[eliot1]

Bonjour Nicolas,Sur ce rapport zhpdiag:http://cjoint.com/?DIinknkFUAAPlus d'infectionHors sur le zhp: cinq malware relevés?Merci et @+

[NicolasCoolman]

Hello,Non il n'y a pas d'incohérence.Il faut savoir que la liste des détections donnée en fin de rapport ZHPDdiag ne concerne que les infections qui possèdent une fiche sur mon site.Dans le cas présent, la fiche "PUP.WebProtect" n'ést pas encore rédigée.Par ailleurs, un autre point à  préciser, ZHP est plus complet en matière de détection, car il s'appuit à  la fois sur les détections de ZHPDiag traitées à  la source et sur celles que donnent ses tables.Dans le cas présent, on peut voir que 4 lignes ont été détectées par ZHPDiag :

...O41 - Driver: (pcwatch) . (...) - C:\Windows\system32\Drivers\pcwatch.sys =>PUP.WebProtectO58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\pcwatch.sys [19840] =>PUP.WebProtectO64 - Services: CurCS - 04/10/1744 - C:\Windows\system32\Drivers\pcwatch.sys (pcwatch) .(...) - LEGACY_PCWATCH =>PUP.WebProtectSS - | Demand 10/07/1658 0 | (MyOSProtect) . (...) - C:\Program Files\Web Protect\MyOSProtect.exe =>PUP.WebProtect

Et la 5° par ZHP :

[HKLM\Software\WebProtect] => PUP.WebProtect

A+

[eliot1]

Merci Nicolas,Maintenant c'est plus clair.Mais quelle doit-être ma réaction?J'ai réalisé un script et il n'a pas d'influence.@+

[NicolasCoolman]

Tu veux dire que les 5 lignes ne sont supprimées par ZHPFix ?Postes -moi ton script.A+

[eliot1]

Hello Nicolas,Script ZHPFixFirewallRazEmptyPrefetchEmptyTempEmptyFlashO41 - Driver: (pcwatch) . (...) - C:\Windows\system32\Drivers\pcwatch.sys[HKLM\Software\WebProtect]O58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\pcwatch.sys [19840]O64 - Services: CurCS - 04/10/1744 - C:\Windows\system32\Drivers\pcwatch.sys (pcwatch) .(...) - LEGACY_PCWATCHSS - | Demand 10/07/1658 0 | (MyOSProtect) . (...) - C:\Program Files\Web Protect\MyOSProtect.exeSysretoreJ'ai constaté qu'il manquait un S à  Sysrestore.Résultat:Rapport de ZHPFix 2014.8.3.6 par Nicolas Coolman, Update du 03/08/2014Fichier d'export Registre :Run by martine at 08/09/2014 12:53:08High Elevated Privileges : OKWindows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)Corbeille vidée (00mn 03s)Dossier Prefetcher vidé========== Etat des services ==========PCWATCH Arrêté========== Clés du Registre ==========SUPPRIMà‰:³ HKLM\Software\WebProtectSUPPRIMà‰:³ Service: MyOSProtect========== Valeurs du Registre ==========Aucune Valeur Standard Profile: FirewallRaz :Aucune Valeur Domain Profile: FirewallRaz :========== Dossiers ==========SUPPRIMà‰S Temporaires Windows (0)SUPPRIMà‰S Flash Cookies (0)========== Fichiers ==========SUPPRIMà‰S Temporaires Windows (0) (0 octets)SUPPRIMà‰S Flash Cookies (0) (0 octets)SUPPRIMà‰ Redémarrage: c:\windows\system32\drivers\pcwatch.sys========== Autre ==========NON TRAITà‰ Sysretore========== Récapitulatif ==========2 : Clés du Registre2 : Valeurs du Registre2 : Dossiers3 : Fichiers1 : Etat des services1 : AutreEnd of clean in 00mn 06s========== Chemin de fichier rapport ==========C:\Users\martine\AppData\Roaming\ZHP\ZHPFix[R1].txt - 08/09/2014 10:20:13 [2390]C:\Users\martine\AppData\Roaming\ZHP\ZHPFix[R2].txt - 08/09/2014 11:12:12 [1544]C:\Users\martine\AppData\Roaming\ZHP\ZHPFix[R3].txt - 08/09/2014 12:53:12 [1338]Et pour le zhpdiag, tu en disposes avec ma première demande.Merci pour l'aide.

[eliot1]

Hello Nicolas,Pour la suite, j'ai sollicité l'helpé afin de faire examiner les deux fichiers par virustotal.Résultats:Re Eliott,Pour pc watch.sys cela m'indique : Fichier introuvable. Vérifiez le nom du fichier et réessayez.Pour MyOSProtect.ex je ne l'ai pas dans programme files (je n'ai pas cette rubrique), mais j'ai trouvé dans system32 :MyOSProtect, pour lequel Virustotal m'indique : Fichier non trouvé. Le fichier que vous recherchez n'est pas dans notre base de données.MyOSProtect.dll que j'ai analysé avec Virustotal. Voici le détail :SHA256: d9c830b9fb4b4ee92240212f69cdb6749636eca71ea0767443c214bf5f5b058eNom du fichier : MyOSProtect.dllRatio de détection : 0 / 55Date d'analyse : 2014-09-08 16:41:58 UTC (il y a 0 minute)00Probably harmless! There are strong indicators suggesting that this file is safe to use. Analyse File detail Informations supplémentaires Commentaires VotesAntivirus Résultat Mise à  jourAVG 20140908AVware 20140908Ad-Aware 20140908AegisLab 20140908Agnitum 20140908AhnLab-V3 20140908Antiy-AVL 20140908Avast 20140908Avira 20140908Baidu-International 20140908BitDefender 20140908Bkav 20140906ByteHero 20140908CAT-QuickHeal 20140904CMC 20140908ClamAV 20140908Comodo 20140908Cyren 20140908DrWeb 20140908ESET-NOD32 20140908Emsisoft 20140908F-Prot 20140908F-Secure 20140908Fortinet 20140908GData 20140908Ikarus 20140908Jiangmin 20140907K7AntiVirus 20140908K7GW 20140908Kaspersky 20140908Kingsoft 20140908Malwarebytes 20140908McAfee 20140908McAfee-GW-Edition 20140908MicroWorld-eScan 20140908Microsoft 20140908NANO-Antivirus 20140908Norman 20140908Panda 20140908Qihoo-360 20140908Rising 20140908SUPERAntiSpyware 20140908Sophos 20140908Symantec 20140908Tencent 20140908TheHacker 20140908TotalDefense 20140908TrendMicro 20140908TrendMicro-HouseCall 20140908VBA32 20140908VIPRE 20140908ViRobot 20140908Zillya 20140908Zoner 20140908nProtect 20140907(la case du milieu est cochée en vert de haut en bas)SHA256: d9c830b9fb4b4ee92240212f69cdb6749636eca71ea0767443c214bf5f5b058eNom du fichier : MyOSProtect.dllRatio de détection : 0 / 55Date d'analyse : 2014-09-08 16:41:58 UTC (il y a 0 minute)00Probably harmless! There are strong indicators suggesting that this file is safe to use. Analyse File detail Informations supplémentaires Commentaires VotesThe file being studied is a Portable Executable file! More specifically, it is a Win32 DLL file.Authenticode signature blockPublisher MyOSCompanyProduct MyOSProtect.dllFile version 2.2.9.10Comments MyOSProtect.dllPE header basic informationTarget machine Intel 386 or later processors and compatible processorsCompilation timestamp 2014-09-01 15:28:14Entry Point 0x00004875Number of sections 5PE sectionsName Virtual address Virtual size Raw size Entropy MD5.text 4096 73838 74240 6.63 d9fcc2735a7435172c28226fd77f8b10.rdata 81920 27091 27136 6.95 fa387aff7581c400b0f00b8654cb4d18.data 110592 12320 5120 3.04 ccf5c509420cd04b73a38971f0c73a8c.rsrc 126976 1264 1536 4.50 551fe453b1f98c2b1eb5782cb58e848f.reloc 131072 6440 6656 4.34 ad44ae61d18f80c14547b2eb783eb789Number of PE resources by typeRT_MANIFEST 1RT_VERSION 1Number of PE resources by languageHEBREW DEFAULT 1ENGLISH US 1SHA256: d9c830b9fb4b4ee92240212f69cdb6749636eca71ea0767443c214bf5f5b058eNom du fichier : MyOSProtect.dllRatio de détection : 0 / 55Date d'analyse : 2014-09-08 16:41:58 UTC (il y a 0 minute)00Probably harmless! There are strong indicators suggesting that this file is safe to use. Analyse File detail Informations supplémentaires Commentaires VotesFile identificationMD5 f2e5a0cc408405c595a9cdbf854a38e1SHA1 d911eb5507070609f9fc2392b495b9b20a3bb30fSHA256 d9c830b9fb4b4ee92240212f69cdb6749636eca71ea0767443c214bf5f5b058essdeep6144:bxdBKiCF4RWTBdfix5YnqwuqhO11VtkaUXDSSRDX08wc:HAiCFyWTbkYNdhOfkoSRDkZcimphash 37e35b1dcce06539a722fd4189e806aaFile size 297.6 KB ( 304776 bytes )File type Win32 DLLMagic literalPE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bitTrID Win32 Executable MS Visual C++ (generic) (67.3%)Win32 Dynamic Link Library (generic) (14.2%)Win32 Executable (generic) (9.7%)Generic Win/DOS Executable (4.3%)DOS Executable Generic (4.3%)TagspedllVirusTotal metadataFirst submission 2014-09-04 13:37:31 UTC (il y a 4 jours, 3 heures)Last submission 2014-09-08 16:41:58 UTC (il y a 7 minutes)Noms du fichier MyOSProtect.dllMyOSProtect.dllMyOSProtect.dllcb13c37b2198eba7f3216ebf3ba713caa772a6649a334124c73618f5c05816d3Advanced heuristic and reputation enginesSymantec reputation Suspicious.InsightJ'ai aussi MyOSProtect.offSHA256: d18b173378ebe1c17356b03b5c27fc41a16a64d7d7a6189de07df9d8f6a4dc74Nom du fichier : MyOSProtectOff.iniRatio de détection : 0 / 54Date d'analyse : 2014-09-08 16:53:35 UTC (il y a 0 minute)00 Analyse Informations supplémentaires Commentaires VotesAntivirus Résultat Mise à  jourAVG 20140908AVware 20140908Ad-Aware 20140908AegisLab 20140908Agnitum 20140908AhnLab-V3 20140908Antiy-AVL 20140908Avast 20140908Avira 20140908Baidu-International 20140908BitDefender 20140908Bkav 20140906ByteHero 20140908CAT-QuickHeal 20140904CMC 20140908ClamAV 20140908Comodo 20140908Cyren 20140908DrWeb 20140908ESET-NOD32 20140908Emsisoft 20140908F-Prot 20140908F-Secure 20140908Fortinet 20140908GData 20140908Ikarus 20140908Jiangmin 20140907K7AntiVirus 20140908K7GW 20140908Kaspersky 20140908Kingsoft 20140908Malwarebytes 20140908McAfee 20140908McAfee-GW-Edition 20140908MicroWorld-eScan 20140908Microsoft 20140908NANO-Antivirus 20140908Norman 20140908Panda 20140908Qihoo-360 20140908Rising 20140908SUPERAntiSpyware 20140908Sophos 20140908Symantec 20140908Tencent 20140908TheHacker 20140908TotalDefense 20140908TrendMicro 20140908VBA32 20140908VIPRE 20140908ViRobot 20140908Zillya 20140908Zoner 20140908nProtect 20140907(toutes les cases du milieu sont cochées en vert)SHA256: d18b173378ebe1c17356b03b5c27fc41a16a64d7d7a6189de07df9d8f6a4dc74Nom du fichier : MyOSProtectOff.iniRatio de détection : 0 / 54Date d'analyse : 2014-09-08 16:53:35 UTC (il y a 0 minute)00 Analyse Informations supplémentaires Commentaires VotesFile identificationMD5 c58f76ae2eb659213181a8abcc68b2e0SHA1 353ed65c3ff49ffeeb74208a2deb98a63c0db2fbSHA256 d18b173378ebe1c17356b03b5c27fc41a16a64d7d7a6189de07df9d8f6a4dc74ssdeep48:WxVNdc+1tX1FH4gGZjAsymHZ9rmKpGuLFKHhDHi3jsDrI/G:WbnX1N4WMZ9iKpfLFKRJ0GFile size 2.2 KB ( 2280 bytes )File type unknownMagic literaldataTrID Unknown!VirusTotal metadataFirst submission 2014-09-08 16:53:35 UTC (il y a 1 minute)Last submission 2014-09-08 16:53:35 UTC (il y a 1 minute)Noms du fichier MyOSProtectOff.iniVoilà  ce que j'ai.....cela pourra-t-il vous aider ???Merci encore de prendre soin de mon pc. Merci pour ta patience Eliott car je ne suis pas douée....mais j'ai fouillé dans tous les recoins de mon ordi (c'est vraiment du chinois pour moi tout à§a !!!)Excuses-moi Eliott, mais j'ai dà» m'absenter cette après-midi pour aller voir ma maman qui est à¢gée.Amitiés :flower:

[NicolasCoolman]

Hello,C'est curieux regarde une analyse du même fichier ressource :https://www.virustotal.com/fr/file/6adf ... alysis/Nom du fichier : MyOSProtect.dllRatio de détection : 10 / 54Date d'analyse : 2014-08-27 13:39:57 UTC (il y a 1 semaine, 5 jours)

Ad-Aware Gen:Variant.Alureon.3 20140827BitDefender Gen:Variant.Alureon.3 20140827Emsisoft Gen:Variant.Alureon.3 (B) 20140827F-Secure Gen:Variant.Alureon.3 20140827GData Gen:Variant.Alureon.3 20140827Ikarus Win32.SuspectCrc 20140827MicroWorld-eScan Gen:Variant.Alureon.3 20140827Qihoo-360 Win32/Trojan.271 20140827Symantec WS.Reputation.1 20140827TrendMicro-HouseCall TROJ_GEN.R047H09HK14

Mais bon si son fichier n'est pas détecté en malware, autant ne pas y toucher...A+

[eliot1]

Bonjour Nicolas,Merci