Se connecter / S'enregistrer
Votre question

résolu Virus HP

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Avril 2010 20:06:49

Bonjour,

Besoin d aide svp,
Antivir m a bloqué un virus que j ai mis en quarantaine mais celui ci reste tjrs sur mon écran,
voici la chose:

Dans le fichier 'C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprbUpdate.exe'
un virus ou un programme indésirable 'TR/Dldr.Agent.dkez' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

En l attente d une réponse
merci

Autres pages sur : resolu virus

2 Avril 2010 20:35:18

Salut,


je soupçonne une dernière variante de Vundo ! ...



Fait donc pour avoir un diagnostique précis du problème :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

  • Lance ZHPDiag depuis le raccourci du bureau .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > rends toi ensuite sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    Contenus similaires
    3 Avril 2010 09:27:57

    re,


    pas grand chose dans ce rapport ...



    commence par faire ceci :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\WINDOWS\system32\winav.exe
    O47 - AAKE:Key Export DP - "%windir%\system32\winav.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\winav.exe



    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    =========================

    2- Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    C:\Program Files\HP\Digital Imaging\Product Assistant\bin



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


    =============================

    3- Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\windows\system32\vidccleaner.exe

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...
    3 Avril 2010 10:21:25

    mouais ....


    On va utiliser Malwarebytes :


    mets le à jour ! .


    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    3 Avril 2010 11:45:54

    re,


    je pense qu'il s'agis d'un FP d'AntiVir en faite ... Si tu mis le fichier en quarantaine lors de l'alerte fais ceci


    * ouvre AntiVir / va sur l'onglet "administration" / clique sur "quarantaine"

    * selection la ligne qui correspondant à cette source > 'C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprbUpdate.exe'

    * puis clique sur le bouton " restaurer l'objet..." et valide la modife .....



    Ensuite analyse le fichier restauré sur VirusTotal :

    C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprbUpdate.exe

    ( coupe AntiVir si il donne des alertes )

    Poste le rapport et attends la suite ....
    3 Avril 2010 12:58:14

    bien ...


    c'est ce qu'il me semblait ... c'est un FP ...



    donc dans l'ordre :



    1- Envoie ce fichier au labo d'AntiVir :


    * rends toi sur cette page > http://analysis.avira.com/samples/index.php

    * remplie les champs correctement .

    * Au niveau de "type de fichier" choisis faux positif suspecté

    * Au niveau "type de réponse" choisis HTML et texte .

    * Puis clique sur parcourrir et va jusqu'à C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprbUpdate.exe

    * enfin clique "envoyer"


    Tu recevras par mail le résultat de leur recherche sur ce fichier .... tu me feras parvenir le lein obtenu ....


    =============================

    2- histoire de faire une dernière vérife :

    Télécharge DDS et sauvegarde-le sur ton bureau

    ! Désactive tout script bloquant, tel q'un anti-virus / anti spyware résident, des logiciels comme ad-block, noscript etc !

  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte ( DDS.txt ) va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi les pour analyse ...


    =======================
    3 Avril 2010 13:15:32

    re

    voici les rapports:

    dds:
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijKmK6S...

    attach:
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijQKm5l...

    antivir est en cour de recherche:

    merci de votre demande.

    Cet email a été généré automatiquement. Nous vous prions donc de bien vouloir ne pas y répondre. Nous vous recontacterons dès que l’analyse technique sera terminée.


    Vous pouvez également visualiser les résultats en ligne :
    http://analysis.avira.com/samples/details.php?uniqueid=...

    Vous pouvez obtenir un aperçu de vos précédentes demandes ici :
    http://analysis.avira.com/samples/details.php?uniqueid=...
    3 Avril 2010 13:24:32

    bien ...



    fait ceci dans l'ordre :


    1- Télécharge ToolsCleaner (de A.Rothstein) sur ton bureau .
    http://pc-system.fr/TC/ToolsCleaner2.exe

    ! Déconnecte toi et ferme bien toutes tes applications en cours !

    Double-clique sur le prg pour le lancer.

  • Clique sur Recherche et laisse le scan se terminer (cela peut être long).
  • Clique sur Suppression pour finaliser.
  • Clique sur quitter pour générer un rapport (et pas sur la croix rouge !).

    --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt

    Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
    Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .


    ( garde CCleaner et Malwarebytes : très utiles ! )

    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .

    ======================================

    3- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    4- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan en ligne avec " Panda " :

    > http://www.pandasecurity.com/homeusers/solutions/active...
    ( clique sur "scan your PC now" )

    tuto :
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


    poste moi le rapport obtenu pour analyse ...

    4 Avril 2010 12:09:27

    re,


    des cracks infectieux ! ... Encore des choses à contôler ....

    Par-contre il me faut le rapport de Toolscleaner stp ! ....
    4 Avril 2010 18:16:57

    Bien ....




    Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\program files\unlocker\ebay_shortcuts_1016.exe

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    c:\documents and settings\helpassistant\bureau\unlocker1.8.7.exe

    e:\exe\tsrh-wrar30.zip[azl_wrar28_kg.exe] -> tu extrais "azl_wrar28_kg.exe" de l'archive et tu l'analyses ensuite ( ne double cliques surtout pas dessus )

    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...





    4 Avril 2010 19:05:29

    Re,


    et bien ... il faut supprimer tout ce qu'as déniché Panda :



    Télécharge OTM (de Old_Timer) sur ton bureau :

    http://oldtimer.geekstogo.com/OTM.exe


    Double clique sur "OTM.exe" pour ouvrir le prg .

    Puis copie ce qui se trouve en citation ci-dessous,



    :Files
    c:\documents and settings\helpassistant\tsrh-wrar30.zip
    c:\documents and settings\yohann\tsrh-wrar30.zip
    e:\exe\winrar 3.00 fr final + crack (marche !)\winrar 3.00 fr final + crack (marche !).exe
    e:\exe\tsrh-wrar30.zip
    e:\exe\winrar 3.00 fr final + crack (marche !)\tsrh-wrar30.zip
    e:\exe\winrar 3.00 fr final + crack (marche !)\winrar 3.00 fr final + crack (marche !).zip
    e:\exe\winrar 3.00 fr final + crack (marche !)
    c:\program files\unlocker\ebay_shortcuts_1016.exe

    :Commands
    [purity]
    [emptytemp]
    [Reboot]



    et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
    Ne touche à rien d'autre !

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

    -> clique sur MoveIt! pour lancer le nettoyage .

    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    --> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
    ( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
    4 Avril 2010 20:25:59

    bien ....




    on finilise dans l'ordre :


    1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

    Version Console Java à jour > 6 Update 19

    -> télécharge et installe la dernière version directement ( l'ancienne version sera écraser au passage ) :
    http://www.commentcamarche.net/telecharger/telecharger-...
    ou http://www.java.com/fr/

    ( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
    avec l'outil Javara : http://www.commentcamarche.net/faq/sujet-15645-javara-i... )

    -> Enfin contrôle ceci :
    Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


    ================================

    2- Télécharge et installe le logiciel HijackThis :

    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.clubic.com/lancer-le-telechargement-51452-0-...

    > Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    " C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    tuto pour utilisation :
    Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    Clique sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Poste le rapport généré pour analyse ...
    5 Avril 2010 10:39:57

    Salut,


    Fait ceci maintenant :


    1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

    Relance Hijackthis mais clique sur " Do a scan only "
    Tu vois donc apparaitre le résultat du scan : une multitudes de lignes, chacunes précédées d'un carré vide .
    Tu vas cliquer sur les carrés des lignes suivantes :


    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\VistaCodecPack\QT\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"




    Tu cliques en bas sur le bouton FIX CHECKED et valides .



    2- Redémarre l'ordi .
    ( important pour que certaines modifs faites avec l'outil soient prises en compte )


    Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

    > Poste aussi un dernier rapport Hijackthis de contrôle ...
    5 Avril 2010 10:55:40

    bien ...



    suite et fin donc :



    1- ! Déconnecte toi et ferme bien toutes tes applications en cours !

    Double-clique sur ToolsCleaner pour le lancer.

  • Clique sur Recherche et laisse le scan se terminer (cela peut être long).
  • Clique sur Suppression pour finaliser.
  • Clique sur quitter pour générer un rapport (et pas sur la croix rouge !).

    --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt

    Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
    Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .


    ( garde CCleaner et Malwarebytes : très utiles ! )

    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .

    ======================================

    3- Re-purge la restauration système .
    * Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    * Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


    ======================================

    4- Créer un point de restauration de ton PC :

    Aller dans le Menu Démarrer puis dans Programmes,
    - Ensuite dans Accessoires et enfin dans Outils système,
    - Choisir "Restauration du système",
    - Sélectionner "Créer un point de restauration",
    - Cliquer sur "Suivant",
    - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
    << Point restauration sain >> .

    --> Cliquer sur "Créer" et le point de restauration se créé automatiquement.




    ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... :wahoo: 
    5 Avril 2010 16:59:52

    re,

    Citation :
    Le pc tourne bien a pars des petits soucis de connexion de temps en temps


    voir directement avec le FIA .... ;) 



    Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre du topic :

  • Clique, dans ton premier message, sur le bouton Editer ( en bas à droite du message initial ) .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.



    bonne suite à toi ... :hello: 


    A+
    5 Avril 2010 18:11:50

    re

    encore merci pour ton aide

    a+
    6 Avril 2010 10:39:39

    hello,


    pour info ... tu as eu la réponse d'Avira ici > http://analysis.avira.com/samples/details.php?uniqueid=...


    C'était bien un FP :

    Citation :
    Le fichier ‘hprbUpdate.exe’ a été classifié comme ‘FALSE POSITIVE’. Cela signifie que ce fichier n’est pas dangereux et qu’il s’agit d’un message erroné de notre part. Le modèle de détection est supprimé avec la mise à jour du fichier de définitions des virus (VDF) 7.10.6.8.




    :D 


    A+
    5 Mai 2010 17:41:13

    bonjour,me revoila,

    Je ne sais pas si je dois creer un nouveau sujet mais j ai de nouveau de petit souci avec le pc (ralentit).

    J ai fais un zhp diag comme d ecrit au par avant en esperant avoir bien fais ,que voici:
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijIwuPc...

    et panda:
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijXtsGo...

    pc infecté je pense car quelque pub s affiche et pourtant navigation internet seraine???
    bizare bizare!!!

    en l attente d une réponse
    cordialement

    merci
    5 Mai 2010 17:47:37

    hello,

    créer un nouveau sujet stp .... ;) 

    je ne pourrait pas d'aider pour le moment ...

    bonne chance ...

    ( pas grand chose dans les rapports ... possible infection MBR ... )


    A+

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS