> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] Aide pour Cheval de TroieSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]
RADOTITI
  Posté le 19/10/2017 @ 10:22 
Aller en bas de la page 
Petit astucien

Bonjour

Windows Defender m'a détecter cela :Trojan:Win32/Skeeyah.A!rfn

Il l'a mis en quarantaine, je suis allé dans le dossier, j'ai fais éliminer puis, j'ai vidé la corbeille.

Mais il est toujours dans Windows Defender et il n'arrive pas à l'éliminer.

Mon Pc est un HP 700-250ef

Nom du système d’exploitationMicrosoft Windows 10 Famille

Version10.0.16299 Numéro 16299

Autre description du système d’exploitationNon disponible

Fabricant du système d’exploitationMicrosoft Corporation

OrdinateurPC

FabricantHewlett-Packard

Modèle700-250ef

TypePC à base de x64

Référence (SKU) du systèmeF6J71EA#ABF

ProcesseurIntel(R) Core(TM) i7-4770 CPU @ 3.40GHz, 3401 MHz, 4 cœur(s), 8 processeur(s) logique(s)

Version du BIOS/DateAMI 80.16, 05/12/2013

Version SMBIOS2.7

Version du contrôleur embarqué255.255

Mode BIOSUEFI

Fabricant de la carte de baseHewlett-Packard

Modèle de la carte de baseNon disponible

Nom de la carte de baseCarte de base

Rôle de la plateformeBureau

État du démarrage sécuriséActivé

Configuration de PCR 7Liaison impossible

Répertoire WindowsC:\WINDOWS

Répertoire systèmeC:\WINDOWS\system32

Périphérique de démarrage\Device\HarddiskVolume2

Option régionaleFrance

Couche d’abstraction matérielleVersion = "10.0.16299.15"

UtilisateurPC-RADOTITI\Thierry

Fuseaux horairesParis, Madrid (heure d’été)

Mémoire physique (RAM) installée8,00 Go

Mémoire physique totale7,95 Go

Mémoire physique disponible4,73 Go

Mémoire virtuelle totale9,83 Go

Mémoire virtuelle disponible6,45 Go

Espace pour le fichier d’échange1,88 Go

Fichier d’échangeC:\pagefile.sys

Prise en charge du chiffrement d’appareil%sMotifs de l’échec du chiffrement de l’appareil automatique: TPM inutilisable, Liaison PCR7 non prise en charge, L’interface de test de sécurité du matériel a échoué et l’appareil n’est pas InstantGo, Détection de bus/d’appareils compatibles DMA non autorisés, Désactivé par la stratégie, TPM inutilisable

Hyper-V - Extensions du mode de moniteur des ordinateurs virtuelsOui

Hyper-V - Extensions de la conversion des adresses de second niveauOui

Hyper-V - Virtualisation activée dans le microprogrammeNon

Hyper-V - Protection de l’exécution des donnéesOui

Merci par avance et si possible que me recommanderiez vous de faire ?

Bonne journée

Publicité
clbugnot
 Posté le 19/10/2017 à 12:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour RADOTITI

que me recommanderiez vous de faire ?

Fais ce qui est demandé dans cette procédure, publie les rapports demandés (en suivant attentivement ce qui est indiqué) et attends qu'un membre du Groupe Sécurité te prenne en charge.

Cordialement.

El Magnifico
 Posté le 19/10/2017 à 13:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

RADOTITI

je vais vous prendre en charge

Je demande le transfert du sujet vers le forum Desinfection

pcastuces
 Posté le 19/10/2017 à 13:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans le forum Analyse de rapports et désinfection qui semble plus adéquat.

Vous pouvez continuer la discussion à la suite de ce message.

A bientôt.
El Magnifico
 Posté le 19/10/2017 à 13:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

c'est du rapide, merci au modérateur

RADOTITI

Bonjourimage



• Mon prénom est Gerard, si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4

Si vous acceptez, c'est avec plaisir que nous allons commencer ensemble quelques procédures.

image Commencez par ceci : https://forum.pcastuces.com/sujet.asp?f=26&s=3 vous posterez les rapports qu' avec le lien donné par CJoint

Il est demandé de télécharger tous les outils et sripts sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.
Utilisez CJoint pour poster vos rapports => Démo animée ICI

En cas de difficulté pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)


Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre chef !

• Questions:


• Réalisez vous des sauvegardes image du système sur un disque dur externe ainsi que les données que vous créez ?
• Quel antivirus utilisez vous ?
• Donnez moi les infos que vous jugez utiles


.........................



image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
  • Tuto animé => ICI


Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) [s'il est indiqué (manquant) en faire part] / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.
Si le point de restauration ne se crée pas , désactivez votre AntiVirus.

.........................


A vous lire image

RADOTITI
 Posté le 19/10/2017 à 17:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Gérard

Merci d'avance pour votre prise en charge.

Le point de restauration est créé.

Par contre la désactivation de toute synchronisation en cliquant là où vous le dites, je ne vois pas d'accès à cela.

Voici tous les rapports demandés.

(A savoir que mes enfants aussi mettent la main sur mon pc quand je ne suis pas là !!! ) Et moi je suis un peu néophyte !!!

ZHPDiag

http://www.cjoint.com/c/GJtlfVKwGm7

FRST.txt

http://www.cjoint.com/c/GJtoJsM1fD7

Addition.txt

http://www.cjoint.com/c/GJtoMtF2cf7

Shortcut.txt

http://www.cjoint.com/c/GJtoNLxXRv7

Dans l'attente, recevez mes plus sincères salutations.

Thierry

RADOTITI
 Posté le 19/10/2017 à 17:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je réalise de temps à autres des sauvegardes à l'aide de SyncBackFree mais je ne sais pas faire de sauvegardes "Images"

D'autre part mon antivirus est Windows Defender.

Cordialement

El Magnifico
 Posté le 19/10/2017 à 17:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

image Thierry

      Merci d'avoir lu et accepté les conditions citées en accueil. A la lecture des rapports, votre machine n' est pas très infectée, quelques superflus il faut faire le ménage. Defender a dû mettre la détection dans la quarantaine. Vous allez dans un premier temps désinstaller ces programmes inutiles , sauf votre avis contraire !


Pour obtenir directement l'accés aux programmes :
Touches Windows image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK


Code

Adobe AIR
Bonjour
µTorrent
ma Livebox




On attaque dans l’ dur image


image ZHPFix (de Nicolas Coolman)

image


1) INSTALLATION de ZHPFix

Téléchargez ICI , Clic sous le compteur (bouton bleu clair) et enregistrez sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

• Démo animée => ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

Copiez tout ceci ( commence par Script ZHPFix et fini par Fin)

Citation

Script ZHPFix
ShortcutFix
IFEOFix
O4 - HKCU\..\Run: [uTorrent] . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O4 - HKUS\S-1-5-21-1088031539-1112162939-3573182277-1001\..\Run: [uTorrent] . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O4 - GS\Quicklaunch [Administrateur]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) C:\Program Files (x86)\uTorrent\uTorrent.exe
O4 - GS\Quicklaunch [Thierry]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) C:\Program Files (x86)\uTorrent\uTorrent.exe
O4 - GS\Quicklaunch [WDAGUtilityAccount]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) C:\Program Files (x86)\uTorrent\uTorrent.exe
O4 - GS\CommonDesktop [Public]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) C:\Program Files (x86)\uTorrent\uTorrent.exe
O42 - Logiciel: µTorrent - (..) [HKLM][64Bits] -- uTorrent
HKCU\SOFTWARE\BitTorrent
O43 - CFD: 17/10/2016 - [] AD -- C:\Program Files (x86)\uTorrent
O43 - CFD: 09/09/2017 - [] D -- C:\Users\Thierry\AppData\Roaming\uTorrent
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0319D346-9E60-4CE2-B937-EF6C981CC0F1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0319D346-9E60-4CE2-B937-EF6C981CC0F1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0319D346-9E60-4CE2-B937-EF6C981CC0F1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0319D346-9E60-4CE2-B937-EF6C981CC0F1}
C:\Windows\System32\Tasks\Microsoft\Windows\PushToInstall\Registration
pushtoinstall registration
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08CABF14-2CDC-4DFD-9C67-D8EF675E1F2E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08CABF14-2CDC-4DFD-9C67-D8EF675E1F2E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08CABF14-2CDC-4DFD-9C67-D8EF675E1F2E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{08CABF14-2CDC-4DFD-9C67-D8EF675E1F2E}
C:\Windows\System32\Tasks\OrangeDefenderUpdate
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{35E45B50-979C-49BB-ACDD-6396CEA96E5D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{35E45B50-979C-49BB-ACDD-6396CEA96E5D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{35E45B50-979C-49BB-ACDD-6396CEA96E5D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{35E45B50-979C-49BB-ACDD-6396CEA96E5D}
C:\Windows\System32\Tasks\OrangeDefender
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36713542-0103-4035-B316-A447E72506AC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36713542-0103-4035-B316-A447E72506AC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36713542-0103-4035-B316-A447E72506AC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{36713542-0103-4035-B316-A447E72506AC}
C:\Windows\System32\Tasks\Microsoft\Windows\PushToInstall\LoginCheck
pushtoinstall login
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53512BF4-9BB4-478C-8F4A-3FBE218683BD}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53512BF4-9BB4-478C-8F4A-3FBE218683BD}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53512BF4-9BB4-478C-8F4A-3FBE218683BD}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{53512BF4-9BB4-478C-8F4A-3FBE218683BD}
C:\Windows\System32\Tasks\CreateChoiceProcessTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC1EA484-6269-40AB-8DBC-E1587F34C0A6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC1EA484-6269-40AB-8DBC-E1587F34C0A6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC1EA484-6269-40AB-8DBC-E1587F34C0A6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{BC1EA484-6269-40AB-8DBC-E1587F34C0A6}
C:\Windows\System32\Tasks\PrivaZer_SkipUAC
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C21A469F-9F09-4332-98C4-46E98106971D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C21A469F-9F09-4332-98C4-46E98106971D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C21A469F-9F09-4332-98C4-46E98106971D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C21A469F-9F09-4332-98C4-46E98106971D}
C:\Windows\System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation
HKCU\SOFTWARE\GreenTree Applications
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Orange Defender Antivirus
C:\Users\Thierry\AppData\Roaming\Amazon Cloud Drive
C:\Users\Thierry\AppData\Roaming\Efficient Calendar Free
C:\Users\Thierry\AppData\Roaming\YoWindow
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{3D6E2BD3-0210-429F-B72F-2B3DD44428C7}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{D3EC1685-60FA-4BC2-AC30-6CA45C448B03}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{8A8CB311-AB52-40C3-B15C-2699430DA3E2}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{7A0E9BC1-E1E8-41DB-9E42-F4C4CA0026EC}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{9423D044-FEF2-4E5C-9BA9-28C19B795E7B}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{B056E6CB-5D42-40AD-87BB-D077649DF238}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{DB817B67-653B-400B-9DF4-406C206295A1}
C:\Program Files (x86)\Orange\ma Livebox\dedicarz\PluginLivebox.exe
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{8AA04AD6-0A77-42E1-AD30-D0588DC0D294}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{9B55AA24-A0B3-407E-9939-6267F40243DD}
C:\Program Files (x86)\Orange\ma Livebox\dedicarz\LiveboxManager.exe
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{CE9EB5D2-63E8-4459-BAB2-27EBFA3D142C}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{74424F77-4E76-4681-B1D2-F1362217512C}
C:\Program Files (x86)\Orange\ma Livebox\dedicarz\DedicarzService.exe
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{9BB4E9ED-04E5-49E3-B5FF-FF7FAD5A683B}
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) . (.McAfee, Inc. - McAfee Process Validation Service.) - C:\WINDOWS\system32\mfevtps.exe =>.McAfee, Inc.
SR - Auto [26/10/2015] [ 250672] McAfee Validation Trust Protection Service (mfevtp) . (.McAfee, Inc..) - C:\WINDOWS\system32\mfevtps.exe =>.McAfee, Inc.®
HKLM\SOFTWARE\Wow6432Node\McAfee =>.McAfee Inc.
O58 - SDL:2015/10/26 11:06:18 A . (.McAfee, Inc. - McAfee Link Driver.) -- C:\WINDOWS\System32\drivers\mfehidk.sys [864072] =>.McAfee, Inc.®
O58 - SDL:2015/10/26 11:06:18 A . (.McAfee, Inc. - McAfee Code Analysis Driver.) -- C:\WINDOWS\System32\drivers\mferkdet.sys [106120] =>.McAfee, Inc.®
O17 - HKLM\System\CCS\Services\Tcpip\..\{221a10a1-030b-4ba3-8c4a-158a350bf74b}: NameServer = 77.234.40.79 =>.Avast Software DNS

EmptyCLSID
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
ProxyFix
SysRestore
fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une fenêtre d'avertissement apparait => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu

…………………………………………..

/!\ .Si rien ne s’inscrit et que la fenêtre reste vide => Alors, Faire un copier/coller du contenu du script que j’ ai envoyé vers cette fenêtre vide à partir de tout en haut à gauche .( clic droit sur le texte / Tout sélectionner / clic droit / copier => puis coller dans la fenetre de ZHPfix)
Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO


……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse. Le rapport est aussi sauvegardé sur le Bureau Windows

Et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPFix.txt……….Pour ce faire afficher les dossiers cachés (comme Appdata) => W7 => ICI W8.1 => ICI W10=> ICI

……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.

.....................................

A vous lire image



Modifié par El Magnifico le 19/10/2017 17:36
RADOTITI
 Posté le 19/10/2017 à 18:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Maintenant j'ai un problème avec c-joint ... et avec le site de pc astuces .

il rame énormément et me donne pas le lien ! et il me dit site inaccessible !!!

que faire ???

OK ça y est ...J'ai dû redémarré le pc

voici le lien

http://www.cjoint.com/c/GJtqyPxiKZ3

Publicité
RADOTITI
 Posté le 19/10/2017 à 18:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Faut il autre chose ? car j'ai vu aussi quelque chose sur "Dossiers cachés" ??? Ne sont ils pas déjà dans le rapport ?

D'autre part, j'ai éliminé selon vos instructions les programmes suivants:

Adobe AIRBonjourµTorrentma Livebox

Cdmt



Modifié par RADOTITI le 19/10/2017 18:34
El Magnifico
 Posté le 19/10/2017 à 18:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok

Comment tourne la machine ?

Si c'est correct on continue avec ceci

ZHPCleaner
    (de Nicolas Coolman)



image


image Téléchargez (clic sur le bouton bleu en dessous du compteur) => ZHPCleaner et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

  • Démo animée => ICI



Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".



La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée dans l'interface du programme, le rapport se trouvera sur le bureau.

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence fermer la fenetre blanche par clic sur la croix, puis cliquer sur le bouton "Nettoyer".

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.


Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque

RADOTITI
 Posté le 19/10/2017 à 19:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

http://www.cjoint.com/c/GJtrgT022g3

ZHPCleaner

Note.le message du Cheval de troie : Win32/Skeeyah.A!rfn! est toujours sur windows defender http://www.cjoint.com/c/GJtrtlOzPP3 et http://www.cjoint.com/c/GJtru0UXRo3

Merci encore .



Modifié par RADOTITI le 19/10/2017 19:21
El Magnifico
 Posté le 19/10/2017 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Vous pouvez cliquer sur Nettoyer dans ZHPcleaner

Le cheval de troie est mis en quarantaine par defender, donc il n'est plus actif !

******************

On continue

MBAR



image


Téléchargez MBAR sur votre bureau ICI

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

Démo animée ICI


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup". Redémarrez votre ordinateur.

Uniquement si des malveillants ont été détectés=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "System-log.txt" et collez le contenu des fichiers suivants dans votre prochaine réponse: "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

  • Accès à Internet

  • Mise à jour de Windows

  • Pare-feu Windows



S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.



***************************************************************************************************

ADWCleaner


image

image Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => Lien direct. (Enregistrer sous => bureau)

Adwcleaner va rechercher les Adwares

Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI



Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.

Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.

  • Cliquez sur Outils puis Options puis cochez : Fichiers Prefetch ; Clés Tracing ; IFEO

  • Puis dans la colonne de droite : cochez en plus de Winsock ; IEPolicies ; Policies Chrome ; Parefeu ; validez par OK



Cliquez sur Analyser pour lancer l'analyse.

Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

Patientez le temps de l'analyse .

Si des détections malveillantes sont mises en évidence, postez le rapport

Cliquer sur Nettoyer .

L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"

Confirmez le redémarrage de l'ordinateur.

Au redémarrage le rapport s'ouvrira dans le bloc note.

  • Démo animée pour creer un lien avec Cjoint=> ICI



Postez le rapport .

Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:

  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt



Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


***************************************************************************************************

Junkware Removal Tool



image


image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau => ICI. (Enregistrer sous => bureau)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

Faites un clic droit -> lancez le programme en tant qu'administrateur

L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint


***************************************************************************************************

Kaspersky Virus Removal Tool



image

  • Téléchargez sur ce site : ICI
  • A défaut sur PCA :



Cet outil recherche les Malwares

Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :

· Fermez toutes les applications en cours d'exécution.

· Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.

Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.

image Pour lancer l'application :


1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
3. Patientez jusqu'à la fin de l'initialisation.
4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
5. Cliquer sur Start scan
6. Patientez jusqu'à la fin de l'analyse.
7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.

Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.

A vous lire image

RADOTITI
 Posté le 20/10/2017 à 16:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

http://www.cjoint.com/c/GJuoRx455eR

Junkware

je continue avec kapersky

RADOTITI
 Posté le 20/10/2017 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok kapersky = 0 objects

RADOTITI
 Posté le 20/10/2017 à 17:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

et maintenant ??? car dans Windows Defender j'ai toujours le Trojan qui s'affiche et impossible de le supprimer !!!!



Modifié par RADOTITI le 20/10/2017 17:17
El Magnifico
 Posté le 20/10/2017 à 19:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Que dit MBAR et ADWcleaner ?

Je regarde dans tes premiers rapports si je le trouve , on fera un correctif avec FRST. Edit :Pas trouvé !!

Pouvez vous me donner le chemin exact du fichier concerné, allez dans Historique , dans elements vous devez le trouver,( utilisez le curseur vertical pour descendre plus bas dans la fenetre ) merci

************************

Voici un correctif avec FRST



image Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.




Copiez tout ceci ( commence par start:: et fini par end::)


start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
RemoveProxy:
Hosts:
file: C:\Users\Thierry\Downloads\[www.Cpasbien.pe] ADOBE_AFTEREFFECTS_CC_V2014_MULTI-XFORCE\Crack-Windows\xf-adobecc2014.exe
Trojan:Win32/Skeeyah.A!rfn
FindFolder: Trojan:Win32/Skeeyah.A!rfn
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [jeaohhlajejodfjadcponpnjgkiikocn] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <non trouvé(e)>
CHR HKLM-x32\...\Chrome\Extension: [jkfpchpiljkaemlpmpebnglgkomamfeo] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers1: [PrivaZer] -> {7691BE2F-3D79-AADE-9C87-4D6EBCC76682} => -> Pas de fichier
ContextMenuHandlers2: [PrivaZer] -> {7691BE2F-3D79-AADE-9C87-4D6EBCC76682} => -> Pas de fichier
ContextMenuHandlers3: [PrivaZer] -> {7691BE2F-3D79-AADE-9C87-4D6EBCC76682} => -> Pas de fichier
ContextMenuHandlers4: [PrivaZer] -> {7691BE2F-3D79-AADE-9C87-4D6EBCC76682} => -> Pas de fichier
ContextMenuHandlers6: [PrivaZer] -> {7691BE2F-3D79-AADE-9C87-4D6EBCC76682} => -> Pas de fichier
Task: {14E1CA52-5BA4-437C-AC73-23032A45FFE9} - \WPD\SqmUpload_S-1-5-21-1088031539-1112162939-3573182277-1005 -> Pas de fichier <==== ATTENTION
Task: {1DDD7238-140B-4F68-9628-5D6DE8A9674F} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: {3182AD3C-3C44-474B-8266-F743E427EC7B} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier <==== ATTENTION
Task: {3A3DE72D-2D08-4F14-9EE1-4ED6F621276C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {4EB793C1-EBEC-46A5-9143-91344495BE30} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
Task: {600F632E-5316-4310-A77E-DAAFEFFF9DE0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier <==== ATTENTION
Task: {71D1B198-B48D-4823-B78E-A399B2912F89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier <==== ATTENTION
Task: {90E34F37-2CA2-4F60-8E3A-CF15D0D14BCA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier <==== ATTENTION
Task: {94937A45-6997-4DA5-8D2A-6A856CFA272C} - \WPD\SqmUpload_S-1-5-21-1088031539-1112162939-3573182277-1001 -> Pas de fichier <==== ATTENTION
Task: {C21A469F-9F09-4332-98C4-46E98106971D} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation => C:\WINDOWS\TEMP\EN4520_Full_WebPack_1122.exe <==== ATTENTION
Task: {CB707E4C-A87A-4190-BC7B-03878EB6D83D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier <==== ATTENTION
Task: {E9389757-200D-4789-BF89-EA2177DFE49E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: {F795B678-F1DF-48EF-B164-D27ECCC6CCF6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier <==== ATTENTION
Task: {F82F78FC-879E-492F-B4F9-3EE86A4294B3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier <==== ATTENTION
Task: {FA4E8F53-0666-4D61-A8A1-A619D0A616A9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: {FFCB4893-2495-4C2D-807F-44339C06C28A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe
Task: C:\WINDOWS\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe
Task: C:\WINDOWS\Tasks\HPCeeScheduleForThierry.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe
Task: C:\WINDOWS\Tasks\OrangeDefender.job => C:\Program Files (x86)\Innovative Solutions\Orange Defender Antivirus\orangedefender.exe
AlternateDataStreams: C:\Users\Thierry\Desktop\CNI RADIA (1).jpg:com.dropbox.attributes [213]
AlternateDataStreams: C:\Users\Thierry\Desktop\CNI RADIA (2).jpg:com.dropbox.attributes [212]
AlternateDataStreams: C:\Users\Thierry\Documents\20150701_182452reduite2.jpg:com.dropbox.attributes [420]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Music, Photos and Videos\Beats Audio Control Panel.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\S4_fonctionderéférence306232270770511049\S4_fonctionderéférence.docx.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\S2vecteurs_droitesduplan306238190993475552\S2vecteurs_droitesduplan.docx.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\S1Seconddegré306232283105763386\S1Seconddegré.doc.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\Interrogation-n°2docx306238151949684183\Interrogation-n°2docx.docx.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\Chapitre%205%20-%20Exercices306238140054343023\Chapitre%205%20-%20Exercices.docx.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\Chapitre%203%20-%20Généralités%20sur%20les%20fonct306232283099412211\Chapitre%203%20-%20Généralités%20sur%20les%20fonctions.docx.lnk
C:\Users\Thierry\AppData\Roaming\Microsoft\Word\Chapitre%201%20-%20Exercices%20-%20Premier%20degré306238151909749940\Chapitre%201%20-%20Exercices%20-%20Premier%20degré.docx.lnk
CMD: WHERE /r c:\ keyge*.* /t
CMD: WHERE /r c:\ crack.* /t
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::


Maintenant lancez FRST.exe en double cliquant dessus



Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant la fleche dans la fenetre rectangulaire, puis clic droit/ coller

Cliquez sur CORRIGER puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

Postez le rapport Fixlog.txt quand celui ci est disponible.
Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

.........................



Modifié par El Magnifico le 22/10/2017 11:14
Publicité
RADOTITI
 Posté le 22/10/2017 à 09:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Gérard, désolé du retard.

Lundi (demain) je vous réponds à tout car je travaille ce we.

Cordialement

El Magnifico
 Posté le 22/10/2017 à 09:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour RADOTITI

D'accord, vous étes toujours au boulot ! C'est quoi comme job si je ne suis pas indiscret ?

RADOTITI
 Posté le 22/10/2017 à 09:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Sûreté aéroportuaire je fais des vacations de nuit et/ou de jour

El Magnifico
 Posté le 22/10/2017 à 10:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok, merci , mais ça ne vous laisse guère de temps libre !

Pour en revenir au PC, soit c'est un Faux positif (erreur de defender) , soit c'est un vrai positif et alors évitez d' aller sur le net !

RADOTITI
 Posté le 22/10/2017 à 10:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Entendu Gérard.

file:C:\Users\Thierry\Downloads\[www.Cpasbien.pe] ADOBE_AFTEREFFECTS_CC_V2014_MULTI-XFORCE\Crack-Windows\xf-adobecc2014.exe

Ca c'est le chemin

El Magnifico
 Posté le 22/10/2017 à 11:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Un crack, c'est très mauvais !

Je vais modifié mon correctif plus haut avec FRST !

Je reviens

Edit : j' ai modifié le script, vous pouvez faire le correctif avec FRST comme indiqué, ça risque d' etre très long, patientez jusqu'au dépôt automatique du resultat sur le bureau ( Fixlog) à m'envoyer



Modifié par El Magnifico le 22/10/2017 11:17
RADOTITI
 Posté le 22/10/2017 à 16:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
RADOTITI
 Posté le 22/10/2017 à 16:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Gérard, je ne vois plus FRST Pouvez vous me renvoyer le lien pour copier/coller le correctif svp ?

RADOTITI
 Posté le 22/10/2017 à 17:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Publicité
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Procédure pour le diagnostic d'un pc infecté
 > Tous les forums > Forum Analyse de rapports et désinfection