[El Magnifico]Analyse sur pc d'un ami

[El Magnifico]Analyse sur pc d'un ami Sujet résolu

Ajouter un message à la discussion

letmoi

Posté le 16/07/2019 @ 15:36

Bonjour,

Un bon nombre d'info arrive à l'ouverture de chrome, je suppose que le pc est infecté mais sans certitudes.

je pourrais prendre à distance le PC durant le cours de la semaine en fonction des dispo de mon ami, donc pas d'urgence.

je vais donc commencer par mettre les premiers éléments comme demandé ci-dessous:

Résultat de zhpdiag

https://www.cjoint.com/c/IGqnuvg25FP

frst

https://www.cjoint.com/c/IGqnG6VfclP

addition

https://www.cjoint.com/c/IGqnFBCXSqP

shortcut

https://www.cjoint.com/c/IGqnIDfGweP

Je fais office d'intermédiaire pour mon ami car il n'est pas familiarisé avec ce type de chose.

Merci pour votre patience.

El Magnifico

Posté le 16/07/2019 à 15:46

Groupe Sécurité

pas d' infection dans la machine

on peut dépoussiérer si vous le souhaitez

letmoi

Posté le 16/07/2019 à 18:19

OUF et tant mieux.

Ok pour le dépoussiérage.

Merci.

El Magnifico

Posté le 16/07/2019 à 18:30

Groupe Sécurité

Nous allons commencer par un pré-nettoyage, suivez ces procédures (3 rapports à me faire parvenir)

Cliquez ICI

letmoi

Posté le 16/07/2019 à 18:42

Ok je prend son pc à distance demain et résultat demain soir s'il est bien chez lui.

merci.

El Magnifico

Posté le 16/07/2019 à 18:49

Groupe Sécurité

letmoi

Posté le 17/07/2019 à 18:33

Bonjour,

Les rapports demandés:

mbam

https://www.cjoint.com/c/IGrqBNzlooP

adwcleaner

https://www.cjoint.com/c/IGrqC1TCKGP

zhpcleaner R

https://www.cjoint.com/c/IGrqECfFflP

zhpcleaner S

https://www.cjoint.com/c/IGrqGkC4HfP

Merci pour la suite et à demain.

El Magnifico

Posté le 17/07/2019 à 22:10

Groupe Sécurité

Parfait

Réinitialisez Chrome=>

Réparer Google Chrome (premier paragraphe seulement) ICI

Refaire un scan avec ZHPDiag postez le rapports

Refaire un scan avec FRST, postez les 3 rapports

Modifié par El Magnifico le 17/07/2019 22:11

letmoi

Posté le 18/07/2019 à 17:07

Bonjour,

je vais voir si je peux faire ceci avec mon ami ce jour ou demain au plus tard par contre quel est l'intérêt d'une réinitialisation de Chrome? Celui-ci fonctionne bien.

Je suppose que ceci écrit dans le premier paragraphe n'est pas utile à faire?

https://www.malekal.com/chrome-cleanup-supprimer-logiciels-malveillants/

Le adblock existant sera donc supprimé de même que la page actuelle à l'ouverture de Chrome, exacte?

Je n'ai ps sans doute vu certaines choses, serait-ce l'explication

Il a aussi Firefox?

A+

Modifié par letmoi le 18/07/2019 17:14

El Magnifico

Posté le 18/07/2019 à 18:39

Groupe Sécurité

Votre premiere phrase

Un bon nombre d'info arrive à l'ouverture de chrome, je suppose que le pc est infecté mais sans certitudes.

Suivant le lien que je vous ai donné, seule la premiere partie est à prendre en compte, c' est à dire ceci:

Réinitialiser Google Chrome

Voici comment réinitialiser Google Chrome afin de remettre par défaut et supprimer les extensions parasites.

letmoi

Posté le 18/07/2019 à 18:50

Oui pour les infos mais ce n'est plus le cas maintenant et sans doute aussi parce que j'ai vidé le cache puis supprimé l'historique avec les cookies.

Il se peut que ça revienne, là seul mon ami me le dire demain.

C'est justement dans cette première partie qu'il y a ceci

https://www.malekal.com/chrome-cleanup-supprimer-logiciels-malveillants/

voir la fin ici de réinitialiser

https://www.cjoint.com/c/IGsqWC7OOCo

El Magnifico

Posté le 18/07/2019 à 20:10

Groupe Sécurité

Ne pas aller plus loin pour Chrome, si tout est correct

Reste juste les scans à éffectuer pour un dernier correctif.

letmoi

Posté le 20/07/2019 à 17:22

El Magnifico

Posté le 20/07/2019 à 18:14

Groupe Sécurité

=> Je vous invite à désinstaller ces programmes inutiles cités sous "Citation" , sauf votre avis contraire !

Code

Pour obtenir directement l'accés à ces programmes :
Touches Windows

+ R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK

Citation

=> DriversCloud.com
=> Mozilla Maintenance Service
=> TeamViewer 10 (pas à jour)

***************************************************************************************************

Voici un correctif avec

FRST

Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

ENREGISTREMENT du script FixList pour correction.

Desactivez votre antivirus le temps de la correction .

Ne passer qu'une fois le correctif !

Surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::)

Citation

start::
CreateRestorePoint:
CloseProcesses:
Hosts:
EmptyTemp:
RemoveProxy:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-07-21] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-951728049-21133606-2250823937-1000\...\MountPoints2: {26a7f611-7a20-11e5-a1ff-806e6f6e6963} - E:\autorun.exe
HKU\S-1-5-21-951728049-21133606-2250823937-1000\...\MountPoints2: {32eef607-66d4-11e6-9921-74d435ff6301} - F:\OnePlus_setup.exe /s
BHO: Pas de nom -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Pas de fichier
BHO: Pas de nom -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Pas de fichier
FF Plugin: @java.com/DTPlugin,version=11.144.2 -> C:\Program Files\Java\jre1.8.0_144\bin\dtplugin\npDeployJava1.dll [Pas de fichier]
FF Plugin: @java.com/JavaPlugin,version=11.144.2 -> C:\Program Files\Java\jre1.8.0_144\bin\plugin2\npjp2.dll [Pas de fichier]
FF Plugin: @microsoft.com/GENUINE -> disabled [Pas de fichier]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Pas de fichier]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\A propos de Java.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Configurer Java.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Rechercher les mises à jour.lnk
O2 - BHO: (no name) [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (.Orphan.)
O2 - BHO: (no name) [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9} (.Orphan.)
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DBC80044-A445-435b-BC74-9C25C1C588A9}
C:\Users\Jacky\AppData\Local\Google\Chrome\User Data\Default\File System\002
C:\Users\Jacky\AppData\Local\Google\Chrome\User Data\Default\File System\026
C:\Users\Jacky\AppData\Local\Google\Chrome\User Data\Default\File System\027
C:\Users\Jacky\AppData\Local\Google\Chrome\User Data\Default\File System\028
C:\Users\Jacky\AppData\Local\Google\Chrome\User Data\Default\File System\029
[HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Users\Jacky\Desktop\ZHPCleaner.exe
[HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Users\Jacky\Desktop\adwcleaner_7.3.exe
[HKU\S-1-5-21-951728049-21133606-2250823937-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Users\Jacky\Desktop\ZHPCleaner.exe
[HKU\S-1-5-21-951728049-21133606-2250823937-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Users\Jacky\Desktop\adwcleaner_7.3.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4A03706F-666A-4037-7777-5F2748764D10}
DeleteKey: HKLM\SOFTWARE\JavaSoft
DeleteKey: HKLM\SOFTWARE\WOW6432Node\JavaSoft
DeleteKey: HKCU\SOFTWARE\JavaSoft
DeleteKey: HKCU\SOFTWARE\AppDataLow\Software\JavaSoft
DeleteKey: HKU\.DEFAULT\SOFTWARE\JavaSoft
DeleteKey: HKU\S-1-5-21-951728049-21133606-2250823937-1000\SOFTWARE\JavaSoft
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
C:\Program Files (x86)\Common Files\Java
DeleteKey: HKLM\Software\Classes\Installer\Products\F60730A4A66673047777F5728467D401
DeleteKey: HKLM\Software\Classes\Installer\Features\F60730A4A66673047777F5728467D401
DeleteKey: HKCU\Software\Microsoft\Installer\Products\F60730A4A66673047777F5728467D401
DeleteKey: HKCU\Software\Microsoft\Installer\Features\F60730A4A66673047777F5728467D401
C:\Windows\Installer\1441a7.msi
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SunJavaUpdateSched
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
DeleteKey: HKLM\SOFTWARE\WOW6432Node\AVAST Software
C:\ProgramData\AVAST Software
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Reboot:
C:\Windows\Temp\ *.*
C:\Users\Jacky\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::

Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant le curseur dans la fenetre blanche rectangulaire, puis clic droit/ coller

Cliquez sur puis validez le Disclaimer par "Ok"

Laissez le travailler, cela peut durer un certain temps.

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

.........................

Comment se comporte la machine ?
Si c' est correct , on finalise au prochain passage

letmoi

Posté le 20/07/2019 à 18:38

Voici le rapport fixlog

https://www.cjoint.com/c/IGuqLBpwiVP

DriversCloud.com sera désinstallé=> Mozilla Maintenance Service sera désinstallė=> TeamViewer 10 (pas à jour) est mis à jour depuis car nécessaire pour moi et pour celui chez qui fut acheté ce pc.

A+

Modifié par letmoi le 20/07/2019 19:13

El Magnifico

Posté le 20/07/2019 à 19:41

Groupe Sécurité

letmoi

Ma mission se termine

C ' est la dernière ligne droite

Videz la Corbeille

........................

Ouvrez Ccleaner

Si vous ne l' avez pas , téléchargez le , prendre la version Portable ( Zip )

/ Analyser / Nettoyer.

Puis toujours dans Ccleaner
Cliquez sur Outils/ Demarrage/ dans les onglets "Taches planifiées" et "Windows" surlignez toutes les lignes sauf l'antivirus s'il est présent ,
puis cliquez en haut à droite sur DESACTIVER. S'il reste des lignes Activées , c'est normal !

.......................

KpRm (de Kernel-panik)

· Téléchargez sur le bureau => kprm.exe
· Désactivez temporairement l’ antivirus
· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases :

o Supprimer des outils (précochée)

o Créer un point de restauration

· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

Si des outils restent présents sur le bureau, désinstallez les manuellement.

Puis

Touches Windows + R , tapez ou Copiez/Collez cmd /c rd /s /q %appdata%\zhp puis validez par un clic sur OK

Touches Windows + R , tapez ou Copiez/Collez cmd /c rd /s /q \AdwCleaner puis validez par un clic sur OK

( C' est trés furtif )

……………………………….

Fin de désinfection

Je vous suis reconnaissant de m'avoir accordé votre confiance.

Maintenant que la machine est propre, il est judicieux de sauvegarder régulièrement les données personnelles que l'on ne souhaite pas perdre, et surtout de créer une image disque du Système Windows.

Il est très important d' utiliser un programme permettant de créer des images de son système et aussi de faire les sauvegardes de ses données personnelles que l'on ne souhaite pas perdre, images disque et sauvegardes dont on privilégiera de les sauvegarder régulièrement sur un support externe, et qui par prudence sera déconnecté aussitôt l’opération réussie.

Pourquoi? => https://www.nicolascoolman.com/forum/post94895.html#p94895

Comment créer une sauvegarde de son système:

En cas de gros plantage, de défaillance matérielle, d'infection incurable, il est possible ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet.
Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.
Vous pouvez aussi créer une image complète de votre système avec Windows sans opter pour un logiciel tiers.

Cloner son système Windows 7
Créer une image système Windows 8
Créer une image système Windows 8.1
Sauvegarde du système Windows 10
Recommandations aux possesseurs de nouveaux PC

En cas de besoin des intervenants compétents restent à disposition dans cette section : Forum Sauvegarde et prévention

N'utilisez pas le P2P => https://www.generation-nt.com/utorrent-torrent-bittorrent-securite-tavis-ormandy-actualite-1951180.html
et => https://www.generation-nt.com/client-bittorrent-vulnerabilite-ormandy-transmission-actualite-1949990.html

Merci de votre coopération.Toute l'équipe du forum vous remercie et vous souhaite une agréable journée.

letmoi

Posté le 22/07/2019 à 18:10

Bonjour,

Voici le dernier rapport, je vais finaliser directement chez mon ami car il y a des coupures à distance.

https://www.cjoint.com/c/IGwqhqBGP3P

PuisTouches Windows + R , tapez ou Copiez/Collez cmd /c rd /s /q %appdata%\zhp puis validez par un clic sur OKTouches Windows + R , tapez ou Copiez/Collez cmd /c rd /s /q \AdwCleaner puis validez par un clic sur OK

Ces commandes ne servent qu'à la suppression de ces outils

Je peux aussi les supprimer manuellement, non?

Nota: le PC s'est éteint tout seul. Ca arrive chez moi aussi quelques fois et je ne sais toujours pas pourquoi. Par contre chez lui c'est la première fois..

A+

Modifié par letmoi le 23/07/2019 18:18

El Magnifico

Posté le 25/07/2019 à 20:10

Groupe Sécurité

Je mets le sujet en résolu et clos le sujet

Bonne journée

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Les bons plans du moment PC Astuces

Tous les Bons Plans

529,90 €

Ultrabook HONOR MagicBook 14 (Ryzen 5 3500U, 8Go, 256 Go SSD) à 529,90 €
Valable jusqu'au 02 Février

HONOR fait une promotion sur son ultrabook HONOR MagicBook 14 qui passe à 529,90 € au lieu de 600 €. Cet ordinateur portable possède un écran 14 pouces Full HD IPS, un processeur AMD Ryzen 5 3500U (avec chip graphique Vega 8), 8 Go de mémoire DDR4, un SSD 256 Go PCIe NVME, le WiFi5 / Bluetooth 5.0, un lecteur d'empreintes, une webcam, un clavier rétro éclairé, une batterie 56 Wh (jusqu'à 10h d'autonomie) et ne pèse que 1,38 kg. Il fonctionne sous Windows 10. Une très bonne affaire pour une machine compacte et puissante.

> Voir l'offre

64,99 €

Alimentation PC Corsair CV650 650W à 64,99 €
Valable jusqu'au 25 Janvier

Boulanger fait une promotion sur l'alimentation PC Corsair CV650 650W à 64,99 € au lieu de 80 € ailleurs. Cette alimentation certifiée 80+ Bronze dispose d'un ventilateur thermorégulé de 120 mm qui assure le refroidissement silencieux de votre système, tandis que son format compact s’adapte facilement à presque tous les boîtiers PC modernes avec une longueur de seulement 125mm.

> Voir l'offre

39,40 €

Carte mémoire microSDXC UHS-I U3 SanDisk Extreme 256 Go (160 Mo/s) à 39,40 €
Valable jusqu'au 25 Janvier

Amazon fait une promotion sur la carte mémoire microSDXC UHS-I U3 A2 SanDisk Extreme 256 Go qui passe à 39,40 € livrée gratuitement alors qu'on la trouve ailleurs autour de 70 €. Cette carte mémoire offre des vitesses jusqu'à 160 Mo/s et est idéale pour les téléphones, caméras et appareils photo HD/4K.

> Voir l'offre