Bonjour

Mon PC :
- Dell Précision M4700
- OS W10 Home x64 (Retail) v.10.0.19042
- V. BIOS/Date : Dell A19, 30/11/2018, Mode BIOS : Hérité
- RAM installée : 16 Go
- Option régionale : France
- Protection : Malwarebytes (Premium) v4.2.1

Suite à installation de MS Flight Simulator FS2004 sur un disque externe, une infection importante signalée :
file: C:\Program Files\Common Files\System\symsrv.dll
Trojan:Win32/Floxif.E
Niveau alerte : Grave
Détails : Ce programme est dangereux et il exécute des commandes émanant d'une personne malveillante.....
Il a immédiatement été désinstallé. Cependant l'infection persiste.

Je vous serais reconnaissant de m'aider à nettoyer mon PC. et de m'indiquer la marche à suivre.

Bien cordialement

Alexandre

aasrotmistrXgmail.com

Bonjour

• Si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4


Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports avec le lien donné par CJoint


Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.

Demo animée ICI

Bonsoir

Merci pour votre message

Selon vos instructions, je vous communique le lien obtenu :

https://www.cjoint.com/c/JKrstkFXCUp

Je suppose que la procédure d'éradication suppose d'autres actions?
Je reste à votre disposition dans ce sens.

Alexandre

Puis ci-dessous, je vous communique les trois liens obtenus par FRST64 :

- FRST : https://www.cjoint.com/c/JKrsT7zhHup

- Addition : https://www.cjoint.com/c/JKrsYmhHPSp

- Shortcut : https://www.cjoint.com/c/JKrs0dDDX4p

Alexandre

Bonsoir

Pas d' infection dans la machine, quelques superflus .

MBAM premium ralentit votre machine, je vous invite à le désinstaller et à garder uniquement Windows défender.

Dans Windows Update cliquez sur "Rechercher des mises à jour" même s'il est indiqué qu'il est à jour !

A vous lire.

Merci pour votre message.

Reste que j'ai ceci :

file: C:\Program Files\Common Files\System\symsrv.dll
Trojan:Win32/Floxif.E
Niveau alerte : Grave
Détails : Ce programme est dangereux et il exécute des commandes émanant d'une personne malveillante.....
Il a immédiatement été désinstallé. Cependant l'infection persiste.

De plus voici un printscreen le confirmant :

Re,

Votre systéme de sécurité (restauration ) semble désactivé, veuillez le réactiver.

Débranchez votre disque externe.

***

ENREGISTREMENT du script FixList pour correction.

Ne passer qu'une fois le correctif !


Cliquez sur ce lien : https://www.cjoint.com/data3/JKru4aivam8_Fixlist.txt


Sur la page qui s'ouvre clic droit et " Sélectionner tout ", refaire un clic droit et "Copier" ou utilisez les séquences de touches Ctrl A et Ctrl C

Pas besoin de faire un "Coller" il se fera automatiquement suivant la procédure.

Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Cliquez sur puis validez le Disclaimer par "Ok"



Laissez le travailler, cela peut durer un certain temps.

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

******

Verifiez dans téléchargements si le logiciel n' est plus présent.

A t-il été téléchargé le 17.11.2020 ?

.

Merci pour ce message.

Ne voulant pas risquer de fausse manœuvre, me dire SVP, ce que vous entendez par "système de sécurité (restauration)"?
Si nous parlons de la même chose, sa désactivation est voulue car je m'appuie sur le système AOMEI Backupper v6.1 qui effectue régulièrement sur un disque externe, les images de mon disque OS. Que je compte conserver et dans ce cas je ne vois pas l'utilité d'activer le système de restauration de Windows...
Soyez aimable de confirmer et notamment la suite de la procédure avec application du correctif avec FRST ?

Bonne soirée

Alexandre

Bonsoir

Oui, on parle de la même chose, je m' en doutais du fait que j' ai vu AOMEI dans la machine, c' est Ok.

Puisque vous avez une image qui date d' avant votre souci , pourquoi ne pas faire une restauration avec AOMEI ?

Si non , oui appliquez le correctif

Je vous dis à demain.

Je vous souhaite une bonne journée

Bien sûr que ma première réaction a été de restaurer une image saine, antérieure.
Mais je me suis heurté au fait que mon lecteur CD/DVD inversait les instructions et éjectait le CD alors que je demandais de lancer WinPE !
Était-ce dû à la possible infection ? Je fais peut-être l'erreur de le penser. Quoiqu'il en soit et en l'état je n'ai pas la possibilité d'exécuter la restauration de mon OS.
Auriez-vous une suggestion ? Je l'espère !
Alexandre

NB : Je me trouve au Togo, en Afrique de l'Ouest. Où une "qualité" de connexion à internet : vient que quand ça veut bien ! et où sur le plan informatique on se trouve livré qu'à soit même ! Merci par avance de votre compréhension...

Re...

Le lien Fixlog demandé : https://www.cjoint.com/c/JKsjcGCJOHp

Alexandre

Bonjour Alexandre

Du mieux ?

***

Aviez vous cracké le logiciel ?

***

Puisque les sauvegardes sont inutilisables, je vous conseille de réactiver le systéme de restauration, de créer immédiatement un point de restauration

Quand c' est fait faites moi signe

Ok pour la distance

Bienvenue!

J'ai toujours un pop-up WD demandant la relance de la machine qui s'affiche.
A noter et c'est étonnant, car sur ma machine et jusqu'à présent c'est MAWB qui l'antivirus actif et que ce dernier me signale en même temps des Malwares - 37 actuellement!

A ma connaissance, je n'ai jamais rien eu de cracké sur cette machine M4700...

Ok

Creez un point de restauration , (même avec les malveillants). Vous supprimerez par la suite.

***

Cochez tous éléments mis en quarantaine par MBAM et supprimer

***

Si vous n' utilisez pas One Drive => ICI


Puis


• Bloquez les mises à jour windows , tout au moins pendant la désinfection, ceci afin d' éviter des interférences avec les outils

Pour ce faire :Téléchargez ce petit log : https://www.sordum.org/9470/windows-update-blocker-v1-5/

Cliquez sur le bouton gris " Download" environ en milieu de page.

Puis clic Droit / Extraire tout. Cliquez sur le nouveau dossier puis sur l' Application

Puis Desactiver Service / Appliquer Maintenant

Démo animée => ICI

***

Quand c' est fait faites moi signe pour la suite

On en a pour un moment !

coucou! Voilà! c'est fait...

=> Je vous invite à désinstaller ces programmes inutiles cités sous "Citation"

Pour obtenir directement l'accés à ces programmes :
Touches Windows + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK

***************************************************************************************************

Désactivez l' antivirus si celui ci couine, le temps du téléchargement et de l' utilisation des outils.

1)Première partie


ZHPCleaner (de Nicolas Coolman)

Démo d' utilisation => ICI


Téléchargez ICI et enregistrez le sur BUREAU. Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil supprimera des malveillants et superflus présents dans la machine.

Double-cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

La fonction Scanner ne supprime aucun élément de l'ordinateur. Il ne fait que lister les éléments qui seront supprimés en cliquant sur" Nettoyer"

L'analyse s'effectue...patienter quelques minutes.

• Le rapport du scan se trouvera sur le bureau: ZHPCleaner (S).txt

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.

Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre Reparation s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur Nettoyer

Pour les utilisateur de W10, une fenetre indiquera que le point de restauration sera réalisé , ( Il est recommandé d' accepter )


Après la création du point de restauration, une autre fenetre indique sa réalisation, cliquez sur la croix pour supprimer cette fenétre.

La réparation démarre….....patienter quelques minutes.

Si on vous demande de redémarrer la mchine , faites le.


• Le rapport ZHPCleaner(R).txt est présent sur le bureau. ( A fournir au Helper)


• Hébergez le sur Cjoint ici (diffusion : Privée et durée : 4 jours) et postez le lien fourni

Il se trouve aussi dans le dossier utilisateur=>
Touches Windows + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

******************************************************************

2) Deuxième partie

• ADWCleaner

Téléchargez la derniere version AdwCleaner sur votre Bureau => . (Enregistrer sous => bureau)

Attendre quelques secondes l' apparition de la fenetre de téléchargement.

Adwcleaner va rechercher les Adwares



Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte"

Cliquez sur "Settings" puis sous Display Language , choisir "Français"

Cliquez sur "Tableau de bord" puis sur Analyser maintenant pour lancer l'analyse.

Si des détections malveillantes sont mises en évidence

Cliquer sur Mettre en quarantaine .



L'utilitaire va fermer tous vos programmes pendant la suppression

Confirmez le Nettoyage en cliquant sur Continuer et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.

• Tuto pour creer un lien avec Cjoint=>

Postez le rapport .

Note : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:

• Analyse: AdwCleaner[Sxxx].txt
• Nettoyage: AdwCleaner[Cxxx].txt

Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

Redemarrez la machine.


***************************************************************************************************

Concerne 1ere partie :

- ZHPCleaner(R) : https://www.cjoint.com/c/JKsoYS4kGCr

- ZHPCleaner (S) : https://www.cjoint.com/c/JKso3QGxhvr

********************

Concernant 2eme partie :

- Adwcleaner a été téléchargé et placé sur le Bureau.
Mais toutes tentatives pour le lancer, même en mode Administrateur, se solde pour l'instant par un échec. L'appli ne s'ouvre pas!!!

Re

Pour Adwcleaner , desactivez l' antivirus (MBAM et Windows defender) si toujours dans l'impasse essayez en Mode sans Echec.

Je n'arrive pas à accéder au Mode sans Échec...
Est-ce que je fais la bonne commande pour y accéder : au démarrage j'appuie F5. Mais rien d'attendu ne se passe et le système se lance normalement...

En fait il me faudrait atteindre 2 fonctions qui régleraient tout :

- pouvoir lancer le lecteur CD/DVD et donc démarrer sur WinPE ;

- et de là je pourrais (???) accéder à l'IMAGE saine de l'OS pour la rétablir sur mon disque système...

Mais peut-être s'agit-il de ma part de la vision idéale d'une possible solution ??? Qu'en pensez-vous ???

Bonne soirée

Alexandre

L' idéal serait de réinstaller l' image, ou éventuellement formater le disque et réinstaller W10.

Sauvegarder dés à présent vos données perso sur un autre support.

***

Pour demarrez en mode sans echec avec W10


https://www.malekal.com/demarrer-windows10-mode-echec/

Ne pas utiliser MSConfig !

Bonjour
Excusez ma "disparition" depuis hier. Mais il faut aussi bosser un peu !..
Merci pour le HowTo pour mode sans échec.
Mais rien y fait : même dans ce mode, Adwcleaner ne se lance pas.

Je vais donc me résoudre à réinstaller.
Mais auparavant, 2 questions :
1 - le formatage du disque est-il à faire en bas niveau ou un simple suffit ???

2 - avec le W10 réinstallé, pensez-vous que je peux alors lancer WinPE avec mon lecteur CD/DVD et aller chercher l'image ??

Alexandre

Alexandre

Vous trouverez tout dans ce lien => https://lecrabeinfo.net/reinitialiser-reinstaller-windows-10.html

Ce trojant pouvant s'installer partout y compris les navigateurs, il vaut mieux faire place nette.

Bonne suite

Bonjour et bonsoir
Tous mes chaleureux remerciements pour votre accompagnements lors de cette mauvaise expérience. Vous m'avez permis de prendre, selon moi, la décision raisonnable et de re-installer ma machine afin de la rétablir dans le rôle essentiel qu'elle rempli ici auprès de moi et en l'absence de toute assistance, logistique ou infrastructure...
J'ai un Windows qui tourne sur lequel j'ai réinstallé les programmes dans l'instant indispensables pour moi. Je verrai plus tard a éventuellement rapatrier l'image de ma config précédente. En tout cas, encore un grand merci à vous et un très bon week-end sans trop souffrir de la situation Covid!

Alexandre

Bonsoir Alexandre

C' est à vous qu'il faut dire "Chapeau" seul dans cette aventure !

A quoi bon refaire une restauration, si votre machine tourne bien.

Par contre faites une Sauvegarde image sans tarder .

Bon WekkEnd,

Et bon courage.