsoft\OneDrive\OneDrive.exe [Unsigned]

       

      Ligne de Sonic II :  Interface de la carte son des cartes mères Asrog :

      O90 – PUC: “7B781A6E9490EAA4FBB675F93D6F5ED5” [HKLM] . (.Sonic Studio Plugin.)
      O90 – PUC: “F4AFD0F222A6726439289FF81077FB05” [HKLM] . (.Sonic Radar II.) — C:\WINDOWS\Installer\{2F0DFA4F-6A22-4627-9382-F98F0177BF50}\icon.ico

       

      Merci

    • #24639
      Nicolas Coolman
      Maître des clés

      Hello Electricien,

      Je mets ton sujet en épinglé qui pourra servir pour d’autres.

      Ce sera pris en compte avec la prochaine version.

      Amicalement

       

       

    • #24651
      Electricien 69
      Participant

      Super,

      j’ai diffusé sur quelques sites ce lien. On verra les retours.

    • #24669
      Electricien 69
      Participant

      Hello,

      Zhpsuite se fait chopper par les antivirus et le par-feu de Windows !

      Je pense que tu peux le signaler pour qu’on modifie le FP. Je l’ai signalé de mon côté.

      Du coup, j’ai ceci, issu du rapport FRST

      Chromium :

      C:\Users\Claude\AppData\Local\chromium\Application\chrome.exe

      Nvidia :

      HKLM\…\Run: [ShadowPlay] => C:\WINDOWS\system32\nvspcap64.dll [1767712 2016-11-14] (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Fichier non signé]

      Booking qui s’incruste sur tous les navigateurs :

      (bookingDesktopApp.) [Fichier non signé] C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe
      Task: {87FEC231-8D1E-4A39-AF6A-0908EF07F3D7} – System32\Tasks\bookingDesktopAppUpdateTaskMachineCore => C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe [102400 2020-03-30] (bookingDesktopApp.) [Fichier non signé]
      Task: {F4836D14-E702-455F-890D-497B98F3FD55} – System32\Tasks\bookingDesktopAppUpdateTaskMachineUA => C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe [102400 2020-03-30] (bookingDesktopApp.) [Fichier non signé]
      FF Plugin-x32: @bookingdesktopapp.com/bookingDesktopApp Update;version=3 -> C:\Program Files (x86)\bookingDesktopApp\Update\1.3.99.0\npbookingDesktopAppUpdate3.dll [2020-03-30] (bookingDesktopApp.) [Fichier non signé]
      FF Plugin-x32: @bookingdesktopapp.com/bookingDesktopApp Update;version=9 -> C:\Program Files (x86)\bookingDesktopApp\Update\1.3.99.0\npbookingDesktopAppUpdate3.dll [2020-03-30] (bookingDesktopApp.) [Fichier non signé]
      S2 bookingdesktopapp; C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe [102400 2020-03-30] (bookingDesktopApp.) [Fichier non signé]
      S3 bookingdesktopappm; C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe [102400 2020-03-30] (bookingDesktopApp.) [Fichier non signé]

      Merci

    • #24676
      Nicolas Coolman
      Maître des clés

      Hello,

      Merci pour l’info !

      J’ai fais une soumission à Microsoft.

      Cdt

       

    • #25265
      jipid
      Modérateur

      Bonsoir Nicolas,

      Je fais suite à ton Email de réponse.

      Tout d’abord, je souhaite te trouver en bonne santé, avec le déconfinement, tu peux aller respirer l’air du large sur les quais de la Joliette ou, au bord des calanques.

      Bon.

      Après quelques recherches il s’avère que la ligne.

      043-CFD-15/05/2020 …..C:\User\joipid\AppData\LocalLow\lgDump, qui apparaissait sur la copie écran que j’avais précédemment communiqué, provenait de la conf de Firefox.

      C’est corrigé et rien à voir avec une quelque oncle infection.

      Par contre, O43 – CFD: 15/05/2020 – [0] D — C:\Program Files\ModifiableWindowsApps  serait, parait-il, relatif à un PB de télé chargement de la versions 1909 de Windows 10, donc bug.     (A voir ?)

      En ce qui concerne les lignes à propos elle m’inquièterait davantage,

      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified

      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified

       

      D’après ce que j’ai trouvé ce serais relatif à une infection qui m’aurais modifiée des paramètres.

      Bien évidemment, je n’ai pas de saletés connues sur mon ordi.

      Venant juste de l’installer, cela m’étonnerait, DISM et scannow sont clean.

      Je joins mon Diag histoire que tu en sache plus plus …

      https://www.cjoint.com/c/JErtgrMeRyo

      Les autres lignes, (à-propos) sont relatives à des raccourcis.

      De toute façon, arrive la version 2004 avec son lot de surprises !

      Bien évidemment, si j’ai un PB sur mon ordi, je verrais les détails avec Gérard par exemple.

      Te remerciant par avance et m’excusant du dérangement.

      Je te souhaite une bonne soirée.

      Amicalement J.P

    • #25264
      jipid
      Modérateur

      Bonsoir Nicolas,

      Je fais suite à ton Email de réponse.

      Tout d’abord, je souhaite te trouver en bonne santé, avec le dé confinement, tu peux aller respirer l’air du large sur les quais de la Joliette ou, au bord des calanques.

      Bon.
      Après quelques recherches il s’avère que la ligne.
      043-CFD-15/05/2020 …..C:\User\joipid\AppData\LocalLow\lgDump, qui apparaissait sur la copie écran que j’avais précédemment communiqué, provenait de la conf de Firefox.
      C’est corrigé et rien à voir avec une quelque oncle infection.
      Par contre, O43 – CFD: 15/05/2020 – [0] D — C:\Program Files\ModifiableWindowsApps serait, parait-il, relatif à un PB de télé chargement de la versions 1909 de Windows 10, donc bug. (A voir ?)
      En ce qui concerne les lignes à propos elle m’inquièterait davantage,
      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified

      D’après ce que j’ai trouvé ce serais relatif à une infection qui m’aurais modifiée des paramètres.
      Bien évidemment, je n’ai pas de saletés connues sur mon ordi.
      Venant juste de l’installer, cela m’étonnerait, DISM et scannow sont clean.
      Je joins mon Diag histoire que tu en sache plus plus …

      Bonsoir Nicolas,

      Je fais suite à ton Email de réponse.

      Tout d’abord, je souhaite te trouver en bonne santé, avec le déconfinement, tu peux aller respirer l’air du large sur les quais de la Joliette ou, au bord des calanques.

      Bon.

      Après quelques recherches il s’avère que la ligne.

      043-CFD-15/05/2020 …..C:\User\joipid\AppData\LocalLow\lgDump, qui apparaissait sur la copie écran que j’avais précédemment communiqué, provenait de la conf de Firefox.

      C’est corrigé et rien à voir avec une quelque oncle infection.

      Par contre, O43 – CFD: 15/05/2020 – [0] D — C:\Program Files\ModifiableWindowsApps  serait, parait-il, relatif à un PB de télé chargement de la versions 1909 de Windows 10, donc bug.     (A voir ?)

      En ce qui concerne les lignes à propos elle m’inquièterait davantage,

      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified

      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified

      D’après ce que j’ai trouvé ce serais relatif à une infection qui m’aurais modifiée des paramètres?

      Bien évidemment, je n’ai pas de saletés connues sur mon ordi.

      Venant juste de l’installer, cela m’étonnerait, DISM et scannow sont clean.

      Je joins mon Diag histoire que tu en sache plus plus …

      https://www.cjoint.com/c/JErtgrMeRyo

      Les autres lignes, (à-propos) sont relatives à des raccourcis.

      De toute façon, arrive la version 2004 avec son lot de surprises !

      Bien évidemment, si j’ai un PB sur mon ordi, je verrais les détails avec Gérard par exemple.

      Te remerciant par avance et m’excusant du dérangement.

      Je te souhaite une bonne soirée.

      Amicalement J.P

       

    • #26476
      Nicolas Coolman
      Maître des clés

      Hello J.P.,

      Pas d’inquiétude pour ces 2 lignes, elles entrent dans le domaine de l’information :
      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
      [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified

      Cdt

    • #26967
      Griffon
      Participant

      Bonjour Nicolas,

       

      Je ne sais pas si je suis dans le bon forum mais je me pose la question suivante.

      Après avoir effectué les phases d’analyse et de diagnostic, j’arrive à l’étape de nettoyage.

      Lorsque je souhaite démarrer le script de nettoyage, une mise en garde s’affiche indiquant que le script doit être validé par un expert sécurité.

      Or, je ne suis pas un expert et je ne sais pas valider le script. Donc, je ne continue pas le nettoyage …

      Je trouve cela dommage de ne pas aller jusqu’au bout du processus mais je n’ai pas envi de faire des suppressions dommageables …

      Comment puis-je m’y prendre ?

      Merci

      Griffon.

       

    • #26971
      Nicolas Coolman
      Maître des clés

      Hello Griffon,

      Postez-moi votre rapport ZHPDiag afin que je valide votre nettoyage.

      Rendez-vous sur le site de CJoint et donnez le lien d’hébergement obtenu.
      https://www.cjoint.com/

      Amicalement
      Nicolas Coolman

    • #26976
      Griffon
      Participant

      <div class=”gmail_default”>Bonjour,</div>
      <div class=”gmail_default”></div>
      <div class=”gmail_default”>Le voici :</div>
      <div class=”gmail_default”>https://www.cjoint.com/c/<wbr />JHvpwht2pOo</div>
      <div class=”gmail_default”></div>
      <div class=”gmail_default”>Merci</div>
      <div class=”gmail_default”>Griffon</div>

    • #26977
      Nicolas Coolman
      Maître des clés

      Hello,

      OK pour le rapport ZHPDiag, vous pouvez faire le nettoyage avec le script proposé par ZHPSuite.

      A+

    • #27003
      Griffon
      Participant

      Merci Nicolas !

      J’ai une autre question : une boîte de dialogue m’indique que la version du logicielle de ZHPSuite est supérieure à 30 jours or j’ai téléchargé la dernière version il y a 3 jours (celle du 30/07/2020). On dirait qu’elle ne s’est pas bien mis à jour ?

      Merci pour tes conseils.

      Griffon.

       

    • #27004
      Nicolas Coolman
      Maître des clés

      Hello,

      La dernière version de ZHPsuite date du 23 Août 2020.

      Il doit s’agir d’un problème de fichier cible de raccourci.

      Faire cela :

      1) Supprimer le raccourci sur le Bureau.
      2) Télécharger la dernière version sur le site :
      3) Lancer la nouvelle version, un nouveau raccourci sera créé

      Les prochaines mise à jour se feront normalement !

      Nicolas

    • #27532
      g3n
      Participant

      Re, Nicolas

      autre chose :

      Dans la partie —\\ NUMEROS DE SÉRIE de ZHPSuite à la fin, tous les fichiers de chaque programme ont le même MD5 ce qui est impossible il doit y avoir une erreur dans ta boucle de lecture des MD5 ou un oubli de réinitialisation de la valeur.

      c/f rapport complet :

      https://up.security-x.fr/file.php?h=R6fae235b168cb3ecec7d7c21be23a1e1

      Topic :

      https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/6600341-point-d-entree-introuvable

    • #27534
      g3n
      Participant

      Re les messages ont du mal à passer 3è fois que je le reformule il doit rester bloqué en modération je ne sais pas pourquoi

      (désolé pour le doublon)

    • #27535
      jipid
      Modérateur

      Bonsoir g3n.

      Ayant eu dans le passé des soucis similaires, message qui ont du mal à passer,

      Je m’étais connecter en Protocole internet version 6 (TCP/IPv6)

      Amicalement,J.P :wacko:

       

    • #27537
      g3n
      Participant

      Boonjour

      non j’ai du mettre un lien non accepté par le serveur NC.eu

      peut-être celui de cnet ou textup……….

    • #27539
      g3n
      Participant

      non j’ai retenté rien à faire il ne passe pas faut attendre que nicolas le débloque

      certainement que pour les nouveaux inscrits ou les réinscrits, un post n’est limité qu’ à un lien

    • #27538
      g3n
      Participant

      JE retente

      Je disais donc à Nicolas qu’ il est possible qu’il ait fait une erreur dans la boucle de lecture MD5 des fichiers ou un oubli de réinitialisation de la valeur car tous les fichiers d’ un même programme ont le même MD5 dans la partie :

      —\\ NUMEROS DE SÉRIE

      en fin de rapport

      c/f rapport complet :

      https://up.security-x.fr/file.php?h=R6fae235b168cb3ecec7d7c21be23a1e1

      topic :

      https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/6600341-point-d-entree-introuvable

    • #27540
      Nicolas Coolman
      Maître des clés

      Hello Gen,

      Dans le module “Numéro de série“,  ce n’est pas le MD5 du fichier qui s’affiche, mais bien le “Serial number” du propriétaire du fichier.

      Exemple pour nVidia
      62E745E92165213C971F5C490AEA12A5

      C=US, S=California, L=Santa Clara, O=NVIDIA Corporation, OU=IT-MIS, CN=NVIDIA Corporation
      Serial: 62e745e92165213c971f5c490aea12a5

       

    • #27549
      g3n
      Participant

      ah d’ accord je comprends mieux ma méprise :)

      merci à toi :)

      autre chose, dans un rapport j’ai vu un de mes tools (Segurazo Killer) que j avais fait pour détruire ségurazo et pourtant signé g3n-h@ckm@n classé en infection Segurazo ^^

      https://www.aht.li/3515489/SegurazoKiller.exe

    • #27551
      Nicolas Coolman
      Maître des clés

      Hello Gen,

      Donne-moi la ligne du rapport détectée que je puisses lever le FP.

    • #27552
      g3n
      Participant

      oups ca date pas d’ hier lol mais si je retombe dessus je n’y manquerai pas sinon base-toi sur ma signature numérique c’est la meme sur tous les tools

      estampillé à partir d’ une dll symantec en ligne

      https://timestamp.verisign.com/scripts/timestamp.dll

       

      plus d’info sur cette page virustotal onglet details milieu de page

      https://www.virustotal.com/gui/file/0e82c1c079a2f7b09fb14833ca01a04ed27f27af9ef6698d9e3f7fa947cdc0e9/details

    • #27554
      g3n
      Participant

      Et je rajoute :

      tu peux contacter malwarebytes aussi à ce propos :

    • #27599
      g3n
      Participant

      Salut Nicolas

      et pour la suite, visiblement certaines infections arrivent à changer leur chemin de démarage et arrivent à redémarrer à partir de la quarantaine des tools ( faut mettre une extension supplémentaire aux fichiers ) :

      ———- | Processes closed

      8980 | [Owner : Système | Parent : 5708 ()] – (. – .) – (1.0.0.1) = C:\Users\thiba\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\csrss.exe

      ———- | Tasks

      Suppression : csrss

    • #27802
      Anonyme
      Inactif

      Hello Nicolas

      pourquoi dans ZHPSuite , la recherche se fait uniquement  sur 30 jours ?   pourquoi  pas 20 ou 40, c’est très aléatoire , non? y a t il une raison précise ?

    • #27804
      Nicolas Coolman
      Maître des clés

      Hello Ernesto,

      Pourquoi dans ZHPSuite , la recherche se fait uniquement  sur 30 jours ?   pourquoi  pas 20 ou 40, c’est très aléatoire , non? y a t il une raison précise ?

      Non, aucune raison particulière, c’est juste un délai qui me semble raisonnable pour recenser les derniers fichiers créés sur une station.

    • #27842
      Anonyme
      Inactif

      Hello

      admettons qu’on est crée un fichier infecté  , il y a 32 jours , il ne va pas être pris en compte

    • #27843
      Nicolas Coolman
      Maître des clés

      Hello Ernesto,

      D’où l’intérêt de faire régulièrement une analyse de son système !

    • #27844
      Anonyme
      Inactif

      j’ai des doutes (encore une fois ) mais justifiés   :whistle: , tu sais très bien que la majorité des utilisateurs ne font que très rarement une analyse régulière  de leur système. Tu vas me répondre à juste titre que c’est leur problème et pas le tien. Mais  lorsqu’ils viennent par la force des choses se faire désinfecter, le délai des 30 jours doit être dépassé depuis longtemps.

    • #27846
      Nicolas Coolman
      Maître des clés

      En cas d’infection sérieuse avec dysfonctionnement du système, d’une part je doute que l’antivirus résident le laisse passer,
      d’autre part je doute que l’utilisateur se manifeste dans un délais supérieur à 30 jours.
      Normalement il demande une assistance le jour même, voire les quelques jours qui suivent.

    • #27847
      Anonyme
      Inactif

      Je te trouve bien optimiste, mais dans l’absolu tu as raison.   j’ai un ami qui fait du grand n’importe quoi avec son pc , P2P, streaming, téléchargement sauvage , et tutti quanti , et il se plaignait depuis longtemps de sérieux problèmes sur son pc , mais ça ne l’inquiétait pas plus que ça, son pc mettait un quart d’heure pour s’ouvrir, mais il s’en foutait , je lui ai fait comprendre qu’une analyse de son pc serait on ne peut plus judicieuse, ce qu’il s’est résolu à faire à force d’insister Je ne te dis pas le résultat ……..il y avait plus de lignes infectées que de lignes légitimes. Tout ça pour dire que si certains s’inquiètent à juste titre d’un dysfonctionnement de leur système beaucoup d’autres s’en moquent royalement, et n’ont même pas conscience des dangers potentiels que peuvent représenter  leur pc .

    • #27848
      Nicolas Coolman
      Maître des clés

      Oui, il peut toujours y avoir des exceptions, il y a même des utilisateurs qui désactivent Windows defender et qui n’ont aucun antivirus d’installé.

    • #27849
      Anonyme
      Inactif

      oui, mais là, ça ne relève plus du sens commun ou de l’informatique, mais plutôt d’un soutien psychologique dans la mesure ou cette façon d’agir laisse sous -entendre des pensées suicidaires

    • #27891
      g3n
      Participant

      Salut nicolas , pour les personnes utilisant OSArmor comme protection (comme moi qui n’ai d’ailleurs que ça je préfère prévenir que guérir) n’ont pas la pensée de le désactiver comme l’ AV.

      bref suite au test de ZHPSuite il est possible qu’ il y ait des blocages sur ZHP avec OSArmor (NoVirusThanks)

      Log :

      Date/Time: 01/10/2020 18:57:42
      Process: [6544]C:\Windows\SysWOW64\cscript.exe
      Process MD5 Hash: 13783FF4A2B614D7FBD58F5EEBDEDEF6
      Parent: [9120]C:\Windows\System32\cmd.exe
      Rule: BlockVbsScripts
      Rule Name: Block execution of .vbs scripts
      Command Line: C:\Windows\SysWOW64\cscript.exe “C:\Windows\SysWOW64\slmgr.vbs” /dlv
      Signer:
      Parent Signer:
      User/Domain: gen-hackman/DESKTOP-2FADNO8
      System File: True
      Parent System File: True
      Integrity Level: High
      Parent Integrity Level: High

    • #27906
      Nicolas Coolman
      Maître des clés

      Hello,

      OSArmor (NoVirusThanks) est déjà authentifié comme légitime dans mes tables.

    • #27907
      g3n
      Participant

      Re,

      ce n’est absolument pas ce dont je parlais, désolé mais tu t’es mépris

      je disais simplement qu’ OSArmor pourrait bloquer certaines actions des ZHP, nottamment l exeution de scripts .vbs ou execution de fichiers systemes par des processus parents inconnus ^^

    • #27908
      Nicolas Coolman
      Maître des clés

      Effectivement certains modules de ZHPDiag peuvent être impactés par le fonctionnement d’OSArmor.

    • #27909
      g3n
      Participant

      Raison pour laquelle je n’utilise pas d’ execution de fichiers .vbs ni d’aucun executable tiers……

    • #27910
      Nicolas Coolman
      Maître des clés

      Je viens de vérifier, je ne l’utilise que pour recueillir l’informations sur la licence Windows. Donc ce n’est pas très perturbant pour le rapport.

    • #27911
      g3n
      Participant

      oui c’est ce que j ‘ai pensé après coup :)

      c’est toujours du Delphi ?

    • #27912
      Nicolas Coolman
      Maître des clés

      Non, c’est de l’Autoscript avec la fonction Run.

      Local $sMoteurDeScript = @SystemDir & ‘\cscript.exe’
      Local $sFichierLicense = @SystemDir & “\slmgr.vbs”
      Local $sFile = $sDirZHP & ‘\Licence.txt’
      Local $iPID = Run( @Comspec & ‘ /c ‘ & $sMoteurDeScript & ‘ “‘ & $sFichierLicense & ‘”‘ & ‘ /dlv >’ & $sFile , “”, @SW_HIDE)

    • #27913
      g3n
      Participant

      ok peut-être que ceci peut te donner des idées c’est plus orienté objet que l’utilisation de slmgr tu en fais ce que tu veux c’est juste pour te montrer  comment je contrôle l’état licenciel de windows :)

      If _ServiceRunning(”, ‘winmgmt’) Then
      Global $ActiveCheck, $result
      Local $oWMIService = ObjGet(“winmgmts:\\.\root\cimv2”)
      If IsObj($oWMIService) Then
      Local $oCollection = $oWMIService.ExecQuery(“SELECT Description, LicenseStatus, GracePeriodRemaining FROM SoftwareLicensingProduct WHERE PartialProductKey <> null”)
      If IsObj($oCollection) Then
      For $oItem In $oCollection
      Switch $oItem.LicenseStatus
      Case 0, 2 To 4, 6
      $result = “Windows NOT Activated”
      Case 1
      $result = “Windows Activated”
      Case 5
      $result = “Possible Fixed Windows”
      EndSwitch
      FileWriteLine($txt, $result & @CRLF)
      Next
      EndIf
      EndIf
      Endif

      PS : dommage qu’ il n’y ait pas de balise code parce que là ca fait pas beau lol

    • #27914
      Nicolas Coolman
      Maître des clés

      Oui, le passage par l’objet te donne des indications mais ce n’est pas aussi complet que le contenu du fichier de licence.

      #cs
      Microsoft (R) Windows Script Host Version 5.8
      Copyright (C) Microsoft Corporation. Tous droits réservés.

      Version du service de licences logicielle: 6.3.9600.16497

      Nom: Windows(R), Core edition
      Description : Windows(R) Operating System, OEM_DM channel
      ID d’activation: c7c00280-b24d-4e82-89ca-4f1288eb1d9e
      ID d’application: 55c92734-d682-4d71-983e-d6ec3f16059f
      PID ‚tendu: 06401-02586-185-984756-02-1036-9600.0000-0842015
      Canal de la clé de produit (Product Key): OEM:DM
      Identificateur d’installation: 403880XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      URL de licence d’utilisation : https://activation-v2.sls.microsoft.com/SLActivateProduct/SLActivateProduct.asmx?configextension=DM
      URL de validation: https://validation-v2.sls.microsoft.com/SLWGA/slwga.asmx
      Cl‚ de produit partielle: M4FWQ
      tat de la licence: avec licence
      Nombre de réinitialisations de Windows restant: 998
      Nombre de réinitialisations de la référence (SKU) restant: 1000
      Heure approuvé: 02/06/2015 13:19:51
      #ce

    • #27916
      g3n
      Participant

      je le sais bien mais souci c est que j’ai jamais réussi à faire sortir le contenu de la fenêtre slmgr dans un txt si j’y étais arrivé le reste serait un jeu d’ enfant pour tout retranscrire et empêcher que certaines informations sensibles soient publiques, j’ai essayé par tous les moyens mais au résultat de sortie : feuille blanche lol

      PS :

      ce matin je regarde un rapport sur un topic et en lisant celui-ci, j’ai été particulièrement surpris par la différence de détection de signature et la signature indiquée :

      SR – Boot [07/12/2019] [ 166712] (vsmraid) . (.VIA Technologies Inc.,Ltd.) – C:\WINDOWS\System32\drivers\vsmraid.sys =>.Microsoft®
      SR – Boot [07/12/2019] [ 412176] Intel RAID Controller Wi (iaStorV) . (.Intel Corporation.) – C:\WINDOWS\System32\drivers\iaStorV.sys =>.Microsoft®

    • #27971
      ZorKas
      Participant

      Bonjour Nicolas,

      Je viens de tester ta dernière version: ZHPDiag v2020.10.21.246 Par Nicolas Coolman (2020/10/21) donc je te remonte les infos:

      Lors de l’analyse le rapport démontre 2 Hijacker.Hosts ci-dessous:

      —\ ÉTUDE DU FICHIER HOSTS (3) – 0s
      O1 – Hosts: 178.255.86.194 download.comodo.com =>Hijacker.Hosts
      O1 – Hosts: 178.255.86.194 http://www.download.comodo.com =>Hijacker.Hosts
      ~ Nombre lignes détournées ou corrompues 2/24 (Hosts file redirected or corrupted)

      rapport zhpsuite

      En fait il s’agit des serveurs légitimes de Comodo pour le téléchargement des bases antivirales de CIS (Comodo Internet Security). Pour info dans les versions Béta le fichier hosts doit être modifié manuellement avant l’installation.

      Vraiment bien cette version ZHPSuite, du bon travail, merci à toi ! :good:

      Cordialement

       

       

    • #27973
      Nicolas Coolman
      Maître des clés

      Hello Patrick,

      OK, je vais prendre en compte l’adresse IP de comodo.

      https://whois.domaintools.com/178.255.86.194

    • #28081
      g3n
      Participant

      hello visiblement mon message relatant la détection par erreur de capicom.dll comme adware n ‘est pas passé il a du rester coincé dans l’ approuv. de WordPress

      C:\Windows\Capicom.dll

      https://www.virustotal.com/gui/file/a95c379fc9755d2f814423d416efffa2351814925f0285f077955e572bef35da/detection

      si tu veux étudier le fichier

      https://gen-hackman.serveftp.com/Temp/CapiCom.dll

       

    • #28083
      g3n
      Participant

      ah j ‘ai compris c est le lien de mon serveur qui bloque c’est pour ca que mon message passe pas je te l ‘envoie par cjoint alors

      Détection :

      C:\Windows\capicom.dll => Adware

      Virustotal :

      https://www.virustotal.com/gui/file/a95c379fc9755d2f814423d416efffa2351814925f0285f077955e572bef35da/detection

      Si tu veux étucier le fichier

      https://www.cjoint.com/doc/20_10/JJDrhcX2vsA_CapiCom.zip

    • #28075
      g3n
      Participant

      Salut Nicolas

      je te signale un mauvaise détection :

      C:\WINDOWS\capicom.dll =>Adware.Suspect

      https://www.virustotal.com/gui/file/a95c379fc9755d2f814423d416efffa2351814925f0285f077955e572bef35da/detection

      si tu veux étudier le fichier :

      https://gen-hackman.serveftp.com/Temp/CapiCom.dll

    • #28067
      Firebird
      Participant

      Bonjour Nicolas,

      Firefox, bien qu’installé, n’est pas recensé dans le rapport ZHPDiag.

      Extrait du rapport ZHPDiag
      ---\\ NAVIGATEURS INTERNET (2) - 0s
      ~ MSIE: Internet Explorer v11.572.19041.0
      ~ OBIE: Microsoft Edge v86.0.622.51
      
      Extrait du rapport FRST
      Navigateur par défaut: FF
      
      

      Wondershare est indiqué par ZHPSuite , mais non recensé comme PUP par ZHPSuite.
      https://www.pcsansvirus.com/pages/supprimer-wondershare.html

      Extrait du Rapport ZHPDiag
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]:Wondershare Helper Compact.exe =>.Wondershare

      ---\\ RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS (4) - 0s
      https://nicolascoolman.eu/2017/09/12/origine-lignes-orphelines/  =>.SUP.Orphan
      https://nicolascoolman.eu/wp-content/uploads/2017/12/26/sup-advancedsystemcare/  =>SUP.Optional.AdvancedSystemCare
      https://nicolascoolman.eu/forum/Topic/warning-eventlogapp-evenement-dapplication/  =>Warning.EventLogApp
      https://nicolascoolman.eu/forum/Topic/warning-eventlogsys-evenement-systeme/  =>Warning.EventLogSys
      
      

      Rapports

      :bye:

       

      @+
      Patricia

    • #28068
      Firebird
      Participant

      Bonjour Nicolas,

      J’ai envoyé un message sur ZHPSuite, mais il n’apparaît pas, peut-être le temps de la modération.

      Je signalais que WonderShare est recensé dans le rapport ZHPDiag mais non listé comme PUP dans les éléments racapitulatifs.

      De plus, FF, navigateur par défaut n’est pas recensé par ZHPDiag, vérifié dans plusieurs rapports.

      Rapports
      https://cjoint.com/doc/20_10/JJCwn1t0r47_ZHPDiag.txt
      https://cjoint.com/doc/20_10/JJCwox6lDb7_FRST.txt
      https://cjoint.com/doc/20_10/JJCwnyHSry7_Addition.txt

      :bye:

      @+
      Patricia

    • #28084
      Nicolas Coolman
      Maître des clés

      Hello g3n,

      Il y a une détection suspecte de cette ressource dynamique car elle n’est pas installée dans son dossier par défaut “System32”
      C:\WINDOWS\capicom.dll =>Adware.Suspect

      Puisque la ressource est saine, tu peux ignorer la détection, mais je préfère conserver la mise en garde…

    • #28085
      g3n
      Participant

      entendu :)

      perso je ne l’ai pas dans le system32, c’est une dll qui sert à signer un fichier numériquement car elle fonctionne avec signtool.exe

    • #28087
      Nicolas Coolman
      Maître des clés

      Hello g3n,

      perso je ne l’ai pas dans le system32, c’est une dll qui sert à signer un fichier numériquement car elle fonctionne avec signtool.exe

      J’utilise aussi signtool.exe, et cette DLL n’est pas présente à la racine de Windows mais bien dans system32.

    • #28086
      Firebird
      Participant

      Bonjour Nicolas

      As-tu vu les deux messages que j’ai postés hier ?

      Question à propos de ZHPsuite

      Question à propos de ZHPsuite

      :bye:

      @+
      Patricia

    • #28088
      Nicolas Coolman
      Maître des clés

      Hello Firebird,

      Oui, j’avais lu tes messages !

      Pour Firefox,
      Vérifie si tu as maintenant Firefox avec la v248 que je viens de mettre en ligne.

      Pour Wondershare,
      Wondershare n’est pas un logiciel publicitaire, donc il reste qualifié en légitime et n’est pas listé dans les éléments trouvés.

    • #28101
      Firebird
      Participant

      Légitimité de WonderShare

      Bonjour Nicolas

      OK pour la légitimité de WonderShare.

      En revanche, Firefox installé demeure absent du rapport ZHPDiag,  avec ZHPSuite dernière version téléchargée à l’instant.

      Exemple : Extrait d’un rapport ZHPDiag effectué à l’instant.
      https://www.cjoint.com/doc/20_10/JJEwNkCIFq7_ZHPDiag.txt

      :bye:

      @+
      Patricia

    • #28106
      Nicolas Coolman
      Maître des clés

      Bonjour Nicolas

      OK pour la légitimité de WonderShare.

      En revanche, Firefox installé demeure absent du rapport ZHPDiag,  avec ZHPSuite dernière version téléchargée à l’instant.

      Exemple : Extrait d’un rapport ZHPDiag effectué à l’instant.
      https://www.cjoint.com/doc/20_10/JJEwNkCIFq7_ZHPDiag.txt

      :bye:

    • #28107
      Nicolas Coolman
      Maître des clés

      Hello Firebird,
      Il faudrait que tu m’indiques si tu as une clé de registre sous “Uninstall” qui fait référence à “Mozilla” :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
      HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall

      Si oui, me faire un export de clé.

    • #28115
      Firebird
      Participant

      Hello Nicolas

      Oui, j’ai une Clé de Registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

      https://cjoint.com/doc/20_10/JJFvLPDkIN7_Mozilla-clé.txt

      :bye:

       

      @+
      Patricia

    • #28116
      Nicolas Coolman
      Maître des clés

      Hello Firebird,

      Merci pour l’export, je vais travailler dessus, je te tiens au courant dès que j’ai un résultat.

    • #28124
      Firebird
      Participant

      Hello Nicolas,

      Merci du retour.

      Le scan ZHPSuite que j’ai effectué sur une machine de test n’est qu’un exemple, mais je constate la même anomalie sur d’autres rapports ZHPDiag que j’analyse en désinfection, quel que soit l’OS.

      Je ne peux pas demander aux DA un export de clé. :)

      https://www.cjoint.com/doc/20_11/JKbvGy72HX7_ZHPDiag-pas-FF.txt

      Dans le rapport suivant, Firefox est bien recensé parmi les navigateurs.

      https://www.cjoint.com/doc/20_11/JKbvGkI0iH7_ZHPDiag-FF.txt
      Est-ce que ZHPDiag ne détecte que FF 32 bits ?
      ---\\ NAVIGATEURS INTERNET (4) - 1s
      ~ GCIE: Google Chrome v86.0.4240.111
      ~ MFIE: Mozilla Firefox 82.0.2 (x86 fr)
      ~ MSIE: Internet Explorer v11.1139.18362.0
      ~ OBIE: Microsoft Edge v86.0.622.51
      
        :bye: 

      @+
      Patricia

    • #28126
      Firebird
      Participant

      Re Nicolas

      Autre exemple de rapport ZHPDiag avec FF recensé dans les navigateurs, et encore une fois, c’est la version FF 32 bits. :-)
      https://www.cjoint.com/doc/20_11/JKbv0ZKdt57_ZHPDiag-FF2.txt

      @+
      Patricia

    • #28127
      Firebird
      Participant

      Hello Nicolas,

      Un exemple qui contredit ma piste de l’architecture 32 bit/64 bit, exemple déniché à l’instant.

      https://www.cjoint.com/doc/20_11/JKbw21W0vL7_ZHPDiag-ff3.txt

      ---\\ NAVIGATEURS INTERNET (3) - 0s
      ~ GCIE: Google Chrome v86.0.4240.111
      ~ MFIE: Mozilla Firefox v79.0.0.7506
      ~ MSIE: Internet Explorer v11.0.10240.17443
        :bye: 

      @+
      Patricia

    • #28130
      Nicolas Coolman
      Maître des clés

      Hello Firebird,

      C’était bien lié à une redirection 64bits avec une compilation 32bits. Mozilla Firefox et d’autres navigateurs comme Waterfox et Slimbrowser étaient concernés.

      —\ NAVIGATEURS INTERNET (10) – 0s
      ~ GCIE: Google Chrome v86.0.4240.111
      ~ MFIE: Mozilla Firefox 82.0.2 (x64 fr)
      ~ MFIE: Waterfox Classic 56.3 (x64 en-US)
      ~ OBIE: SlimBrowser v11.0.7.0
      ~ MSIE: Internet Explorer v11.572.19041.0
      ~ OBIE: BraveSoftware Brave-Browser v86.1.16.68
      ~ OBIE: Slimjet v20.0.4.0
      ~ OBIE: Vivaldi v2.5.1525.48
      ~ OBIE: Microsoft Edge v86.0.622.56
      ~ OBIE: Comodo Dragon v83.0.4103.116

      La v249 devrait résoudre ce cas d’affichage.

    • #28147
      Firebird
      Participant

      Hello Nicolas,

      Merci pour ta recherche et ta réponse rapide. :good:

      C’était bien lié à une redirection 64bits avec une compilation 32bits.

      Si j’ai bien compris,  cette erreur concernait Firefox installé en 32 bits sur un OS 64 bits, ce que valident mes rapports ci-dessus. :bye:

      @+
      Patricia

    • #29055
      Firebird
      Participant

      Bonjour Nicolas

      J’ai envoyé un message il y a quelques minutes, mais il ne s’affiche pas sur le forum. :bye:

      @+
      Patricia

    • #29056
      Firebird
      Participant

      Hello Nicolas,

      Je renvoie mon message, puisqu’il semble perdu.

      1- Rapport ZHPDiag.txt
      HKLM\SOFTWARE\Wow6432Node\Classes\Installer\Products\0BAB99B394BE1DD4080E99CBBEE9E3DB =>Trojan.Bifrose HKLM\SOFTWARE\Wow6432Node\Classes\Installer\Features\0BAB99B394BE1DD4080E99CBBEE9E3DB =>Trojan.Bifrose

      2- Mon script FRST
      DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Installer\Products\0BAB99B394BE1DD4080E99CBBEE9E3DB
      DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Installer\Features\0BAB99B394BE1DD4080E99CBBEE9E3DB

      3- Rapport Fixlog.txt
      “HKLM\SOFTWARE\Wow6432Node\Classes\Installer\Products\0BAB99B394BE1DD4080E99CBBEE9E3DB” => non trouvé(e) “HKLM\SOFTWARE\Wow6432Node\Classes\Installer\Features\0BAB99B394BE1DD4080E99CBBEE9E3DB” => non trouvé(e)

      4- Rapport ZHPCleaner-R-.txt
      SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\Installer\Products\0BAB99B394BE1DD4080E99CBBEE9E3DB [Bifrost Extension 2.0.5.1 for Maya 2019] =>Trojan.Bifrose
      SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bifrost Extension 2.0.5.1 for Maya 2019 [] =>Trojan.Bifrose

      Rapports complets
      https://www.cjoint.com/doc/20_12/JLAdgqOX8r7_ZHPDiag.txt
      https://www.cjoint.com/doc/20_12/JLzwq6Byof7_Fixlog.txt
      https://www.cjoint.com/doc/20_12/JLAdfOIDOS7_ZHPCleaner-R-.txt

      => Sais-tu pourquoi

      • les clés détectées en Trojan.Bifrose par ZHPDiag ne sont pas trouvées par le script FRST
      • ZHPCleaner supprime une et une seule des deux clés détectées par ZHPDiag ?

      Merci de ton aide. :bye:

      @+
      Patricia

    • #29057
      Nicolas Coolman
      Maître des clés

      Hello Firebird,

      Il s’agit d’une fausse détection de Bifrost Extension 2.0.5.1 for Maya 2019, je fais le nécessaire pour les prochaines versions

      Merci pour l’info !

    • #29074
      Firebird
      Participant

      Bonjour Nicolas,

      Il s’agit d’une fausse détection de Bifrost Extension 2.0.5.1 for Maya 2019, je fais le nécessaire pour les prochaines versions

      Peux-tu préciser ?
      Dans quel outil y a-t-il une fausse détection, ZHPDiag ou ZHPCleaner ?

      ZHPDiag détecte des clés, je les scripte, mais FRST ne les trouve pas.
      Puis ZHPCleaner supprime clé*: [X64] HKLM\…

      Je ne comprends pas les différences de résultats dans ces trois outils. :bye:

      @+
      Patricia

    • #29075
      Nicolas Coolman
      Maître des clés

      En fait ZHPDiag et ZHPCleaner travaillent sur les même bases de données.

    • #29076
      Firebird
      Participant

      Bonsoir,

      En fait ZHPDiag et ZHPCleaner travaillent sur les même bases de données.

      D’accord, mais justement, dans l’exemple cité ci-dessus, ZHPDiag et ZHPCleaner ne détectent pas les même lignes.

      Et FRST ne trouve pas les lignes détectées par ZHPDiag, c’est ce qui m’a alertée. :bye:

      @+
      Patricia

    • #29077
      Nicolas Coolman
      Maître des clés

      Pour pouvoir étudier exactement ce cas il faudrait que je puisses me placer en situation réelle avec cette version Bifrost d’installée sur une machine. Mais bon comme c’est une fausse détection, je ne pense pas que cela soit bien utile de passer du temps dessus.

      Sinon pour FRST, je n’ai pas d’idée car je ne l’utilise pas !

    • #29078
      Firebird
      Participant

      Hello Nicolas,

      Effectivement, comme c’est une fausse détection, que tu vas corriger, il n’est pas utile de s’appesantir.
      Je te remercie pour ta réponse rapide. :bye:

      @+
      Patricia

    • #31968
      Vincent_l17
      Participant

      Bonjour,

      Je viens vers vous pour demander un peu d’aide, je ne sais pas si cette rubrique est approprié pour ma requête, je la déplacerais évidemment si ce n’est pas le cas !

      Voilà, j’ai téléchargé et utilisé le logiciel ZHPSuite, ai suivi le tutoriel en ligne et ai procédé au nettoyage avec ZHPFix, mon problème étant simple, j’ai malencontreusement supprimé les rapports générés, et n’ai pas put me rendre dans l’outil de gestion de quarantaine pour supprimer “entièrement” les fichiers,
      je voulais savoir si il existe un moyen de remédier à cela et/ou si c’est important ou pas !

      Merci d’avance du temps accordé !

      Vincent

    • #31969
      Nicolas Coolman
      Maître des clés

      Hello,

      Vous pouvez consulter les rapports dans le dossier :
      C:\Users\Votre nom de cession\AppData\Roaming\ZHP\

      Tous les éléments mis en quarantaine par ZHPFix se trouve là :
      C:\Users\Votre nom de cession\AppData\Roaming\ZHP\Qurantine\ZHPFix\

      Si les dossiers “File“, “Folder” et “Register” sont vides, cela signifie que tous les éléments de la quarantaine ont été supprimés.

    • #31971
      Vincent_l17
      Participant

      Merci pour votre réponse Nicolas !

      Effectivement ils sont vides ! Merci beaucoup !

      Je me demandais aussi si utiliser l’outil de Point de Restauration Système ferait revenir l’intégralité de ce qui a été supprimé par ZHPFix ?
      Je dois avouer ne pas être très renseigné sur le sujet et c’est après avoir fait toutes ces manipulations que j’ai lu sur diverses forums qu’il valait mieux ne pas tout effacer seul sans connaissances, et demander l’avis d’un expert quant aux rapport..

      Revenir a un point précédant corrigerait le tir en vue de faire un nettoyage guidé qui serait plus propre ?

      Merci encore

    • #31973
      Alain Mas
      Modérateur

      Je confirme qu’il faut conserver la quarantaine, c’est d’ailleurs pour cela qu’elle est créée. Il faut aussi valider la création du point de restauration du système.

      Si un dysfonctionnement du système intervient après avoir réalisé la suppression d’éléments, il faut d’abord effectuer la restauration de la quarantaine de ZHPFix. Cela va remettre à leur place tous les fichiers/dossiers déplacés et recréer les clés de registre correspondantes.

      Si malgré cela, le système ne retrouve pas sa stabilité, alors le point de restauration permettra de revenir à un fonctionnement stable de votre système comme il était avant votre opération de nettoyage.

    • #31974
      Nicolas Coolman
      Maître des clés

      Hello,

      J’ajoute qu’un forum d’entraide est disponible pour vous aider dans la lecture des rapports et la rédaction de scripts de nettoyage avec différents utilitaires.

      Forum d’assistance

    • #31975
      Vincent_l17
      Participant

      Bonjour Alain, et merci tout les deux pour vos conseils !

      Je pense utiliser l’outil de restauration système, a première vue, rien de grave ou d’instable, mais j’ai diverses petits soucis comme une application de 13 GB indiqué maintenant à plus de 700 GB, ainsi que diverses petites choses comme ça.

      Dans tout les cas je vais passer par la restauration et surement réessayer ZHPSuite en compagnie d’experts grâce à votre lien Nicolas.

      Merci encore, et bonne journée !

    • #38507
      eliot
      Participant

      Bonjour @toutes et @tous,
      Hello Nicolas,
      Pourquoi Zhpdiag ne déclare pas Windows 11 mais comme windows 10?
      Merci et bonne journée

    • #38508
      Nicolas Coolman
      Maître des clés

      Hello eliot,

      C’est quelle build de Windows 11 ?

    • #38512
      eliot
      Participant

      Hello Nicolas,

      22000.469

      Merci

      Pièces jointes:
    • #38514
      Nicolas Coolman
      Maître des clés

      22000.469

      OK, je prend en compte cette build de Windows 11 pour la prochaine version.

    • #38515
      eliot
      Participant

      Merci et bonne continuation

    • #38511
      eliot
      Participant

      Hello,

      Voici:

    • #40062
      Nicolas Coolman
      Maître des clés

      Hello,

      Pour des raisons de sécurité, le lien direct sur le server de mon logiciel n’est plus accessible.

      Les mises à jour ne seront donc plus possibles avec votre ancienne version.

      1) Supprimez le raccourci du logiciel de votre Bureau
      2) Téléchargez à nouveau le logiciel pour obtenir un nouveau raccourci sur le Bureau.

      ZHPCleaner : https://nicolascoolman.eu/download/telechargez-zhpcleaner-gratuit/
      ZHPuite : https://nicolascoolman.eu/download/telechargez-zhpsuite-gratuit/
      ZHPFix : https://nicolascoolman.eu/download/zhpfix-script-manager/
      ZHPDiag : https://nicolascoolman.eu/download/zhpdiag/

      3) Lancez le logiciel depuis le nouveau raccourci.

Vous lisez 88 fils de discussion
  • Vous devez être connecté pour répondre à ce sujet.
Retour en haut