Service d'Aide et d'Assistance Micro-informatique à l'Utilisateur (SAAMU)

Bonjour,

Sous XP.
Concernant l'analyse Zeb Help Process, est il nécessaire de la lancer dans la session administrateur et ou éventuellement en mode sans échec ?
Sous Vista ?

Merci

Hello!
Non, en mode administrateur cela ne mange pas de pain ! clic droit sur le raccourci et Exécuter en mode administrateur

Suite :
Ce qui je pense peu poser problème.
O57 - SDR:Search Drivers Rootkit - D:\WINDOWS\system32\drivers\fad.sys
O58 - SDL:System Drivers List - D:\WINDOWS\system32\drivers\fad.sys
Malware (2)

O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} -
O43 - CFD:Common File Directory ----D- D:\Program Files\FreeTime
Inconnu (2)

Merci

Hello!
Nous ne faisons pas d'analyse partielle. Il faut mettre tout le rapport

Bonjour,
Voici mon ZHPDiag :

!	"PapyNet":
	Rapport supprimé

Malware :
O58 - SDL:[MD5.1A26DA5FC7BE1C822E52C7E21BAC2DEB] - 18/02/2002 - 20:22:14 ---A- D:\WINDOWS\system32\drivers\fad.sys => Infection Diverse (AdWare.Win32.WSearch.g)

Inconnu
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} -
O43 - CFD:Common File Directory ----D- D:\Program Files\FreeTime

Inutile ?
O4 - HKLM\..\Run: [D066UUtility] D:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE => TWAIN driver®CanoScan D660U flatbed
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE => Microsoft®Windows NT
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE => Microsoft®Windows NT
O23 - Service: Service Bonjour (Bonjour Service) - D:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer®Bonjour for Windows

Superflu
O44 - LFC:[MD5.292A19F59E2C2A581E5AE4A5AAEDA1A1] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfc009.dat => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.DEFE546F4B36DC2BF17421D9000C3C90] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfc00C.dat => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.EC31620ACCE6726428C7A073C3AF2C3D] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfh009.dat => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.DFDDCF9C153B4561785EC4C1F1818A8D] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfh00C.dat => Microsoft NT Shutdown Errors
O64 - Services: CurCS - Service Bonjour (Bonjour Service) - LEGACY_BONJOUR_SERVICE => Apple Bonjour Service
O64 - Services: CurCS - Service Google Update (gupdate1ca6b932ce3479c) (gupdate1ca6b932ce3479c) - LEGACY_GUPDATE1CA6B932CE3479C => Service Google Update

Vecteur d'infection
O42 - Logiciel: eMule => eMule PeerToPeer
O43 - CFD:Common File Directory ----D- D:\Program Files\eMule => eMule PeerToPeer

Mes remarques :
O42 - Logiciel: Microsoft Baseline Security Analyzer 1.2.1 => Microsoft BaseLine Security Aucun intérêt
Il me semble avoir vu aussi des traces de kério
Dans votre profil vous dites avoir le parefeu de Windows mais je trouve ceci :
O43 - CFD:Common File Directory ----D- D:\Program Files\Fichiers Communs\Agnitum Shared => Agnitum Outpost Firewall


Version perimée
O42 - Logiciel: Java 6 Update 6 => Sun Microsystems

Point par point :

Version périmée :
O42 - Logiciel: Java 6 Update 6 => Sun Microsystems
Cela me surprend


Peut-être faut-il désinstallé la version 6/6 si c'est dans le possible? Pourtant il me semble avoir fait cette mise à jour récemment et avoir suivi les instructions !

Mes remarques :
O42 - Logiciel: Microsoft Baseline Security Analyzer 1.2.1 => Microsoft BaseLine Security Aucun intérêt
Il me semble avoir vu aussi des traces de kério
Dans votre profil vous dites avoir le parefeu de Windows mais je trouve ceci :
O43 - CFD:Common File Directory ----D- D:\Program Files\Fichiers Communs\Agnitum Shared => Agnitum Outpost Firewall

Je confirme pare feu Windows activé.
Concernant Kerio je l'ai utilise en essai donc cela doit être des restants de traces restant mais non actif sur mon système.
Concernant Outpost je n'ai jamais pu l'installer complètement j'ai donc abandonné (Pour l'instant).

Vecteur d'infection :
O42 - Logiciel: eMule => eMule PeerToPeer
O43 - CFD:Common File Directory ----D- D:\Program Files\eMule => eMule PeerToPeer
Ok

Superflu :
O44 - LFC:[MD5.292A19F59E2C2A581E5AE4A5AAEDA1A1] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfc009.dat => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.DEFE546F4B36DC2BF17421D9000C3C90] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfc00C.dat => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.EC31620ACCE6726428C7A073C3AF2C3D] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfh009.dat => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.DFDDCF9C153B4561785EC4C1F1818A8D] - 15/01/2010 - 07:21:11 ---A- D:\WINDOWS\System32\perfh00C.dat => Microsoft NT Shutdown Errors
O64 - Services: CurCS - Service Bonjour (Bonjour Service) - LEGACY_BONJOUR_SERVICE => Apple Bonjour Service
O64 - Services: CurCS - Service Google Update (gupdate1ca6b932ce3479c) (gupdate1ca6b932ce3479c) - LEGACY_GUPDATE1CA6B932CE3479C => Service Google Update
Que fais-je?

Inutile ?
O4 - HKLM\..\Run: [D066UUtility] D:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE => TWAIN driver®CanoScan D660U flatbed
C'est mon scan Canon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE => Microsoft®Windows NT
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE => Microsoft®Windows NT
O23 - Service: Service Bonjour (Bonjour Service) - D:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer®Bonjour for Windows iTunes
Que fais-je?

Inconnu :
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - Que fais-je?
O43 - CFD:Common File Directory ----D- D:\Program Files\FreeTime
Pour info
Program Files\FreeTime\FormatFactory
Format Factory est un logiciel de conversion de fichiers multimédia (Gratilog.net, rien que des freewares)

Malware :
O58 - SDL:[MD5.1A26DA5FC7BE1C822E52C7E21BAC2DEB] - 18/02/2002 - 20:22:14 ---A- D:\WINDOWS\system32\drivers\fad.sys => Infection Diverse (AdWare.Win32.WSearch.g)
Que fais-je?

Merci

Hello!
Je ne sais pas ce que vous avez installé comme produits ZHP alors :
Vous connaissez ZHP Fix ?
Non ? regardez ceci : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Pour Java, il faut en effet désinstaller par ajout/suppression de programme les anciennes versions qui ne sont pas supprimées par l'installation des nouvelles versions.

Pour tout ce qui des traces restantes dans la bdr, c'est le résultat de produits mal désinstallés ou qui "s'accrochent"
Donc s'il n'existe pas de "karchers" c'est par pragmatisme qu'on s'en sort

Pour Bull51.
JAVA : La dernière version de JAVA 6 est la 18 et non la 17 !!

!	"PapyNet":
	C'est vrai mais la 18 n'est pas encore proposée automatiquement. Il faut aller à la chasse pour la trouver

Bonjour,

PapyNet a écrit:Hello!
Je ne sais pas ce que vous avez installé comme produits ZHP alors :

ZebHelpProcess

PapyNet a écrit:Hello!
Vous connaissez ZHP Fix ?

Non je découvre ! et cela m'intéresse.

• L'Analyseur de rapport est quelque peu différent de HijackThis semble -il !

ou je trouve cela
O58 - SDL:[MD5.1A26DA5FC7BE1C822E52C7E21BAC2DEB] - 18/02/2002 - 20:22:14 ---A- D:\WINDOWS\system32\drivers\fad.sys

Malware (1)??
Que cela représente t'il ?

D'où ma question est il nécessaire d'utiliser le nettoyeur de rapport ZHPFix ?
Et la c'est une inconnue pour moi.

Hello!
Il est nécessaire de le fixer avec ZHPFix !
J'utilise plus HijackThis car le produit n'évolue plus depuis au moins 2 ans
Maintenant s'il figure dans un rapport Hijackthis vous pouvez en effet le fixer avec !

Pour mbam, il faut mettre le rapport ici AVANT de vous lancer dans l'opération de nettoyage
Car perso je le trouve très agressif dans ses actions correctives, donc prudence prudence !

Bonsoir,
Allons a l'essentiel :

Analyse Malwarebytes' Anti-Malware :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3580
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

19/01/2010 18:56:07
mbam-log-2010-01-19 (18-56-07).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 567760
Temps écoulé: 3 hour(s), 3 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Hello!
Vous voyez la différence entre mbam et zhp !
mbam ne cherche que les malwares, zhp est un véritable outil d'analyse, qui fait ressortir d'autres choses !!!

Bonjour,

PapyNet a écrit:Hello!
Vous voyez la différence entre mbam et zhp !
mbam ne cherche que les malwares, zhp est un véritable outil d'analyse, qui fait ressortir d'autres choses !!!

Oui c'est ce qui m'intrigue !
Autres-choses???

Liste disponible seulement en version Helper ?
Avez vous ce type d'outil?


Quand je creuse un peu, j'ai cette info, faut il en tenir compte oui ou non?


Parano suis-je ou trop curieux?
Ou sans tenir uniquement à l'analyse de Analyse Malwarebytes' Anti-Malware !
Merci.

Hello!
Oui, nous sommes en partenariat avec l'auteur de ZHP, et nous avons droit au produit complet, comprenant les analyses
L'auteur considère que cette fonction ne peut être faite que par des personnes ayant une certaine expertise et pouvant conseiller sur les procédures correctives à mettre en oeuvre

Pour la seconde question, je pense qu'il faut mieux s'en débarasser. Certainement que le fichier n'existe plus ce qui fait que mbam ne trouve rien.
C'est un service ou un driver qui est certainement référencé dans la base de registre !
Vous vérifiez que le fichier n'existe pas
et si c'est le cas, vous suivez la piste d'aller dans la base de registre et vous supprimez la clef.
Seconde solution, c'est autoruns, onglet drivers et onglet services, et vous supprimez la ligne qui y fait référence

Pour la 3ème question, est parano celui qui installe des couches de sécurité les unes par dessus les autres !
mbam analyse les infections
zhp analyse en profondeur votre système et fait son analyse par catégories.
Ces 2 produits ne sont pas comparables, sauf pour les "saloperies"

PapyNet a écrit:Hello!
Pour la seconde question, je pense qu'il faut mieux s'en débarasser. Certainement que le fichier n'existe plus ce qui fait que mbam ne trouve rien.
C'est un service ou un driver qui est certainement référencé dans la base de registre !
Vous vérifiez que le fichier n'existe pas

Il existe D:\WINDOWS\system32\drivers

Je me suis rappelé :
Dans Panneau de configuration j'ai ceci y a t'il un rapport ?
Ce que contient fad.sys à part un imbroglio de hiéroglyphes.
Je raccourci :
This program cannot be run in DOS mode.

” RtlQueryRegistryValues ‘ IoWriteErrorLogEntry IoAllocateErrorLogEntry È KeInitializeSpinLock • IofCompleteRequest : ExAllocatePoolWithTag N MmMapLockedPages ø InterlockedExchange ú InterlockedIncrement i IoReleaseCancelSpinLock  ExfInterlockedRemoveHeadList ú RtlAnsiStringToUnicodeString Ú RtlxAnsiStringToUnicodeSize p NlsMbCodePageTag a RtlInitAnsiString ~ ExfInterlockedInsertTailList f MmUnmapIoSpace œ memmove M MmMapIoSpace ntoskrnl.exe i NdisDeregisterProtocol NdisRegisterProtocol t NdisFreeMemory q NdisFreeBuffer + NdisAllocatePacket & NdisAllocateBuffer ) NdisAllocateMemory v NdisFreePacketPool x NdisFreeSpinLock ' NdisAllocateBufferPool / NdisAllocateSpinLock , NdisAllocatePacketPool ï NdisOpenAdapter ? NdisCloseAdapter r NdisFreeBufferPool u NdisFreePacket ¬ NdisUnchainBufferAtFront NdisReleaseSpinLock $ NdisAcquireSpinLock NdisSend ú NdisQueryBuffer " NDIS_BUFFER_TO_SPAN_PAGES û NdisQueryBufferOffset ¢ NdisInterlockedAddUlong NdisTransferData ¦ NdisInterlockedInsertTailList NdisRequest NDIS.SYS
€ 8 € P

V E R S I O N _ I N F O ½ ïþ ?  S t r i n g F i l e I n f o l 0 4 0 9 0 4 B 0 J C o m p a n y N a m e B r o a d c o m C o r p o r a t i o n P F i l e D e s c r i p t i o n F r a m e A c c e s s D r i v e r , F i l e V e r s i o n 2 . 0 . 3 0 I n t e r n a l N a m e F A D . S Y S ª C L e g a l C o p y r i g h t C o p y r i g h t ( c ) 1 9 9 9 - 2 0 0 1 B r o a d c o m C o r p o r a t i o n , a l l r i g h t s r e s e r v e d . 8 O r i g i n a l F i l e n a m e F A D . S Y S H P r o d u c t N a m e F r a m e A c c e s s D r i v e r 0 P r o d u c t V e r s i o n 2 . 0 . 3 D V a r F i l e I n f o $ T r a n s l a t i o n ° @ @4 @ @p À Àø À
Àp < Event logging enabled for Frame Access Driver (FAD)
( Frame Access Driver has started
( Frame Access Driver has stopped
Opening handle to %1.
Closing handle to %1.
$ Unable to register with NDIS
, Unable to instantiate the main device
( Unable to create symbolic link
@ Could not find NDIS binding information in the registry.
0 Could not re-bind to a miniport again.

D:\Source\5308M\fad\objfre\i386\FAD.pdb

C'est un produit DELL:
Broadcom Advanced Control
Broadcom Advanced Control Suite 2 (BACS2) est un utilitaire intégré qui fournit des informations utiles sur la carte réseau installée sur votre ordinateur. L'utilitaire BACS2 permet également de réaliser des tests, des diagnostics et des analyses détaillés sur la carte, ainsi que de modifier les valeurs des propriétés et d'afficher des statistiques du trafic. Consultez la rubrique Broadcom Advanced Control Suite 2 pour obtenir des informations et des instructions.

http://support.ap.dell.com/support/edocs/network/P42481/fr/intro.htm