Bonjour,

Je récupère cette après midi un PC en Espagne qui fonctionne très mal. Je suppose qu'il est infecté.

J'ai vu cette procédure https://forum.pcastuces.com/procedures_securite_et_tutoriels___index-f25s3902.htm

Il me semblait que par le passé ici on utilisait aussi malwarebytes dans la proc, je me trompe?

Je suis sur place jusqu'au 24 janvier et j'ai très peu de temps d'accès à Internet.

A bientôt pour la suite.

Merci.

Bonjour

• Mon prénom est Gerard, si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4

Si vous acceptez, c'est avec plaisir que nous allons commencer ensemble quelques procédures.


Il est demandé de télécharger tous les logiciels et sripts sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.

En cas de difficulté pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)

Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

• Questions:

Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégique

Touches Windows + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.

Merci Gérard, je reviens dès que j'ai la main sur le pc.

Nota: j'espère donner du baume au coeur à la personne à qui il appartient (16 ans) atteinte d'un cancer avancé.

Pas de souci, ad'taleur

Gerard

Bonjour,

Préambule:

Avant de m'apporter le pc, ils ont passé malwarebytes: Résultat 1121 objets détectés dont 5 critiques mises en quarantaine de la totalité. Un véritable élevage de problèmes.

Je n'ai pas penser à leur dire de ne rien faire

2) J'envoie le rapport depuis mon PC car pour l'instant, il m'est impossible de me connecté à internet avec le pc infecté, problème de captcha impossible à résoudre, j'attends de l'aide. Je suis dans une médiathèque où j'ai un temps limité en heure.

3) je ferais un point de restauration dès que ce sera possible et avant toutes modif demandées. le pc est sous win 10 et je maitrise pas encore cet OS, c'est nouveau pour moi.

4) Hors connexion le PC a fonctionné quasi normalement.

5) réponses aux questions:

Le rapport zhpdiag ci-dessous depuis mon pc en attendant une solution d'accès:

Nota: je n'ai pas encore mis en route frst car je pense qu'il doit être utilisé seulement après ton analyse via zhpdiag.

https://www.cjoint.com/c/HAskLtF77Fc

A cet après midi sans doute si je parviens à résoudre le problème de connexion

Re,

J'ai reussi finalement à résoudre le pb de connexion à la médiathèque mais je suis bloqué sur pc astuces et d'autres sites par ceci ci-dessous. Comment le supprimer? Sur mon netbook a la media pas de problème. Je cumule les ennuis ma souris est morte.

Bonjour letmoi

ça grouille de partout, il y a un gros nettoyage à effectuer.

Compte tenu des difficultés de connexion, je vais vous donner une suite d'outils à passer, si l'un d' eux bloque passez au suivant.

Apparemment Defender et Avast sont activés, il n' en faut qu'un !! perso je désinstallerais Avast quitte à le réinstaller par la suite, il y a aussi Kaspersky free qui est très bien.

Pour désinstaller correctement Avast => https://www.avast.com/fr-fr/uninstall-utility

*******

Téléchargez (clic sur le bouton bleu en dessous du compteur) => ZHPCleaner et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

• Démo animée => ICI

Puis sur : Tout cocher / Valider / Fermer
Cette option recherchera les fichiers vides ( Empty)

La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix



• Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.


Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur " Valider " puis sur Nettoyer




La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque


*****************************************************************************************************

Téléchargez MBAR sur votre bureau ICI

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

Démo animée ICI


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" . Redémarrez votre ordinateur.

Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "System-log.txt" et collez le contenu des fichiers suivants dans votre prochaine réponse: "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.


***************************************************************************************************

Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => Lien direct. (Enregistrer sous => bureau)

Adwcleaner va rechercher les Adwares

Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI

Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.

Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.

Cliquez sur Analyser pour lancer l'analyse.

Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

Patientez le temps de l'analyse .

Si des détections malveillantes sont mises en évidence, postez le rapport

Cliquer sur Nettoyer .

L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"

Confirmez le redémarrage de l'ordinateur.

Au redémarrage le rapport s'ouvrira dans le bloc note.

Postez le rapport .

Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:

Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


***************************************************************************************************

Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. ICI (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

Faites un clic droit -> lancez le programme en tant qu'administrateur

L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint

***************************************************************************************************

Cet outil recherche les Malwares

Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :

· Fermez toutes les applications en cours d'exécution.

· Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.

Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.

Pour lancer l'application :

1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
3. Patientez jusqu'à la fin de l'initialisation.
4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
5. Cliquer sur Start scan
6. Patientez jusqu'à la fin de l'analyse.
7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.

Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.

A vous lire

Re,

je dois faire tout ceci à la queue leu-leu et dire quand j'ai terminé, c'est bien ça?

Je vais jongler avec ma clef usb car je ne peux rien télécharger sur le pc infecté.

Si je supprime avast et laisse win defender et qu'ensuite je remets un anti virus, il faudra supprimer ou désactiver win defender?

Oui, c'est bien ça, il faudra vérifier si la connexion revient après chaque outil passé .

En principe Avast ( ou un autre) désactive automatiquement Defender, (qui n'est pas plus mauvais que les autres.)

Mais ici je me demande si c'est le cas ?

Pour passer les outils dans de bonnes conditions il est préférable de désactiver toutes protections !

Le moment venu ( quand tout ira bien) je vous dirai quand il faudra passer à la derniere version de W10, car actuellement sa version de W10 est ancienne.

Le probléme c'est que la mise à jour dure plusieurs heures, donc à éviter pour le moment.

Oui, l'un après l'autre

les résultats peuvent etre donnés ensemble à la fin du passage de tous les outils ( les liens à poster ici avec CJoint)

Il est possible de télécharger tous les logiciels sur la clé, puis ensuite sur le PC malade les executer chacun leur tour.

.

Dejà avec le passage de ZHPcleaner, on devrait y voir plus clair

Gerard

Ok, mais j ai un autre souci avant de commencer sur win 10 pour faire une sauvegarde il exige une autre unite que la C: et je n ai pas de disque dur a ma disposition. Donc commemt faire, si probleme pour un retour arriere? De plus c est en espagnol et je ne comprends pas tout (quelle galere) et clavier espagnol donc ne pa faire attention a la syntaxe.

Y a t il un moyen de faire une sauvegarde via un logiciel sur le C dans un repertoire dedie que je peux appeler sauvegarde?

je pense peut etre a ccleaner. J ai besoin aussi de faire une installation de libre office pour pouvoir lire ta proc sur un traiteñent de texte en dehors d une connexion. Je peux le faire ou il vaut mieux eviter maintenant?

Une sauvegarde systéme se crée sur un disque dur externe, c' est préférable

Ce qu' il est possible de faire et conseillé c'est de créer un point de restauration , il se crée dans un dossier spécifique sur C:

Tuto animé => ICI

Pour lire la procédure sur votre machine c'est possible , il me semble peut etre même d'imprimer.

Essayez avant tout de passer ZHPCleaner qui va faire un bon décrassage

Impossible de faire la creation d'un point de restauration.

j'ai bien vu le tuto. mais sur win 10 espagne apres etre passe par tous les onglets, il n'y a rien de commun. Il indique neanmoins qu'une sauvegarde fut faite hier par qui je ne sais pas.

c est sur des dossiers ou point de restauration si j'ai bien compris.

Voir image ci dessous. Au milieu, il y a l'image du tuto pour comparaison

Donc tu confirme que je peux passer deja zhpcleaner sans risque et donc sans ce point de restauration. Je vais faire ca de suite.

Creez le point de restauration avant tout , c'est préférable compte tenu des difficultés que vous rencontrez avec cette machine

Sauf si vous étes certain qu' un point existe déjà

Vous pouvez verifier avec Ccleaner

je suis d'accord avec vous mais je ne parviens pas a le faire.

Zhpdiag c est plante car ouverture automatique de la page fortiguard web filtering.

J'ai recommence et la c'est ok avec le meme nombre d'objets detectes que la premiere fois.

J'ai prefere poursuivre avec lui car je pense que le probleme se serait pose aussi avec les autres utils.

le rapport ci dessous:

https://www.cjoint.com/c/HAstcWJ32mc

Remarque j'ai desactive win Lien vers une image externe

Pas de desinstallation d'avast sans permission du proprietaire car il a emporte son pc dan une boutique et lui ont fait payer avast 50 euros alors quil est gratuit et de plus le pc est revenu dans le meme etat que maintenant. Une vrai arnaque.

Il y a cette pub aussi qui me semble etre responsable de pa mal de souci mais je me trompe peut etre.

Je pense que cette page ci dessous est en relation avec avast, je peux que faire exit.

Avast reste desactiver et il est desormais impossible de l'activer

Je rentre chez mois mon temps est largement ecoule ici.

On fera la suite demain avec ou sans restauration sur la partiton c:

Il faut quel espace pour une sauvegarde/restauration. Je pose la question pour savoir si je peux trouver demain une clef usb suffisante.

La page web fortiguard web filtering est toujours la et bloque pas mal de site. Par exemple je ne peux pa voir avec ce pc si le lien du rapport est bon ou non

A demain

Letmoi

Sur la derniere capture cliquez sur EXIT.

Pour une sauvegarde du systéme, je pense qu'il faut une clé de 32Go.

ZHPCleaner a fait un sacré boulot.

Gerard

Bonjour,

J'ai trouve comment faire le point de restauration. il suffisait de taper dans l'aide punto de restoracion et clic sur le lien qui donne creation d'un point de restauration. Je vais finir par connaitre win10.

mbam est tres long, je suppose que lorsque l on a ceci c'est termine.

Donc je vais te mettre apres le nettoyage et redemarrage ainsi que passage des autres logicels tous les resulats.

seul ombre au tableau pour l'instant c'est le blocage des pages sur le net par fortiguard web filtering. Soit c'est un logiciel installe mais je ne le trouve pas ou c'est une verrue que l'on doit pouvoir supprimer du systeme.

Ne pa tenir compte de l'image ci dessus, elle sera retire. mais pour l'instant ce n'est pas possible, je me suis trompe d'image

Nota sur la page comme tu le dit je fais systematiquement exit. j'espere que c'est en relation avec avast et qu'une fois avst supprime, il n'y aura plus ca.

fortiguard web filtering

ne serait ce pas le filtre Smartsceen ? dans IE/ Outils/ filtre Smartsceen/ desactiver

Bien désactiver AVAST si toujours présent et Defender, voire le pare feu.

************

Pouvez vous faire ceci pour y voir un peu plus clair

Avec cet outil nous allons effectuer un nouveau diagnostic, et créer un correctif si nécessaire


Chargez la version qui convient à votre PC, si vous ne l'avez pas déjà sur votre bureau. Dans le cas où votre AV le prend pour un malveillant, désactivez votre AV le temps du téléchargement et du scan.

32 ou 64 bits => Comment savoir ?

• Déposez Frst.exe sur votre Bureau et pas ailleurs !. (Enregistrer sous => bureau)

Maintenant que vous avez chargé la bonne version de l'outil, double-cliquez dessus, puis validez le Disclaimer par "Ok"

Attendez la mise à jour.

Cochez en plus les cases : MD5 Pilotes //Shorcut // Fichiers 90jours

Cliquez sur "Analyser"

Patienter le temps que l'outil analyse votre pc.Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Addition.txt & Shorcut.txt . Poster les rapports avec l’aide de Cjoint . Svp

Les 3 rapports attendus sont : Frst.txt // Addition.txt // shortcut.txt

………………………

Dans l’attente des liens avec l’aide de Cjoint , svp.

....................

PS

J'ai cherché sur le Web, voici ce que j'ai trouvé :

FortiGuard est un produit de sécurité que les administrateurs réseau utilisent pour gérer et protéger un réseau en définissant des restrictions à surfer sur Internet. Habituellement FortiGuard est utilisé dans les établissements scolaires et les lieux de travail pour empêcher les utilisateurs d'Internet d'accéder à des contenus inappropriés ou inapproprié. FortiGuard dispose également d'une configuration proxy pour éviter procurations accès à des utilisateurs d'Internet, qui sont utilisés pour contourner les restrictions sites navigation sur le Web. Si votre administrateur réseau utilise le proxy gratuit FortiGuard, alors vous serez en mesure d'utiliser un proxy pour accéder à des sites qui sont bloqués sur votre réseau.

Source: https://forum.pcastuces.com/envoi.asp?type=Edit&REP_ID=5799504&SUJET_ID=223&FORUM_ID=26

Et

http://www.commentcamarche.net/forum/affich-3860688-probleme-fortiguard-ou-fortinet

http://www.commentcamarche.net/forum/affich-8340267-ultrasurf

Re,

Voici les rapports de la precedente demande:

MBAR

Nota rien au second passage de MBAR apres nettoyage par la premier analyse.

https://www.cjoint.com/c/HAtpUkOaXVc

https://www.cjoint.com/c/HAtpUXHEU8c

ADWCLENAER

https://www.cjoint.com/c/HAtqwmScKdc

https://www.cjoint.com/c/HAtqxfPt3bc

JRT

https://www.cjoint.com/c/HAtpZpVEYOc

La seconde demande sur ton dernier message est en cours. J'avais deja vu la notion d'utlisation sur reseau scolaire ou autre ñais comme c'est un particulier, il n'y a aucune raison pour que ceci soit present sur son pc.

letmoi

Désolé , je ne peux vous en dire plus sur ce probléme, il faudrait poser la question dans le Forum "Internet et reseau"

Pour la désinfection , on continue.

Les liens ADWcleaner donnent les memes rapports que ceux du dessus (MBAR)

Finissez par mon post du dessus avec FRST

La suite:

Il n'y a pas eu de disclamer avec Ok pas de maj non plus.

A la place de analyser il y a scan c'est donc lui qui fut mis en exec.

https://www.cjoint.com/c/HAtq6olQLFc

https://www.cjoint.com/c/HAtqGHavluc

https://www.cjoint.com/c/HAtqHJBd4Zc

J'ai corrige les liens dans mon precedent message, desole pour l'erreur

Il n'y avait pas d'activation Smartsceen dan ie8

Pour l'instant le pc marche plutot bien pas de fortiguard.

AVAST, winDefender, pare feu desactives, c'est peut etre pour ca. Si apres activation ca revient dans ce ca je ñets un message dans reseau comme vous le preconisez.

Le pc est parfois un lent sur l'ouverture de document mais fonctionne nettement mieux

A+

Ok

Vous avez passé KVRT ?

Je regarde les liens et je reviens

Re

Manque le rapport appelé FRST.txt

Faites moi également un scan avec ZHPDiag

J'avais un correctif sur le lien pour frst mais pas de prise en compte un pb avec le copie colle. c'est corrige ci dessus

Oui kvrt fut passe et rien.

Le rapport zhpdiag ci dessous Etonnant apres le nettoyage 7 detections faites encore

https://www.cjoint.com/c/HAtrrJJHqic

Pour l'instant, je touche du bois pas de blocage de page avec fortigurard alors que windefender et avast sont actifs. Je vais si une fois le pare feu en route ca recommence.

Je quitte la mediatheque donc plus d'internet pendant le wwek end. Alors a lundi et bon week end et merci encore. Je vais pouvoir travailler avec ce pc au lieu de mon netbook pour des choses importantes.

tant mieux si tout se passe bien

Relisez mon post juste au dessus , il me manque un rapport.

Gerard