Bonsoir,

Je viens vous voir pour l'ordinateur du travail de ma femme qui rencontre des problèmes sur internet et des alertes de norton.

Quand elle fait des recherches sur internet des pages s'ouvrent ou l'objet de la recherche descend et des liens bizarre se mettent à la place.

je pense qu'elle a une infection.

je vous joins les rapports demander avant de poster.

https://www.cjoint.com/c/JKuuIoi3fVe

https://www.cjoint.com/c/JKuuSrUq4xe

https://www.cjoint.com/c/JKuuTb7n1le

https://www.cjoint.com/c/JKuuTGxQw4e

merci pur votre aide

3ss

Bonjour,

je regarde tes rapports et je reviens vers toi

Didier

re

Lance Farbar

Copies les lignes suivantes dans le cadre rouge

start::

CloseProcesses:

CreateRestorePoint:

U3 idsvc; pas de ImagePath

ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier

ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier

ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier

ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Pas de fichier

SearchScopes: HKU\S-1-5-21-3663639657-3149721540-3742204704-1000 -> {AFBCB7E0-F91A-4951-9F31-58FEE57A25C4} URL = hxxps://nortonsafe.search.ask.com/web?q={searchTerms}&l=dis&prt=NGC&chn=1000&geo=FR&ver=22.19.8.65&locale=FR_fr&guid=7972e80b-3590-49fd-926e-263f0fa76819&doi=2018-12-19&o=APN11913&gct=kwd&qsrc=2869

StartRegedit:

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

@=""

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]

[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

@=""

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]

EndRegedit:StartRegedit:

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

@=""

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]

[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

@=""

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]

EndRegedit:

FirewallRules: [{609C3FA2-364E-44BF-9359-918FBD1AAD67}] => (Allow) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe => Pas de fichier

FirewallRules: [{E95C5F3F-C26B-4DCA-B8A6-D45BDEEA4907}] => (Allow) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe => Pas de fichier

DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GoogleChromeAutoLaunch_87586AFB3C259245656BFDB38882D63D

DeleteValue: HKEY_USERS\S-1-5-21-3663639657-3149721540-3742204704-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GoogleChromeAutoLaunch_87586AFB3C259245656BFDB38882D63D

DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION|DriverUpdate.exe

EmptyTemp:

end::

Corrige et heberge le rapport fixlog

Didier

Bonjour, merci pour l'aide

lorsque j'appuie sur corriger il me met un message

aucun fichier fixlist.txt n'a ét trouvé

le fichier fixlist.txt doit être dans le même dossier que l'outil

j'ai crée le fichier txt

voilà le rapport

https://www.cjoint.com/c/JKvokRYcZUa

tu n'as rien a créer

frst a été Exécuté depuis C:\Users\michelle\Desktop

le fichier fixlist.txt doit être dans le même dossier que l'outil

c'est ce que je ne comprend pas je n'ai pas ce fichier txt sur le bureau , j'ai bien les trois fichiers + un fichier FRST, mais pas de fixlist

c'est bizarre et du coup il veut pas corriger

du coup je ne sais pas comment faire

le fichier fixlist c'est mon script

copies les lignes de start:: à end::

dans le cadre rouge

j'attend le rapport fixlog

avec end:: ça marche mieux

voilà le rapport

https://www.cjoint.com/c/JKvqrfGjxQa

merci

on continue

Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/telechargez-zhpcleaner-gratuit/

Faire un click droit sur zhpcleaner

exécute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Mode Scanner

Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)

héberger le rapport sur www.cjoint.com/ si volumineux

did

voilà le rapport

https://www.cjoint.com/c/JKvtbepqWua

merci

on va supprimer les superflus

relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression

voilà

https://www.cjoint.com/c/JKvuiQCt8Ra

salut 3ss

ceci stp

Télécharger Malwarebytes

https://fr.malwarebytes.com

Lancer L'analyse

A la fin du scan exporter au format txt

Héberger sur cjoint

me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv

did

bonjour,

voilà le rapport

https://www.cjoint.com/c/JKwkUeaBKGa

merci

on continue

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/roguekiller/#download

prendre la version correspondant a votre système

Choisir la version voulue

Installer 32/64 bits

Portable 32 bits

Portable 64 bits

Lancer le scan

A la fin du scan cliquez sur résultats

héberge le rapport sur cjoint

voilà

https://www.cjoint.com/c/JKwlWw7xLoa

je n'ai pas cliqué sur suppression pour la menace, le programme est encore ouvert

supprime ce keylogger

change les mots de passe

ok c'est fait

refais moi un zhpdiag stp

voilà

https://www.cjoint.com/c/JKwnq2sv4la

c'est mieux mais il reste encore des truc.

Lance Farbar

Copies les lignes suivantes dans le cadre rouge

start::

CloseProcesses:

CreateRestorePoint:

DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION|DriverUpdate.exe

EmptyTemp:

end::

Corrige et heberge le rapport fixlog

voilà

https://www.cjoint.com/c/JKwok4oUW4a

ceci alors

Cliques sur le bouton nettoyage

tu vas obtenir une fenetre zhpfix

Sélectionne et copie le script suivant

Script ZHPFix

EmptyCLSID

EmptyFlash

Emptytemp

DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION|DriverUpdate.exe

COlle le script bouton1

Lance le nettoyage bouton2

puis tu genères le script

heberge moi le rapport sur cjoint

voilà

https://www.cjoint.com/c/JKwpXXCQDQa

bizarre

zhp me donne une infection introuvable

ceci

Copies les lignes suivantes dans le cadre

DriverUpdate

cliques sur chercher registre

copies/colles le rapport searchreg.txt