× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] État de santé de l'ordi après infection USBSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Alibabah
  Posté le 22/11/2017 @ 23:42 
Aller en bas de la page 
Petit astucien

,

Je poste les rapports que El Magnifico m'a proposé pour m'assurer que l'infection de ma clé USB n'a pas impactée mon ordinateur portable :

Rapport ZHP Diag : http://www.cjoint.com/c/GKwwIjMZJdU

Rapport Shortcut : http://www.cjoint.com/c/GKwwQvyKYEU

Rapport Addition : http://www.cjoint.com/c/GKwwO3NAmtU

Rapport FRST : http://www.cjoint.com/c/GKwwPNcrGeU


Merci à toi,

Publicité
El Magnifico
 Posté le 22/11/2017 à 23:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Alibabah

2/ trois bricoles, pas d'infection majeure

Je reviens demain matin

Bonne nuit

El Magnifico
 Posté le 23/11/2017 à 10:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Alibabah

==================== Points de restauration =========================

ATTENTION: La Restauration système est désactivée

*****************

image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Si vous avez des difficultés, avec Kaspersky il faut désactiver Autoprotection dans Avancé.

Solution de repli stratégiqueimage
  • Tuto animé => ICI


Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.

**********************

image ZHPFix (de Nicolas Coolman)

image


1) INSTALLATION de ZHPFix

Téléchargez ICI , Clic sous le compteur (bouton bleu clair) et enregistrez sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

• Démo animée => ICI

……………………………

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

Copiez tout ceci ( commence par Script ZHPFix et fini par Fin)

Citation

Script ZHPFix
ShortcutFix
IFEOFix
SysRestore
G0 - GCSP: Preferences [User Data\Default][HomePage] http://dsms0mj1bbhn4.cloudfront.net
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
HKLM\Software\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}
HKLM\Software\WOW6432Node\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} <== Reinstall Software igfxcui
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\PDFCreator.ShellContextMenu
HKLM\Software\Classes\CLSID\{d9cea52e-100d-4159-89ea-76e845bc13e1}
HKLM\Software\Wow6432Node\Classes\CLSID\{d9cea52e-100d-4159-89ea-76e845bc13e1}
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
EmptyCLSID
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
ProxyFix
fin






image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une fenêtre d'avertissement apparait => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu

…………………………………………..

/!\ .Si rien ne s’inscrit et que la fenêtre reste vide => Alors, Faire un copier/coller du contenu du script que j’ ai envoyé vers cette fenêtre vide à partir de tout en haut à gauche .( clic droit sur le texte / Tout sélectionner / clic droit / copier => puis coller dans la fenetre de ZHPfix)
Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO


……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse. Le rapport est aussi sauvegardé sur le Bureau Windows

Et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPFix.txt……….Pour ce faire afficher les dossiers cachés (comme Appdata) => W7 => ICI W8.1 => ICI W10=> ICI

……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.

**********************

Voici un correctif avec FRST

A la bonne heure, suite aux nettoyages précédents image voici le dernier correctif , j'ai donc un autre script sous le coude que voici:

image Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.


Copiez tout ceci dans le Presse papier, surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::) Pas besoin d'enregistrer dans Word par exemple !

Citation


start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
Hosts:
HKLM-x32\...\RunOnce: [] => [X]
Tcpip\..\Interfaces\{ad2704c5-e955-457e-b9c3-cc3740ae5690}: [DhcpNameServer] 193.49.184.5
S2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
2017-11-22 17:04 - 2017-11-22 17:04 - 000016896 _____ () C:\Users\UPJV\AppData\Local\Temp\SBLCopyF.EXE
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {C366EC51-DF8C-4B23-8B3C-1BEECF0C9AF2} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:367BF129 [134]
C:\Users\UPJV\Nouveau dossier\TES\#Racine\UPJV - L2\Mode d'emploi Sonal.lnk
C:\Users\UPJV\Desktop\USBHELP\UPJV - L2\Mode d'emploi Sonal.lnk
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::




Maintenant lancez FRST.exe en double cliquant dessus

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant la fleche dans la fenetre rectangulaire, puis clic droit/ coller

Cliquez sur CORRIGER puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

Postez le rapport Fixlog.txt quand celui ci est disponible.
Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

.........................

Ma mission se termine


C ' est la dernière ligne droite



Videz la Corbeille image

........................

Ouvrez Ccleaner image / Analyser / Nettoyer.

Cliquez sur Outils/ Demarrage/ dans les onglets "Taches planifiées" et "Windows" surlignez toutes les lignes sauf l'antivirus , puis cliquez en haut à droite sur DESACTIVER.

.......................

Vous téléchargerez dans 2/3 jours sur le bureau Delfix (d'Xplode) image
Vous le lancerez en mode administrateur

Cocher toutes les cases sauf Effectuer une sauvegarde du registre et Reinitialisation des parametres systéme

image

      · Cliquer sur "
Exécuter
      " puis patienter pendant le processus de suppression.

    · Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau



Le rapport est enregistré dans le presse-papier, il se trouve aussi là : C:\DelFix.txt

Si des outils restent présents sur le bureau, désinstallez les manuellement, puis supprimer dans c:

Adwcleaner ; FRST ; KVRT_Data


Puis

Touches Windows image + R , tapez ou Copiez / Collez cmd /c rd /s /q %appdata%\zhp dans la fenêtre puis OK


……………………………….

Fin de désinfection



Merci de m'avoir accordé votre confiance.

Maintenant que la machine est propre, il est judicieux de sauvegarder régulièrement les données personnelles que l'on ne souhaite pas perdre, et surtout de créer une image disque du Système Windows.

Il est très important d' utiliser un programme permettant de créer des images de son système et aussi de faire les sauvegardes de ses données personnelles que l'on ne souhaite pas perdre, images disque et sauvegardes dont on privilégiera de les sauvegarder régulièrement sur un support externe, et qui par prudence sera déconnecté aussitôt l’opération réussie.

Comment créer une sauvegarde de son système:

En cas de gros plantage, de défaillance matérielle, d'infection incurable, il est possible ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet.
Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.
Vous pouvez aussi créer une image complète de votre système avec Windows sans opter pour un logiciel tiers.



En cas de besoin des intervenants compétents restent à disposition dans cette section : Forum Sauvegarde et prévention


Prudence et Bonne journée image

image

Alibabah
 Posté le 23/11/2017 à 13:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour El Magnifico ,

Voici les rapports demandés :

Rapport ZHPFixReport.txt : http://www.cjoint.com/c/GKxmT6TeXQU
Rapport Fixlog.txt : http://www.cjoint.com/c/GKxmVxsH1KU


Pour Ccleaner, est-ce normal que mon Kapersky n'apparaisse pas dans les tâches planifiées ? Sinon, tout est ok pour Ccleaner

Et j'ai une page qui s'ouvre désormais à chaque démarrage de l'ordi, c'est normal ?


Un grand merci à toi !


Bonne journée,

El Magnifico
 Posté le 23/11/2017 à 14:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pas normal que cette page s'ouvre !

Dans Gestionnaire des taches / Onglet demarrage => Desactiver tout sauf l’Antivirus /redemarrer

***************

si pas de resultat =>

FRST a créé un point de restauration avant de procéder le correctif.

Faire une restauration sur ce point, ne pas oublier au par avant de décocher dans Kaspersky l'autodéfense dans la configuration Avancé. Si non la restauration ne se réalise pas

Dites moi si la page apparait toujours ?

*********

Une solution là , dans le dernier message : ICI



Modifié par El Magnifico le 23/11/2017 14:30
Alibabah
 Posté le 23/11/2017 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

Peut-être que c'est apparu hier, je n'ai pas fait gaffe.. La solution via le gestionnaire de tâches n'a pas fonctionné !

J'effectue la restauration ?

El Magnifico
 Posté le 23/11/2017 à 14:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Non,

Regarde là : Une solution là , dans le dernier message : ICI

users= utilisateurs

pour aller dans appdata, il faut au par avant cochez "Afficher les fichiers masqués" => https://forum.pcastuces.com/img/89f6d2a8b110fb2d90f29b8da9d57257.gif



Modifié par El Magnifico le 23/11/2017 14:59
Alibabah
 Posté le 23/11/2017 à 16:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

Si j'ai bien compris, il me faut renommer deskop.ini ? Pour le trouver plus facilement, je ne peux pas l'ouvrir à l'emplacement du fichier au pire ? Car après Appdata, il y a énormément de fichiers

Merci,

El Magnifico
 Posté le 23/11/2017 à 16:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Cliquez sur Appdata, puis sur Microsoft , etc...........

Voilà ce que je lis:

j'ai supprimer les 3 fichiers desktop.ini dans :

C:\Users\"nom"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\"nom"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\

C:\Users\"nom"\AppData\Roaming\Microsoft\Windows\Start Menu\

Publicité
Alibabah
 Posté le 23/11/2017 à 17:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

J'ai suivi les chemins indiqués mais il n'y est pas.. La seule que je sais sur ce fichier, c'est qu'il est sur mon bureau. Je le supprime via le bureau au pire, non ? Ou il faut obligatoire passer par le chemin indiqué ?

Merci,

El Magnifico
 Posté le 23/11/2017 à 17:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Postez une capture d'écran du chemin

C:\Users\"nom"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup \

Alibabah
 Posté le 23/11/2017 à 18:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

Le dossier est vide !


Merci,

El Magnifico
 Posté le 24/11/2017 à 11:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Alibabah

Vous pouvez cliquer sur la croix pour supprimer cette fenetre.

Depuis quand cette fenetre apparait ?

Avant l'utilisation de USBFix ou après ?

Regardez avec Ccleaner dans outils/ restauration du systéme si vous avez des points de restauration

Alibabah
 Posté le 25/11/2017 à 19:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour El Magnifico ,

Cette fenêtre est apparue après mon problème, en effet ! Mais c'est peut-être de ma faute car j'ai trifouillé dans les paramètres d'affichage des fichiers. Je n'ai pas touché à grand chose mais peut-être que j'ai fait une mauvaise manip'

Pour les points de restauration, il y a celui que vous m'avez fait faire lors de la prise en charge il y a 2 jours.


Merci,

El Magnifico
 Posté le 26/11/2017 à 10:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Alibabah

Quand vous dites Cette fenêtre est apparue après mon problème, c'est avant d'utiliser USBFix ?

Recréez un nouveau point de restauration que vous nommez Après nettoyage à la date d' aujourd'hui. ( pour y revenir par la suite ,au cas où).

Avez vous des sauvegardes images du systéme sur un disque dur externe ?

Alibabah
 Posté le 26/11/2017 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico ,

Je ne sais pas justement.

Et le souci, c'est que l'ordinateur portable est à la FAC. Me conseillez-vous de ramener l'ordinateur pour réparer cette erreur ? Je n'ai pas envie de faire cette manipulation derrière leur dos.


Merci de votre compréhension,

El Magnifico
 Posté le 26/11/2017 à 22:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Alibabah

C'est vous qui voyez, ce n'est pas grave en soit, juste ce bloc note qui s'ouvre à l'ouverture du PC, ce fichier doit se trouver dans startup.

Posez leur la question, il doit bien y avoir un champion qui pourra faire le necessaire directement sur la machine.

Publicité
Alibabah
 Posté le 26/11/2017 à 22:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re ,

Si le problème n'est pas si grave, laissons-le ainsi. Quand je leur rendrai, je leur signalerai !


Merci encore pour ton aide,

A bientôt

El Magnifico
 Posté le 26/11/2017 à 23:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
16,99 €Lot de 50 masques chirurgicaux à 16,99 €
Valable jusqu'au 15 Août

Le vendeur sérieux OFPOW propose sur Amazon le lot de 50 masques chirurgicaux à 16,99 €. La livraison est effectuée par Amazon et sera donc rapide (quelques jours). La livraison est gratuite pour les membres Prime et gratuite à partir de 25 € pour les autres (si vous prenez 2 lots donc). Pour les moins pressés, vous pouvez les faire venir directement de Chine à 4,88 € le lot de 50 masques. Dans ce cas cela peut prendre plusieurs semaines à arriver.


> Voir l'offre
199 €Barre de son Yamaha YAS-109 120W, Alexa, DTS virtual, Bluetooth à 199 €
Valable jusqu'au 16 Août

Amazon fait une promotion sur la barre de son Yamaha YAS-109 120W, Bluetooth qui passe à 199 € alors qu'on la trouve ailleurs autour de 270 €. Grâce à la commande vocale Alexa intégrée, l'YAS-109 peut être contrôlée facilement et obéit à la parole. La technologie DTS Virtual:X et deux haut-parleurs de graves intégrés offrent un son Surround incroyablement profond.


> Voir l'offre
83,93 €Disque dur externe portable Seagate Basic 4 To USB 3.0 à 83,93 €
Valable jusqu'au 14 Août

Amazon fait une promotion sur le disque dur externe portable Seagate Basics d'une capacité de 4 To qui passe à 83,93 € livré gratuitement. Ce disque dur externe portable au format 2,5 pouces dispose d'une interface USB 3.0 compatible USB 2.0. Une excellente affaire pour ce disque dur qui offre des débits de 115 Mo/s. Il n'est pas soudé et est donc démontable si vous souhaitez le réutiliser ailleurs (console, NAS, PC).


> Voir l'offre

Sujets relatifs
[El Magnifico] Soucis suite infection,
[El Magnifico]INFECTION SUP Orphean et RiSKWARe
[El Magnifico] Ordi très lent entre deux clics de souris.
[El Magnifico] Problème clé usb ET corbeille ordi portable
[El Magnifico]pc lent , infection ?
[El Magnifico] énorme blocage général ordi portable acer
[El Magnifico] Infection à supprimer
[El Magnifico] infection > processeur a 100%
[El Magnifico] Bombe de décompression Nov17
[El Magnifico] pc infecte ?
Plus de sujets relatifs à [El Magnifico] État de santé de l''ordi après infection USB
 > Tous les forums > Forum Analyse de rapports et désinfection