> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] Infecté : Astromenda,Adware Elex Travi Vostram Chrome searchSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Le Siberien
  Posté le 08/12/2017 @ 15:58 
Aller en bas de la page 
Petit astucien

Bonsoir

Je viens de terminer le scan de mon pc et j'ai trouvé 47 Pup op dont les noms sont en titre.

Cela perturbe pas mal mon pc qui se traine lamentablement.

Il y à t'il quelqu'un qui peut m'aider à me débarrasser des ces intrus
Tout aide en ce sens sera la bien venue
Je vous remercie d'avance pour ce que vous pourrez faire pour m'aider

Publicité
El Magnifico
 Posté le 08/12/2017 à 16:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjourimage



• Mon prénom est Gerard, si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4

Si vous acceptez, c'est avec plaisir que nous allons commencer ensemble quelques procédures.


Il est demandé de télécharger tous les logiciels et sripts image sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.

      => Démo animée
ICI



En cas de difficulté pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)

image Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

      => Démo animée pour ZHPDiag
ICI



Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre chef !

• Questions:

      • Réalisez vous des sauvegardes image du système sur
un disque dur externe
      ainsi que les données que vous créez ?

      • Quel antivirus utilisez vous ?

      • Avez vous modifier le fichier Hosts ?

      • Utilisez vous Yahoo ?





image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
  • Tuto animé => ICI


Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.


image

Le Siberien
 Posté le 08/12/2017 à 18:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico.

Merci de m'aider avec ce post

Voici le lien du scan avec Zhpdiag

http://www.cjoint.com/c/GLiq7qhi2GS

El Magnifico
 Posté le 08/12/2017 à 18:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Le Siberien

C'est un bon début !

Où se trouve la suite ?

Le Siberien
 Posté le 08/12/2017 à 18:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici les 3 liens de FRST que vous aviez demandé

http://www.cjoint.com/c/GLirEvIImTS

http://www.cjoint.com/c/GLirCjxP0XS

http://www.cjoint.com/c/GLirF5pNYKS

Bonne réception

El Magnifico
 Posté le 08/12/2017 à 19:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Pas de réponse à mes questions ?

Le Siberien
 Posté le 08/12/2017 à 23:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désolé, j'ai du sortir tout à l'heure et je ne suis venu regarder si j'avais une réponse sur le post

Je ne sais si les réponses que vous attendez sont celles des questions poswées au début si oui les voici

Je ne fais pas de sauvegarde de mon disque dur interne car à chaque fois, à la fin, il m'est répondu qu'une erreur s'était produite et que la sauvegarde n'avait pas été executée.

Parfois lorsque je crée un dossier je l'enregistre sur un autre disque dur externe

J'utilise Microsoft Sécurity essential comme anti virus

Je n'ai pas modifié le fichier Hosts

J'utilise très très rarement Yahoo

J'esper que ce sont bien les réponses que vous attendiez

Excusez moi encore pour ce retard je reprends la suite demain matin

El Magnifico
 Posté le 09/12/2017 à 09:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Merci pour les précisions

image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
  • Tuto animé => ICI


Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.

Verifiez avec Ccleaner si le point est créé => outils/restauration du systéme/

Le Siberien
 Posté le 09/12/2017 à 13:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Content de vous lire Gérard

Je viens de vérifier, la restauration du système a bien été effectuée, le point de restauration est créé

Publicité
El Magnifico
 Posté le 09/12/2017 à 14:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Vu dans le rapport

---\\ Logiciels de protection (4) - 3s
SFR Sécurité v2.65.171.0 (Protection)
Malwarebytes version 3.2.2.2018 v3.2.2.2018 (Protection)
Microsoft Security Client v4.10.0209.0 (Protection)
Microsoft Security Essentials v4.10.209.0 (Protection)

Il ne faut qu' un seul antivirus, SFR Securité ne serait il pas de trop ?

***************

On attaque dans l’ dur image


image ZHPFix (de Nicolas Coolman)

image


1) INSTALLATION de ZHPFix

Téléchargez ICI , Clic sous le compteur (bouton bleu clair) et enregistrez sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

• Démo animée => ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

Copiez tout ceci ( commence par Script ZHPFix et fini par Fin)

Citation


Script ZHPFix
ShortcutFix
IFEOFix
SysRestore
G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://astromenda.com/
G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://isearch.omiga-plus.com/
G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://Vosteran.com/
G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://istart.webssearches.com/
C:\Program Files (x86)\QuickTime
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
HKCU\SOFTWARE\BitTorrent
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluge
C:\Users\Paul\AppData\Roaming\BitTorrent
C:\Users\Paul\AppData\Roaming\uTorrent
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0300B9DC-1421-4363-A298-53F71A531980}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0300B9DC-1421-4363-A298-53F71A531980}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0300B9DC-1421-4363-A298-53F71A531980}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0300B9DC-1421-4363-A298-53F71A531980}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0D671C86-A357-4E71-90C1-ADA5AFFE3C01}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0D671C86-A357-4E71-90C1-ADA5AFFE3C01}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0D671C86-A357-4E71-90C1-ADA5AFFE3C01}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0D671C86-A357-4E71-90C1-ADA5AFFE3C01}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0ED66599-C1A9-4478-8E25-F01098FEE5E0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0ED66599-C1A9-4478-8E25-F01098FEE5E0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0ED66599-C1A9-4478-8E25-F01098FEE5E0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0ED66599-C1A9-4478-8E25-F01098FEE5E0}
C:\Windows\System32\Tasks\{1F6E787D-C376-4C4E-B866-85D6E7008778}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1142228B-0D2A-4385-8F33-89910D281C84}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1142228B-0D2A-4385-8F33-89910D281C84}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1142228B-0D2A-4385-8F33-89910D281C84}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1142228B-0D2A-4385-8F33-89910D281C84}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4AEDA5B0-EA6F-452E-A687-6FF728ABE7B6}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4AEDA5B0-EA6F-452E-A687-6FF728ABE7B6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4AEDA5B0-EA6F-452E-A687-6FF728ABE7B6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4AEDA5B0-EA6F-452E-A687-6FF728ABE7B6}
C:\Windows\System32\Tasks\F-Secure\F-Secure GUI
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{884674BB-3357-4540-AF39-77B616B65A0F}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{884674BB-3357-4540-AF39-77B616B65A0F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{884674BB-3357-4540-AF39-77B616B65A0F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{884674BB-3357-4540-AF39-77B616B65A0F}
C:\Windows\System32\Tasks\{CC397A34-A22E-492D-BBEB-0F0D90948D66}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9C3C1956-79AA-4561-93E3-0303462BCFF2}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{9C3C1956-79AA-4561-93E3-0303462BCFF2}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9C3C1956-79AA-4561-93E3-0303462BCFF2}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{9C3C1956-79AA-4561-93E3-0303462BCFF2}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D075B24B-7FEF-470E-8433-9A74956CA580}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D075B24B-7FEF-470E-8433-9A74956CA580}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D075B24B-7FEF-470E-8433-9A74956CA580}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D075B24B-7FEF-470E-8433-9A74956CA580}
C:\Windows\System32\Tasks\{ABBBB821-5FD7-45CA-B64B-8EC3BCDE7A14}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E12634E5-A755-4073-A86C-B33AF2C0BEA0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E12634E5-A755-4073-A86C-B33AF2C0BEA0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E12634E5-A755-4073-A86C-B33AF2C0BEA0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E12634E5-A755-4073-A86C-B33AF2C0BEA0}
C:\Windows\System32\Tasks\{5ABD2404-36ED-407A-B3E1-59ADB19ADC13}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E68E3802-9FAB-4E80-B295-454C4740AC1A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E68E3802-9FAB-4E80-B295-454C4740AC1A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E68E3802-9FAB-4E80-B295-454C4740AC1A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E68E3802-9FAB-4E80-B295-454C4740AC1A}
C:\Windows\System32\Tasks\{DE66E0A7-19E3-4573-9E5F-22362BFC4F58}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F21268B5-CC60-41FD-848F-001E118B5B97}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F21268B5-CC60-41FD-848F-001E118B5B97}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F21268B5-CC60-41FD-848F-001E118B5B97}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F21268B5-CC60-41FD-848F-001E118B5B97}
C:\Windows\System32\Tasks\{017B155A-B4DF-464B-A881-D9F04E6515AB}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FD90180F-F6EE-4E22-B124-DCCAC473A335}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{FD90180F-F6EE-4E22-B124-DCCAC473A335}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FD90180F-F6EE-4E22-B124-DCCAC473A335}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{FD90180F-F6EE-4E22-B124-DCCAC473A335}
C:\Windows\System32\Tasks\{219B3F42-4149-4F76-94D9-7D7135DB29B0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FEB27D4C-552E-48EA-A224-ED5D8C9FF63F}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{FEB27D4C-552E-48EA-A224-ED5D8C9FF63F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FEB27D4C-552E-48EA-A224-ED5D8C9FF63F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{FEB27D4C-552E-48EA-A224-ED5D8C9FF63F}
C:\Windows\System32\Tasks\AVAST Software\Avast settings backup
HKLM\SOFTWARE\Wow6432Node\Ammyy
HKCU\SOFTWARE\undefined
C:\ProgramData\AMMYY
C:\Users\Paul\AppData\Roaming\TotalAV
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
HKLM\Software\WOW6432Node\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} <== Reinstall Software 7-Zip
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Cover Designer
HKLM\Software\Classes\CLSID\{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}
HKLM\Software\WOW6432Node\Classes\CLSID\{73FCA462-9BD5-4065-A73F-A8E5F6904EF7} <== Reinstall Software Cover Designer
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} <== Reinstall Software WinRAR32
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\00avast
HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}
HKLM\Software\WOW6432Node\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} <== Reinstall Software 00avast
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
HKLM\Software\WOW6432Node\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} <== Reinstall Software 7-Zip
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
HKLM\Software\WOW6432Node\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} <== Reinstall Software 7-Zip
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} <== Reinstall Software WinRAR32
C:\Users\Paul\Desktop\AA_v3.exe
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Cover Designer
HKLM\Software\Classes\CLSID\{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\00avast
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
C:\Program Files (x86)\McAfee
C:\ProgramData\McAfee
HKLM\SOFTWARE\Wow6432Node\Symantec
C:\ProgramData\AVAST Software
HKLM\SYSTEM\CurrentControlSet\Services\Bonjour Service
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\Bonjour
HKLM\SOFTWARE\Wow6432Node\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
C:\Program Files (x86)\QuickTime\qttask.exe
C:\ProgramData\SUPERAntiSpyware.com
HKLM\SOFTWARE\Wow6432Node\Wondershare
HKCU\SOFTWARE\Wondershare
C:\Program Files (x86)\Wondershare
C:\ProgramData\Wondershare
C:\Users\Paul\AppData\Local\Wondershare
G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://fr.yahoo.com/
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F9AEEC34-CF00-4CBD-9E36-DF9DC4002685}
HKCU\SOFTWARE\Yahoo
C:\Windows\Installer\75a688e.msi
HKLM\SOFTWARE\Wow6432Node\Microsoft\Shared Tools\MSConfig\startupreg\HP Software Update
HKLM\SOFTWARE\Wow6432Node\Microsoft\Shared Tools\MSConfig\startupreg\Picosmos
HKLM\SOFTWARE\Wow6432Node\Microsoft\Shared Tools\MSConfig\startupreg\ProductUpdater
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{39C09B3C-F11B-4FDD-8F70-94533BA7C75E}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{725124DE-381A-4A01-BDED-96A789879BF5}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{AB6B1FBB-5E86-4CFE-9F78-A95FC7C88706}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{C4D9175B-F93B-4491-90ED-B13B57E923D5}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{00D41255-DE4C-48C9-B7A0-6E8A8DFB6873}
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules]:{B06A56A8-8155-44AB-95DD-28FD1989FF76}
EmptyCLSID
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
ProxyFix
fin





image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une petite fenêtre d'avertissement apparait , la supprimer, puis clic droit coller => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu

…………………………………………..

/!\ .Si rien ne s’inscrit et que la fenêtre reste vide => Alors, Faire un copier/coller du contenu du script que j’ ai envoyé vers cette fenêtre vide à partir de tout en haut à gauche .( clic droit sur le texte / Tout sélectionner / clic droit / copier => puis coller dans la fenetre de ZHPfix)
Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO


……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse. Le rapport est aussi sauvegardé sur le Bureau Windows

Et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPFix.txt……….Pour ce faire afficher les dossiers cachés (comme Appdata) => W7 => ICI W8.1 => ICI W10=> ICI

……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.

.....................................

A vous lire image



Modifié par El Magnifico le 09/12/2017 14:56
Le Siberien
 Posté le 09/12/2017 à 15:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je me suis planté Gérard et j'ai redémarré au lieu de refuser.

J'ai refait le nettoyage sans redémarrage et voici le lien J'espère que ce sera bon

http://www.cjoint.com/c/GLjoKOJU1WS

El Magnifico
 Posté le 09/12/2017 à 15:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Le Siberien

Vous me retournez le rapport ZHPdiag, c'est pô ce que j' attends !! => http://www.cjoint.com/c/GLjoKOJU1WS

J'attends le rapports de ZHPfix

Bien lire chaque mot du post

Pas de réponse non plus sur les AV !



Modifié par El Magnifico le 09/12/2017 15:48
Le Siberien
 Posté le 09/12/2017 à 16:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désolé Gérard le rapport zhpfix txt n'était pas sur le bureau et je l'ai confondu avec le ZHPDiag.

Là j'ai du le récupérer le rapport dans appdata

Voici le lien

http://www.cjoint.com/c/GLjpt2eypyS

Pour ce qui est des AV, je ne savais même pas qu'il y avait un antivirus SFR, si vous pouvez le supprimer cela m'arrangerait. Est ce que le fait d'avoir 2 microsoft sécurity essential n'est pas gênant si oui, je verrais pour en supprimer un et malware ne me sert que pour analyser le pc

El Magnifico
 Posté le 09/12/2017 à 16:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Merci pour tous ces renseignements

On va voir ce que l'on peut faire avec l'AV en trop, mais normalement dans les programmes installés vous pouvez le virer : Logiciel: SFR Sécurité

Mais que faites vous avec tous ces rapports ???=>

C:\Users\Paul\AppData\Roaming\ZHP\ZHPFix[R1].txt - 08/12/2017 05:36:12 [2322]
C:\Users\Paul\AppData\Roaming\ZHP\ZHPFix[R2].txt - 09/12/2017 15:28:15 [4379]
C:\Users\Paul\AppData\Roaming\ZHP\ZHPFix[R3].txt - 09/12/2017 15:33:15 [4099]
C:\Users\Paul\AppData\Roaming\ZHP\ZHPFix[R4].txt - 09/12/2017 16:10:07 [4103]

**********************

Voici la suite

ZHPCleaner
    (de Nicolas Coolman)



image


image Téléchargez (clic sur le bouton bleu en dessous du compteur) => ZHPCleaner et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

  • Démo animée => ICI



Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".



La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée dans l'interface du programme, le rapport se trouvera sur le bureau.

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence fermer la fenetre blanche par clic sur la croix, puis cliquer sur le bouton "Nettoyer".

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque


*****************************************************************************************************

MBAR



image


Téléchargez MBAR sur votre bureau ICI

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

Démo animée ICI


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup". Redémarrez votre ordinateur.

Uniquement si des malveillants ont été détectés=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "System-log.txt" et collez le contenu des fichiers suivants dans votre prochaine réponse: "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

  • Accès à Internet

  • Mise à jour de Windows

  • Pare-feu Windows



S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.



***************************************************************************************************

ADWCleaner


image

image Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => Lien direct. (Enregistrer sous => bureau)

Adwcleaner va rechercher les Adwares

Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI



Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.

Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.

  • Cliquez sur Outils puis Options puis cochez : Fichiers Prefetch ; Clés Tracing ; IFEO

  • Puis dans la colonne de droite : cochez en plus de Winsock ; IEPolicies ; Policies Chrome ; Parefeu ; validez par OK



Cliquez sur Analyser pour lancer l'analyse.

Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

Patientez le temps de l'analyse .

Si des détections malveillantes sont mises en évidence, postez le rapport

Cliquer sur Nettoyer .

L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"

Confirmez le redémarrage de l'ordinateur.

Au redémarrage le rapport s'ouvrira dans le bloc note.

  • Démo animée pour creer un lien avec Cjoint=> ICI



Postez le rapport .

Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:

  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt



Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


***************************************************************************************************


Junkware Removal Tool



image


image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. ICI (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

Faites un clic droit -> lancez le programme en tant qu'administrateur

L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint

***************************************************************************************************


Kaspersky Virus Removal Tool



image

  • Téléchargez sur ce site : ICI
  • A défaut sur PCA :



Cet outil recherche les Malwares

Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :

· Fermez toutes les applications en cours d'exécution.

· Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.

Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.

image Pour lancer l'application :


1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
3. Patientez jusqu'à la fin de l'initialisation.
4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
5. Cliquer sur Start scan
6. Patientez jusqu'à la fin de l'analyse.
7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.

Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.

A vous lire image

Le Siberien
 Posté le 09/12/2017 à 18:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai un problème avec zhp je scanne et il me trouve 9 intrus quand il est à 95 et à la fin tout se ferme et, j'ai malware removalqui s'ouvre etqui donne des explications surastromenda et je ne peux pas revenir sur zhpcleaner, si je ferme malware, la fenetre de zhpcleaner s'efface

Le Siberien
 Posté le 09/12/2017 à 18:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

P.S. Jai un rapport zhp Cleaner sur le bureau mais il n'est pas nettoyé je pense

El Magnifico
 Posté le 09/12/2017 à 19:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Le Siberien

C'est Chrome qui fout le cirque, le plus simple est de faire ceci:

Suivant l'ordre faites ceci :

1/ Sauvegardez les favoris comme expliqué ici : https://support.google.com/chrome/answer/96816?hl=fr

2/ Désinstallez depuis le panneau de configuration Google chrome.

Aide : https://support.google.com/chrome/answer/95319?hl=fr

    Ne pas oublier de supprimer : les préférences du navigateur, les favoris et l'historique, cochez la case "Supprimer également vos données de navigation" (étape 5 ).


3/ Cliquez sur Démarrer, dans la barre de recherche copiez %LOCALAPPDATA% puis supprimez le dossier Google

*************************

Poursuivez avec les logiciels que je vous ai donnés plus haut, vous réinstallerez Chrome par la suite

Publicité
Le Siberien
 Posté le 09/12/2017 à 20:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai mis du temps car ZHPCleaner avait annoncé 9 intrus et à l'ouverture pour nettoyer il n'y avait qu'Astromenda . J'ai donc refait un scan qui a confirmé qu'il n'y avait plus rien .

Voici le lien du fichier créé

http://www.cjoint.com/c/GLjtaJNdelS

Là je vais diner et je reviendrais après car demain je ne pourrais pas être avec l'ordinateur , je suis bénévole au club de tir au bureau et nous sommes pris avec le téléthon.Je vais donc essayer de terminer les scans que vous avez demandé mais si je n'arrive pas au bout je ne pourrais reprendre que Lundi matin.

Bon appétit

El Magnifico
 Posté le 09/12/2017 à 20:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Le Siberien

Pas de souci, c'est comme vous pouvez

Vous avez donc viré Chrome !



Modifié par El Magnifico le 09/12/2017 20:23
Le Siberien
 Posté le 09/12/2017 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oui et pour l'explication des 4 rapports ZhpFix, je pense que le premier été réalisé avant que je vous demande de m'aider et j'avais surement voulu vérifier si je retrouvais les virus que je vous ai signalé .Pour les 3 autres, ma maladresse a du m'aider pour obtenir ces rapports

El Magnifico
 Posté le 09/12/2017 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok

Passez tous les outils donnés plus haut

Le Siberien
 Posté le 09/12/2017 à 23:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Gérard

J'ai passé Mabr et Adwcleaner mais j'arrête la pour ce soir car je n'arrive pas à remettre IE en place après le passage d'adwcleaner. Je vous écrit depuis mon portable

Je verrais demain matin si je suis levé assez tôt sinon à Lundi

Encore merci pour le travail déjà fait

Bonne soirée à vous

Le Siberien
 Posté le 10/12/2017 à 08:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Gérard

Je n'ai pas réussi à remettre internet sur le pc cette nuit malgré les indications données car je ne peux plus ouvrir le post en cours et je n'arrive pas à transférer l'un ou l'autre de systèmes pour remettre EI qui sont compressés, je ne vois plus que la solution de revenir avec la sauvegarde avant désinfection à moins qu'avec le CD d'installation on puisse faiire queleque chose. Qu'en pensez vous.

Le Siberien
 Posté le 10/12/2017 à 09:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Changement de programme Coup de fil du président du club de tir, la journée est annulée raison, il neige dans le nord et il y a déjà 3 à 4 cm au sol. Je suis donc disponible si vous voulez continuer

à me dépanner.

A tout à l'heure peut-être

El Magnifico
 Posté le 10/12/2017 à 11:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Le Siberien

Quel est votre souci, à partir de quel moment celui ci s'est produit ?

Le plus simple serait de faire une restauration à un point juste avant ce probléme

Le Siberien
 Posté le 10/12/2017 à 11:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai tenté une restauration nommée windows update établie le 9 juste après restauration avant désinfection du 8 et cela n'a rien donné<<.il me reste reste restauration du dd avant désinfection mais est ce que cela ne va pas réduire tout le travail que vous avez fait.Pour l'opération avec twesking le fichier est compressé avec winrar et ne veut pas s'ouvrir avec 7zip.Winrar n'est pas gratuit mais si je sais que cela peut aider, je veux bien l'acheter.

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
89,99 €Caméra de surveillance additionnelle Netgear Arlo HD à 89,99 €
Valable jusqu'au 08 Avril

Amazon propose actuellement la caméra additionnelle Netgear Arlo HD VMC3030-100EUS à 89,99 € livrée gratuitement au lieu de 148 € . Elle est compatible avec les systèmes Arlo, Arlo Pro et Arlo Pro 2. Elle est étanche IP65.


> Voir l'offre
38,99 €Abonnement Xbox Game Pass Ultimate 6 mois à 38,99 €
Valable jusqu'au 11 Avril

Amazon fait une promotion sur l'abonnement Xbox Game Pass Ultimate 6 mois qui passe à 38,99 €, ce qui correspond à 3 mois gratuits. Le code jeu vous sera envoyé par email. Ce code vous permettra de jouer pendant 6 mois à plus de 100 jeux sur Xbox One et Windows 10. Vous pourrez ainsi jouer à Ori & the Will of the Wisps, The Outer Worlds, Gears 5, World War Z, Sea of thieves, Minecraft, ... Vous trouverez la liste complète des jeux ici.


> Voir l'offre
24,99 €Fire TV Stick Basic Edition à 24,99 €
Valable jusqu'au 09 Avril

Amazon fait une promotion sur la nouvelle version de sa clé HDMI Fire TV Stick Basic Edition qu'il propose à 24,99 € au lieu de 39,99 €. Cette clé HDMI à brancher sur votre TV possède un processeur quadricoeur, 1 Go de RAM et 8 Go d'espace de stockage, le WiFi et le bluetooth. Une télécommande est fournie. Avec elle, vous allez pouvoir voir facilement Prime Video, Netflix, YouTube, Spotify sur votre TV Full HD. Cette nouvelle version est désormais compatible Alexa et possède une télécommande améliorée (avec plus de boutons de contrôle). Si vous avez une TV 4K, tournez-vous vers le nouveau modèle Fire TV Stick 4K qui gère les contenus en Ultra HD et qui est actuellement en promotion à 44,99 € (au lieu de 59,99 €). 


> Voir l'offre

Sujets relatifs
[Liza33]navigateur CHROME infecté ?
[El Magnifico] Windows 7 Pro problèmes d'installation Google Chrome
[HORS CHARTE] Infecté par .SUP.Orphean ?
[Liza33]pc infecté??
[El Magnifico] av chrome dll manquante
[El Magnifico]Mon PC infecté par miner-c
[G225] PC 2: windows 10 x64 infecté par PhotoFamily & Advanced SystemProtec
[El Magnifico] pc infecté?
[El Magnifico] pc infecte ?
[El Magnifico] PC se blogue, semble infecté
Plus de sujets relatifs à [El Magnifico] Infecté : Astromenda,Adware Elex Travi Vostram Chrome search
 > Tous les forums > Forum Analyse de rapports et désinfection