> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] PC/Clé usb infectésSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Serleena
  Posté le 16/05/2018 @ 19:28 
Aller en bas de la page 
Petite astucienne

Bonjour !

Je me suis dernièrement fait bêtement avoir par un mail frauduleux, d'habitude je suis plus vigilante que ça, mais j'attendais des livraisons importantes, et comme le mail parlait de ça... bim. Depuis, j'ai du mal à supprimer cette saleté, malgré un bon coup d'Adwcleaner et de Malwarebytes. Et pas de bol, clé usb contaminée. J'ai tenté de passer par usbfix, mais pas moyen de le télécharger. J'ai testé avec Remediate VBS worm mais je trouve toujours des fichiers qui n'ont rien à faire là.
Du coup j'en appelle à votre aide, en espérant trouver un moyen de purger tout ça.

D'avance un grand merci.

Publicité
Serleena
 Posté le 16/05/2018 à 19:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Serleena
 Posté le 16/05/2018 à 20:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : Shortcut.txt

Serleena
 Posté le 16/05/2018 à 20:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : Addition.txt

Serleena
 Posté le 16/05/2018 à 20:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : FRST.txt

pcastuces
 Posté le 16/05/2018 à 20:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces

Bienvenue dans ce Forum,

Si ton antivirus t'empêche de télécharger FRST64 ou USBFix, tu dois désactiver provisoirement ton antivirus, le temps du Téléchargement et de leur exécution

Tu dois fournir les 4 rapports

Serleena
 Posté le 16/05/2018 à 20:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci :) C'est fait pour FRST64, mais pour USBfix pas moyen, j'ai un message d'erreur quand j'essaie de le lancer. Je vais retenter.

Edit : réussi à faire une analyse usbfix aussi mais le logiciel se ferme/supprime avant que je puisse faire autre chose.



Modifié par Serleena le 16/05/2018 20:40
El Magnifico
 Posté le 18/05/2018 à 14:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Serleena

Bonjourimage



• Si vous pensez que votre machine est infectée et elle l' est, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4

Si vous acceptez, je serai ravi de vous aider.


Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.

image



Si vous préférez l' hebergeur Textup => http://textup.fr

Demo animée => https://forum.pcastuces.com/img/883b1426d0af9b869624903b56b79ff6.gif

Pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)

image Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

      => Tuto pour ZHPDiag
image



Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

• Questions:

      • Réalisez vous des sauvegardes image du système sur
un disque dur externe
      ainsi que les données que vous créez ?

      • Quel antivirus utilisez vous ?

      • Avez vous modifier le fichier Hosts ?

      • Utilisez vous Yahoo ?





image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
image

Code
Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK. Vous reviendrez dans le temps modifier cette valeur en fonction du nombre de point de restauration que vous voulez garder.
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.




image

Serleena
 Posté le 18/05/2018 à 20:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour !

Un grand merci de ton aide, je l'accepte volontiers.

Les liens :

ZHPDiag : https://www.cjoint.com/c/HEssbIJ8Xqu

FRST : https://www.cjoint.com/c/HEssfGOJURu

Addition.txt https://www.cjoint.com/c/HEssgfqsHMu

Shortcut.txt https://www.cjoint.com/c/HEssgMGdkqu


Pour répondre aux questions :

• Réalisez vous des sauvegardes image du système sur un disque dur externe ainsi que les données que vous créez ? Non.

• Quel antivirus utilisez vous ? Panda Dome.

• Avez vous modifier le fichier Hosts ? Pas que je me souvienne.

• Utilisez vous Yahoo ? Non.

Chrome désynchronisé et point de restauration créé.


Merci encore.

Publicité
El Magnifico
 Posté le 18/05/2018 à 20:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Serleena

Qu' avez vous cracké chez Adobe ?

Serleena
 Posté le 19/05/2018 à 00:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Euh on m'a installé une version de Photoshop qui était sûrement crackée ? Je n'ai pas d'autres produits Adobe il me semble.

El Magnifico
 Posté le 19/05/2018 à 09:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Serleena

Effectivement c'est Photoshop !

Désinstallez :

Adobe Photoshop CC 2015

Discord

Quel est votre version de USBFix ?

Vous dites: je trouve toujours des fichiers qui n'ont rien à faire là. de quels fichiers parlez vous ?

Refaire un scan avec ZHPDiag postez le rapport



Modifié par El Magnifico le 19/05/2018 10:51
Serleena
 Posté le 19/05/2018 à 12:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Hello !

Logiciels supprimés.

Y a-t-il un problème avec Discord ?

Pour USBfix ça doit être la version 10.021. si j'en crois le nom.

Les fichiers dont je parlais étaient notamment le dossier system volume information qui est apparu sur ma clé quand j'ai fait un nettoyage avec remediate VSB worm (vu que USBfix ne marchait pas), mais je crois que j'avais réussi à le supprimer, en tout cas il n'y est plus. J'ai un fichier errorlog.txt qui s'ouvre à chaque démarrage de l'ordi, mais peut-être que ça vient d'un des logiciels de scan ? Egalement, Panda Dome me détecte un fichier critique, et me demande de redémarrer pour le supprimer, mais j'ai beau le faire il me dit toujours la même chose.

ZHP Diag https://www.cjoint.com/c/HEtkg654yXu

El Magnifico
 Posté le 19/05/2018 à 13:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

C'est la bonne version pour USBFix, Discord est un nid à crabes, si vous souhaitez le réinstaller vous le ferez à la fin de la désinfection.

Vous me donnerez le nom du fichier que détecte Panda

.

image

      Merci d'avoir lu et accepté les conditions citées en accueil.


image
      => Avant d' utiliser tous les outils que l' on vous propose,
enregistrez tous vos travaux en cours
      , à défaut vous perdrez tout votre travail en cours !





image Si votre navigateur est Google Chrome
      => désactivez toute synchronisation
ICI


image
Desactivez votre antivirus le temps du telechargement et de la correction .



On attaque dans l’ dur image pour un bon nettoyage !


Code
Nous allons vider le dossier ZHP:
      Touches
Windowsimage
      +
R
      , tapez ou Copiez/Collez
cmd /c rd /s /q %appdata%\zhp
    puis validez par un clic sur OK
. C' est trés furtif, vous ne verrez rien .

image



****************************************************



imageZHPFix
      (de Nicolas Coolman)



Code
1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau image , puis cliquez sur le (bouton bleu) "Download Now"et télécharger le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

image

=> Surlignez toutes les lignes bleues ce qui se trouvent sous "Citation", ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier




Citation

Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
O108 - CMH1: WinRAR32 [64Bits] - {B41DB860-8EE4-11D2-9906-E49FADC173CA} . (.Orphan.)
O108 - CMH6: WinRAR32 [64Bits] - {B41DB860-8EE4-11D2-9906-E49FADC173CA} . (.Orphan.)
O87 - FAEL: "{20C5FD1A-4F21-4903-9697-2D5ADBF654C0}" [In-None-P17-TRUE] .(...) -- C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe (.not file.)
O87 - FAEL: "{E0413A06-92E5-4829-A2F1-53FD8E2CC228}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\Nox\bin\Nox.exe (.not file.)
O87 - FAEL: "{48B5FE69-BDB1-4B89-833F-9BCB6539CF25}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe (.not file.)
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\000
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\001
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\002
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\003
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\004
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\005
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\006
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\007
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\008
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\009
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\010
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\011
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\012
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\013
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\014
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\015
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\016
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\017
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\018
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\019
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\020
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\021
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\022
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\023
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\024
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\025
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\026
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\027
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\028
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\029
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\030
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\031
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\032
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\033
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\034
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\035
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\036
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\037
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\038
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\039
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\040
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\041
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\042
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\043
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\044
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\045
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\046
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\047
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\048
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\049
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\050
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\051
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\052
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\Plugins
HKCU\SOFTWARE\BitComet
O43 - CFD: 12/01/2018 - [] AD -- C:\Program Files\BitComet
O43 - CFD: 11/02/2018 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitComet (64-bit)
O43 - CFD: 29/04/2018 - [] D -- C:\Users\tiffa\AppData\Roaming\BitComet
O4 - HKCU\..\Run: [Discord] . (.Discord Inc. - Discord.) -- C:\Users\tiffa\AppData\Local\Discord\app-0.0.301\Discord.exe
O4 - HKUS\S-1-5-21-2419997156-525015938-3086223022-1001\..\Run: [Discord] . (.Discord Inc. - Discord.) -- C:\Users\tiffa\AppData\Local\Discord\app-0.0.301\Discord.exe
[MD5.D777FC49B6674A12EAE4FC5B286D2E4F] - (.Discord Inc. - Discord.) -- C:\Users\tiffa\AppData\Local\Discord\app-0.0.301\Discord.exe [57816920] [PID.43704]
[MD5.D777FC49B6674A12EAE4FC5B286D2E4F] - (.Discord Inc. - Discord.) -- C:\Users\tiffa\AppData\Local\Discord\app-0.0.301\Discord.exe [57816920] [PID.49572]
[MD5.D777FC49B6674A12EAE4FC5B286D2E4F] - (.Discord Inc. - Discord.) -- C:\Users\tiffa\AppData\Local\Discord\app-0.0.301\Discord.exe [57816920] [PID.46972]
[MD5.D777FC49B6674A12EAE4FC5B286D2E4F] - (.Discord Inc. - Discord.) -- C:\Users\tiffa\AppData\Local\Discord\app-0.0.301\Discord.exe [57816920] [PID.45380]
O4 - GS\TaskBar [Administrateur]: Discord.lnk . (.GitHub - Update.) C:\Users\tiffa\AppData\Local\Discord\Update.exe --processStart Discord.exe
O4 - GS\TaskBar [Funya]: Discord.lnk . (.GitHub - Update.) C:\Users\tiffa\AppData\Local\Discord\Update.exe --processStart Discord.exe
O4 - GS\TaskBar [WDAGUtilityAccount]: Discord.lnk . (.GitHub - Update.) C:\Users\tiffa\AppData\Local\Discord\Update.exe --processStart Discord.exe
O43 - CFD: 02/05/2018 - [] D -- C:\Users\tiffa\AppData\Roaming\discord
O43 - CFD: 26/04/2018 - [] D -- C:\Users\tiffa\AppData\Roaming\discordsdk
O43 - CFD: 02/05/2018 - [] D -- C:\Users\tiffa\AppData\Local\Discord
O43 - CFD: 02/05/2018 - [] D -- C:\Users\tiffa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc
O17 - HKLM\System\CCS\Services\Tcpip\..\{360b0564-d6cd-4df4-b44d-e76d6220b0f4}: DhcpNameServer = 169.254.177.95
HKLM\SOFTWARE\Chromium
HKLM\SOFTWARE\WOW6432Node\Chromium
HKCU\SOFTWARE\Chromium
Fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

      …………………………………


Code
3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton image

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif image

image

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!

image

.
Si aprés l' affichage du rapport sur le bureau la machine reste bloquée, fermez la fenetre du rapport.
Malgré celà, si la machine reste bloquée procedez à un redémarrage.


……………………………………………

Code
4) HEBERGEZ le rapport ZHPFix.txt qui se trouve sur le bureau et communiquez le lien de l' hebergeur dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint ou TextUp



A vous lire image


Modifié par El Magnifico le 19/05/2018 13:11
Serleena
 Posté le 19/05/2018 à 17:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

...le fichier que détecte Panda est USBfix

Rapport ZHPfix après nettoyage : https://www.cjoint.com/c/HEtpEMdijNu

(Je l'ai fait sans avoir branché la clé USB, je ne sais pas si j'aurais dû ?)

Merci !

El Magnifico
 Posté le 19/05/2018 à 17:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, il arrive que certains antivirus prennent les outils de nettoyage pour des malwares, c' est pour cette raison que l' on demande de désactiver l' antivirus le temps du téléchargement et de son exécution.

On désinstallera USBFix à la fin de la désinfection avec les autres outils utilisés.

Ne pas brancher les clés pour le moment.

*******

Voici une suite

ADWCleaner


image

image Téléchargez la derniere version AdwCleaner sur votre Bureau => image. (Enregistrer sous => bureau)

Attendre quelques secondes l' apparition de la fenetre de téléchargement.

Adwcleaner va rechercher les Adwares

image

Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte"

Cliquez sur Analyser maintenant pour lancer l'analyse.

Si des détections malveillantes sont mises en évidence

Cliquer sur Nettoyer et réparer .

image

L'utilitaire va fermer tous vos programmes pendant la suppression

Confirmez le Nettoyage et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.


image

  • Tuto pour creer un lien avec Cjoint=> image



Postez le rapport .

Note : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:

  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt



Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

Redemarrez la machine.

***************************************************************************************************

ZHPCleaner
    (de Nicolas Coolman)



image


image Téléchargez (clic sur le bouton bleu ) => image et enregistrez sous / sur Bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

image


  • Cliquez sur image

  • Puis sur : Tout cocher / Fermer



image


  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".



La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix

image

Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur Nettoyer


image

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque



*****************************************************************************************************

MBAR



image


Téléchargez MBAR sur votre bureau image

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

image


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" .

Dés que le “nettoyage” est terminé, un message s’affiche “Cleanup scheduled successfully” ainsi qu’une fenêtre, Cliquez dans cette fenêtre sur “Yes
Votre ordinateur redémarre.

Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=> Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

  • Accès à Internet

  • Mise à jour de Windows

  • Pare-feu Windows



S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.



***************************************************************************************************


Kaspersky Virus Removal Tool



image

  • Téléchargez sur ce site : image
  • A défaut sur PCA :



Cet outil recherche les Malwares

Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :

· Fermez toutes les applications en cours d'exécution.

· Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.

Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.

image Pour lancer l'application :


1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
3. Patientez jusqu'à la fin de l'initialisation.
4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
5. Cliquer sur Start scan
6. Patientez jusqu'à la fin de l'analyse.
7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.

KVRT ne délivre pas de rapport !



Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.

A vous lire image

Serleena
 Posté le 19/05/2018 à 18:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Aucune menace détectée avec Adwcleaner, MBAR et Kaspersky Removal Tool.

Les rapports :

Adwcleaner https://www.cjoint.com/c/HEtq0bHtwMu

ZHPCleaner https://www.cjoint.com/c/HEtq00k7sfu

MBAR https://www.cjoint.com/c/HEtq2inzgJu

Publicité
El Magnifico
 Posté le 19/05/2018 à 20:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C' est pas mal

Mais avec ZHPCleaner vous n' avez pas suivi le processus , il faut cliquer sur "Options" et suivre les indications: A refaire

Puis ceci:


Junkware Removal Tool



image


image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. image (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

    Faites un clic droit -> lancez le programme en tant qu'administrateur



L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint ou TextUp

***************************************************************************************************


Nettoyage des fichiers temporaires inutiles avec SFT de Pierre13

Désactiver l'anti virus avant ! et lire ces instructions.

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Fermer tous les programmes en cours ==>> Important !

image Télécharger SFT.exe sur le bureau (Nouvelle version 2.4.0.3)image

      Si SFT n'est pas sur le bureau, ce message (anglais et français) le signale et SFT se ferme.


    Déplacer SFT sur le bureau et le relancer.



image

Si l'antivirus fait des siennes: désactive-le provisoirement. Pour savoir comment faire, voir cet article.

      Sous Windows, faire un clic droit sur le fichier et choisir
Exécuter en temps qu'administrateur
      .


    Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...



A la fin, un message demandera si on veut vider la corbeille..Accepter.

image

      A la fin du nettoyage, un rapport va s'ouvrir.


    Ce rapport est enregistré sur le bureau (SFT.txt)



image

Utilisez Cjoint ou TextUp pour poster le rapport

Communiquez le lien, merci.

*****************************************************************************************************

Branchez vos clés USB et DD externes.

      Pour réaliser une analyse de vos disques avec Usb
Fix
    , connectez les différents supports à l’ordinateur.



Le système (L’ordinateur) sera analysé ainsi que tous les disques USB, Externe, Téléphones, Cartes mémoire, disques réseaux présent. Si vous utilisez des disques réseaux, suivez ces instructions : Activer la reconnaissance des disques réseaux.


Double-cliquez sur le raccourci UsbFix sur le Bureau, l'installation se fera automatiquement.


Cliquez sur le bouton Lancer une analyse pour effectuer une recherche d'infections sur le PC.
Ne prétez pas attention à "Votre PC est non protégé" celà concerne uniquement Bitdefender.

image


Choisir ce que vous voulez analyse, de préférence cliquez sur Analyse compléte

image


La recherche est maintenant lancée... Patientez quelques minutes...

image


Une fois l'analyse terminée, une fenetre apparaîtra à l'écran vous indiquant les éléments infectieux trouvés par UsbFix
Cliquez sur Tout cocher puis sur Réparer les éléments

image


Si aucune menace n'est détectée , vous aurez cette fenetre

image

Postez le rapport



***********************************

.

Pour un dernier diagnostic

Refaire un scan avec ZHPDiag, postez le rapport


Refaire un scan avec FRST, postez les 3 Rapports
.



Modifié par El Magnifico le 19/05/2018 20:40
Serleena
 Posté le 19/05/2018 à 22:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Au temps pour moi, j'ai dû rater une étape.

Donc le nouveau rapport ZHPCleaner : https://www.cjoint.com/c/HEtusCoMz2u

JRT : https://www.cjoint.com/c/HEtutzZls8u

SFT : https://www.cjoint.com/c/HEtuubTNwCu

J'ai branché ma clé USB mais USBfix n'a détecté aucune menace.

Rapport USBfix : https://www.cjoint.com/c/HEtuvd7uB6u

ZHPDiag https://www.cjoint.com/c/HEtuHwVfv8u

FRST https://www.cjoint.com/c/HEtuMdDampu

Shortcut.txt https://www.cjoint.com/c/HEtuMwjZLmu

Addition.txt https://www.cjoint.com/c/HEtuMPspxzu

Merci !



Modifié par Serleena le 19/05/2018 22:39
El Magnifico
 Posté le 19/05/2018 à 23:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Serleena

.

Nickel Chrome

Voici un correctif avec FRST

image Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.


Desactivez votre antivirus le temps de la correction .



Copiez tout ceci dans le Presse papier, surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::)

Citation


start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-05-16] ()
SearchScopes: HKU\S-1-5-21-2419997156-525015938-3086223022-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Pas de fichier]
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\Extensions\inobiceghmpkaklcknpniboilbjmlald
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {54486F60-9AEA-4F26-A082-BB5796825FAD} - pas de chemin du fichier
Task: {889B699C-3358-48FF-B676-4CAF364510CA} - pas de chemin du fichier
Task: {D425D858-BBAD-4D1F-B046-2F7D670EF1ED} - pas de chemin du fichier
Task: {D7D91D5D-A96F-421D-8867-34C77F4B27C6} - pas de chemin du fichier
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
C:\Users\tiffa\AppData\Roaming\ZHP\Quarantine\ZHPFix\Folder\Folder56___BitComet (64-bit)\BitComet.lnk
C:\Users\tiffa\AppData\Roaming\ZHP\Quarantine\ZHPFix\Folder\Folder56___BitComet (64-bit)\HomePage.lnk
C:\Users\tiffa\AppData\Roaming\ZHP\Quarantine\ZHPFix\Folder\Folder56___BitComet (64-bit)\Uninstall.lnk
C:\Users\tiffa\AppData\Roaming\ZHP\Quarantine\ZHPFix\File\File90___Discord.lnk
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{A155A044-75BF-4F9B-A1C9-5F7FEFAD52BD}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{927146D3-3BA4-4D72-841B-891F97EF5497}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{B493AB82-9FA5-4E4E-9F8D-03CCDCB38970}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{20C5FD1A-4F21-4903-9697-2D5ADBF654C0}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{E0413A06-92E5-4829-A2F1-53FD8E2CC228}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{48B5FE69-BDB1-4B89-833F-9BCB6539CF25}
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\000
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\050
C:\Users\tiffa\AppData\Local\Google\Chrome\User Data\Default\File System\Plugins
Hosts:
EmptyTemp:
RemoveProxy:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::




Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant la fleche dans la fenetre rectangulaire, puis clic droit/ coller

Cliquez sur image puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

image

.........................

Comment tourne la machine ?
Si c' est correct , on finalise au prochain passage

Serleena
 Posté le 20/05/2018 à 00:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Le pc tourne très bien, mais c'était déjà le cas avant la désinfection, je n'ai pas constaté de ralentissements ou autre.

Le lien FRST https://www.cjoint.com/c/HEtw1znQPSu



Modifié par Serleena le 20/05/2018 01:38
El Magnifico
 Posté le 20/05/2018 à 09:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Parfait, le principal c'est que le PC tourne aussi bien qu' avant !

Attention , n' utilisez pas de crack , source d' ennuis.

Ma mission se termine


C ' est la dernière ligne droite



Videz la Corbeille image

........................

Ouvrez Ccleaner

Si vous ne l' avez pas , téléchargez le , prendre la version Portable ( Zip ) image

image

image / Analyser / Nettoyer.

Puis toujours dans Ccleaner
Cliquez sur Outils/ Demarrage/ dans les onglets "Taches planifiées" et "Windows" surlignez toutes les lignes sauf l'antivirus s'il est présent ,
puis cliquez en haut à droite sur DESACTIVER. S'il reste des lignes Activées , c'est normal !

.......................

Téléchargez sur le bureau Delfix (d'Xplode) image
Le lancez en mode administrateur

      · Cochez uniquement la case
Supprimer les outils de désinfection
      . Cliquez sur "
Exécuter
      " puis patienter pendant le processus de suppression.

    · Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau



Le rapport est enregistré dans le presse-papier, il se trouve aussi là : C:\DelFix.txt, postez le

Si des outils restent présents sur le bureau, désinstallez les manuellement, notamment MBAR

Puis

Touches Windows image + R , tapez ou Copiez/Collez cmd /c rd /s /q %appdata%\zhp puis validez par un clic sur OK
Touches Windows image + R , tapez ou Copiez/Collez cmd /c rd /s /q \KVRT_Data puis validez par un clic sur OK


……………………………….

Fin de désinfection

image

Je vous suis reconnaissant de m'avoir accordé votre confiance.

Maintenant que la machine est propre, il est judicieux de sauvegarder régulièrement les données personnelles que l'on ne souhaite pas perdre, et surtout de créer une image disque du Système Windows.

Il est très important d' utiliser un programme permettant de créer des images de son système et aussi de faire les sauvegardes de ses données personnelles que l'on ne souhaite pas perdre, images disque et sauvegardes dont on privilégiera de les sauvegarder régulièrement sur un support externe, et qui par prudence sera déconnecté aussitôt l’opération réussie.

Comment créer une sauvegarde de son système:

En cas de gros plantage, de défaillance matérielle, d'infection incurable, il est possible ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet.
Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.
Vous pouvez aussi créer une image complète de votre système avec Windows sans opter pour un logiciel tiers.



En cas de besoin des intervenants compétents restent à disposition dans cette section : Forum Sauvegarde et prévention

Merci de votre coopération. image

N'utilisez pas le P2P => https://www.generation-nt.com/utorrent-torrent-bittorrent-securite-tavis-ormandy-actualite-1951180.html
et => https://www.generation-nt.com/client-bittorrent-vulnerabilite-ormandy-transmission-actualite-1949990.html


Prudence et Bonne journée image

image

.

Serleena
 Posté le 20/05/2018 à 10:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Le lien DELFIX https://www.cjoint.com/c/HEuiGSlCmwu

Le reste est fait et je prends note des explications, je vais tâcher de m'occuper de créer une sauvegarde système.

Un grand merci pour cette aide précieuse en tout cas.

El Magnifico
 Posté le 20/05/2018 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

De rien

Bon dimanche

je marque le sujet en Resolu

Serleena
 Posté le 20/05/2018 à 15:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bon dimanche également

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[El Magnifico]Nettoyage pc infecté windows 10
[El Magnifico] Peut-être infecté?
[El Magnifico] PC lent, infecté ou pas ?
PC rame un peu. Infecté ou pas ?
[Pierre95]Pc infecté
windows 10 infecte
[Pierre95]Pc infecté?
[Pierre95] je pense etre infecte merci
[Pierre95]PC infecté
pc infecté & problême avec fixmestick
Plus de sujets relatifs à [El Magnifico] PC/Clé usb infectés
 > Tous les forums > Forum Analyse de rapports et désinfection