× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico]Mozilla : Problèmes http//Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Pangasius
  Posté le 03/05/2018 @ 19:04 
Aller en bas de la page 
Petit astucien

Bonjour à tous !

J'ai un -gros- soucis concernant la sécurité des pages que je visite habituellement (sont impactés mon pc de bureau et portable / Sont exclus tous les autres pc de la maison) :

- A l'ouverture le cadenas apparait le plus souvent, tout de suite, soit grisé avec un triangle orange ou noir barré d'un trait rouge (le plus fréquent).

- Une page peut s'ouvrir en https// et basculer sans rien toucher en http// .

- Lorsqu'il s'agit de m'identifier sur un site puis de le consulter, même si la page était en https// , elle devient "non-sécurisée" à cet instant. (c'est très gênant lorsque l'on rentre des identifiants et mots de passe).

- Toutes mes boites e-mail, les unes après les autres, ont été touchées par ce phénomène...

Précisions :

=> Systématiquement, j'essaye d'ajouter "https//" devant l'adresse des pages non-sécurisées que je visite mais ça affiche très rarement la page sécurisée.

=> Tout cela a commencé le 1er avril dernier, lorsque je me suis identifié sur ma boite e-mail de laposte.net : cadenas gris/triangle orange : concernant cette seule boite e-mail, un message de laposte.net explique la raison du désagrément = augmentation de la capacité des serveurs jusqu'à fin avril.

=> J'ai la dernière version de Mozilla F., à jour automatiquement.

=> uBlock Origin dont les options sont à jour. (et désactivées uniquement sur PC-Astuces ;) )

=> Mes deux pc et leurs programmes sont à jour.

=> J'ai installé en mars(?) le pack Office 2017 sur le pc de bureau.

=> (à propos) Depuis le 1er avril, dans Excel, mon pc modifie tout seul et de manière aléatoire, des cellules dans lesquels il inscrit le signe "€", jamais plus de 4x.

=> J'ai scanné en détails avec Defender / Mbm / Spybot : rien.

Merci d'avance pour vos idées ou suggestions !

Publicité
El Magnifico
 Posté le 03/05/2018 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjourimage



• Si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4

Si vous acceptez, je serai ravi de vous aider.


Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.

image




Pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)

image Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

      => Tuto pour ZHPDiag
image



Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

• Questions:

      • Réalisez vous des sauvegardes image du système sur
un disque dur externe
      ainsi que les données que vous créez ?

      • Quel antivirus utilisez vous ?

      • Avez vous modifier le fichier Hosts ?

      • Utilisez vous Yahoo ?





image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
image

Code
Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK. Vous reviendrez dans le temps modifier cette valeur en fonction du nombre de point de restauration que vous voulez garder.
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.




image

Pangasius
 Posté le 03/05/2018 à 21:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico !

Merci pour ta prise en charge !

Je ne pense à rien concernant l'origine de ces problèmes car malgré ma vigilance, je dois certainement faire quelques erreurs... Ok pour ton protocole :

- Est-ce que ça t'ennuie qu'on le fasse d'abord sur le pc bureau et après (sans interaction) sur le portable ?

- Autre chose : [édité] : je voudrais modifier le nom de mon pc avant de commencer ? (j'ai essayé mais...heuu chais pas faire )

=> Sinon, j'ai oublié de préciser ceci :

- Depuis le passage de l'ouragan Irma, (09/2017), les services techniques travaillent encore sur le réseau et notre débit est plutôt bas (Speedtest au 30/04 : Ping 24ms/ Desc 0.53mbps/ Asc 0.33mbps). Même si je n'ai aucun message d'erreur sur les temps de réponse, je le précise quand même.

- J'ai un clavier souple en caoutchouc "Mobility Lab' " (payé 5€) et il déconne de plus en plus sur les touches les plus utilisées : surtout la "E" qui est aussi "€". (Il faut que j'en trouve un meilleur)

Cordialement



Modifié par Pangasius le 05/05/2018 16:38
Pierre95
 Posté le 03/05/2018 à 22:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Pongasius,

Brève incruste, pardonnez moi

conseil d'ami:

Je te déconseille vivement de caviarder tes rapports pour cacher ton nom et ton prénom dans les rapports ZHPDiag et FRST surtout le nom de USER car cela pourrait faire capoter piteusement certaines lignes des scripts que te feras passer ton assistant.

J'ai eu deux fois la triste expérience de lignes truquées du genre

C:\Users\Tartempion\AppData\ fichier à supprimer

qui se transformait en

C:\Users\XXXX\AppData\ fichier à supprimer

Bien sur le fichier à supprimer ne partait pas et comme les 2 gars étaient des petits cachotiers, j'ai mis du temps à envisager l'hypothèse du caviardage du rapport ZHPDiag



Modifié par Pierre95 le 03/05/2018 22:38
Pangasius
 Posté le 04/05/2018 à 02:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Pierre95 !

C'Pas grave pour l'incruste, tout le monde est le bienvenu ! => Je ne parlais pas des rapports et encore moins de vouloir en modifier quoi que ce soit . Sur mes deux pc il y a deux comptes, soit un administrateur et un utilisateur et ni l'un ni l'autre ne sont concernés par la modification que je veux faire. Je parle du matériel et non pas du nom de l'ordinateur tel qu'il est nommé dans les "paramètres de nom de l'ordinateur" sous Windows 8.1, soit "PCdeBUREAU".

Bonne journée



Modifié par Pangasius le 05/05/2018 16:43
El Magnifico
 Posté le 04/05/2018 à 08:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

Pour changer les noms il faut aller dans panneau de configuration / mon compte.

Ne rien changer dans les rapports!

En attente des rapports avec l' aide de ci joint

Pangasius
 Posté le 04/05/2018 à 21:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

salut "Le Magnifique" !

=> Par acquis de conscience, j'ai suivi ton conseil à la lettre et... il n'y a rien à modifier car il n'y a que trois comptes "nommés" très précisément : "COC" (Utilisateur), "BOB" (Administrateur) et "Public" (compte désactivé).

=> Là où c'est drôle, c'est en étant connecté au compte "COC" et en passant par son arborescence de dossiers, soit "Ce PC/Windows (C)/Utilisateurs" et dans ce dernier il y a :

- un dossier "COC",

- un dossier "Public" et,

- pas de dossier "BOB" mais à la place, un dossier portant mon nom.

=> Je l'ouvre et dedans ce trouvent tous les dossiers d'un compte normal mais tous vides.

=> Lorsque je clique droit dessus pour avoir ses propriétés, apparait une petite fenêtre à quatre onglets : Général/Partage/Sécurité/Personnaliser. Dans l'onglet "Sécurité" il y a une fenêtre nommée "Noms de groupes ou d'utilisateurs" qui indique ceci dans l'ordre :

- Système

- BOB (PCDEBUREAU\"mon nom")

- COC (PCDEBUREAU\COC)

- Administrateur (PCDEBUREAU\Administrateur)

(J'ai les quatre captures d'écran... => ) Et-ce qu'on voit ça ensemble ou est-ce que j'ouvre un sujet dans "Windows 8.1" ??

Cordialement

NB : au cas où, le webmaster de pc-astuces pourrait confirmer que je suis bien le propriétaire du pc...



Modifié par Pangasius le 05/05/2018 17:42
El Magnifico
 Posté le 04/05/2018 à 21:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Concernant les sessions, il vaut mieux passer par le forum Windows 8

Ici nous nous occupons principalement de la décontamination de la machine.

Pangasius
 Posté le 04/05/2018 à 21:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok, jm'en doutais un peu !

Je reviens après.

Publicité
El Magnifico
 Posté le 05/05/2018 à 08:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

Avez vous regardé là, pour supprimer puis recréer un compte : http://www.windows8facile.fr/supprimer-compte-utilisateur-windows-8/

http://www.windows8facile.fr/creer-compte-utilisateur-windows-8/



Modifié par El Magnifico le 05/05/2018 09:05
Pangasius
 Posté le 05/05/2018 à 18:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut l'ami !

Merci pour tes liens !! Du coup je crois que j'ai compris ce qui s'est passé :

- le vendeur a créé un compte "administrateur" à mon nom,

- arrivé chez moi, j'ai du créer "BOB" (Administrateur ttes autorisations) et "COC" (Administrateur simple ou Utilisateur).

- Ensuite, par sécurité, au lieu de supprimer totalement le compte créé par le vendeur, j'ai du faire "Conserver les fichiers" => comme indiqué dans l'exemple Alex de ton lien !!

=> Du coup, dans les paramètres de comptes "BOB" tout est normal et par contre, dans les "paramètres système", apparaissent "BOB/"mon nom"...

=> Reste plus qu'à supprimer cette sauvegarde !

Ça se tient ?!

El Magnifico
 Posté le 05/05/2018 à 18:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Il reste 2 sessions si l'on en supprime une, à priori pas de risque.

Ne serait il pas préférable de créer une nouvelle session " administrateur" avant de supprimer celle qui vous gêne ?

Avez vous eu des infos dans le forum W8 ? demandez confirmation.



Modifié par El Magnifico le 05/05/2018 18:48
Pangasius
 Posté le 05/05/2018 à 20:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Non, le compte en question (portant mon nom) a bel et bien été supprimé (pas de problème de ce coté là!) mais lorsque je l'ai fait, j'en ai sauvegardé juste son contenu (ses fichiers) par sécurité, comme c'est proposé lors de la confirmation de la suppression du compte. Du coup, cette sauvegarde (portant mon nom), apparait ici : "Ce PC/Windows (C)/Utilisateurs" et dans son dossier se trouve la sauvegarde de tous les dossiers qui composent normalement un compte et en l'occurrence, ils sont tous vides ! Donc, je peux la supprimer à condition de savoir où elle se trouve exactement : une recherche dans (C:) la fait apparaître en plusieurs emplacements.

=> J'ai posé la question dans la rubrique "Windows 8" : pas de réponse pour l'instant because weekend !!!

Bon weekend à toi aussi

El Magnifico
 Posté le 07/05/2018 à 13:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

Pouvez vous poster le rapport de zhpdiag, via Cjoint, de manière à vérifier la machine ?



Modifié par El Magnifico le 07/05/2018 13:39
Pangasius
 Posté le 08/05/2018 à 14:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

El Magnifico

Merci encore pour tes suggestions car tu avais raison ! C'était bien un problème de compte et en l'occurrence, renommé et non supprimé. Donc problème résolu. Afin de bien faire les choses avec toi, j'ai sauvegardé tous mes dossiers/fichiers sur mon DD extérieur mais j'ai un dossier comportant des noms trop longs (Noms+chemins excédant x caractères) qui refuse de passer... Je règle ça ce matin et ensuite on se lance, enfin !!

El Magnifico
 Posté le 08/05/2018 à 15:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

Pas de souci, à demain,

Pangasius
 Posté le 09/05/2018 à 15:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour El Magnifico! D'attaque ?! .

J'ai réinitialisé IE11 et j'aurais bien voulu le faire pour Mozilla mais pas eu le temps ; Je le ferais après détection.

https://www.cjoint.com/c/HEjm0Q7RYTA

A te lire



Modifié par Pangasius le 09/05/2018 15:18
Publicité
El Magnifico
 Posté le 09/05/2018 à 15:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

A priori pas d'infection majeure, on va supprimer les superflus

Pour Firefox, je serai plutôt d' avis de procéder comme suit:

Suivant l'ordre faites ceci :

1 . Sauvegarder/ restaurer ses marque-pages Firefox . > https://support.mozilla.org/fr/kb/restaurer-marque-pages-deplacer-ordinateur?redirectlocale=fr&redirectslug=Sauvegarder+et+r%C3%A9cup%C3%A9rer+des+marque-pages

2 . Fermer Firefox et le désinstallez via programmes et fonctionnalités(Dans Exécuter, tapez => appwiz.cpl )

3 .Dans Executer , tapez ou copier /coller---> %appdata%

      L'explorateur s'ouvre, il affiche en haut de fenetre le chemin suivant :
Utilisateur*Appdata*Roaming


4 .Supprimez dans Roaming\ Mozilla < supprimez

5 . Revenir sur le chemin, cliquez sur Appdata puis sur Local

      Supprimez dans Local\
Mozilla
    < supprimez


6 . C:\program files\mozilla firefox < supprimez

7 . Reinstallez Firefox Téléchargez le setup d'installation ICI

8 . Restaurez les marque-pages Firefox , voir 1 .

*****************************************************

Supprimez Spybot - Search & Destroy, (obsoléte.)

Je prépare un premier correctif

****************************************************

Voici le correctif

image ZHPFix (de Nicolas Coolman)


Code
1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau image , puis cliquez sur le (bouton bleu) "Download Now"et télécharger le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

image

=> Surlignez toutes les lignes bleues ce qui se trouvent sous "Citation", ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier




Citation

Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
O4 - HKLM\..\Run: [WindowsDefender] . (. - .) -- C:\Program Files\Windows Defender\MSASCuiL.exe (.Not File.)
O108 - CMH1: BtSendToMenuEx [64Bits] - [CC]{CF24E6B8-F148-4BCB-9108-ADF313966E80} . (.Orphan.)
[MD5.9A90F75504F5C7736959925773C5F4B7] [WIS][2016/09/30 21:09:50] (.Adobe Systems, Incorporated.) -- C:\Windows\Installer\14b583.msp [75145216]
[MD5.339631DF934AFC2BE35E2B27A6F7DB06] [WIS][2016/11/03 03:25:06] (.Adobe Systems, Incorporated.) -- C:\Windows\Installer\32b776.msp [1642496]
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\BtSendToMenuEx
C:\Windows\Installer\14b583.msp
C:\Windows\Installer\32b776.msp
O68 - StartMenuInternet: [64Bits][HKLM\..\Shell\open\Command] (...) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (.not file.)
O68 - StartMenuInternet: [64Bits][HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (.not file.)
O68 - StartMenuInternet: [64Bits][HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (.not file.)
O68 - StartMenuInternet: [64Bits][HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (.not file.)
HKCU\SOFTWARE\AvastAdSDK
O43 - CFD: 02/12/2015 - [] D -- C:\ProgramData\McAfee
Fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

Code
3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton image

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif image

image

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!

image
……………………………………………

Code
4) HEBERGEZ le rapport ZHPFix.txt qui se trouve sur le bureau et communiquez le lien de l' hebergeur dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint ou TextUp



A vous lire image


Modifié par El Magnifico le 09/05/2018 16:06
Pangasius
 Posté le 09/05/2018 à 20:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

https://www.cjoint.com/c/HEjtW7JhVEc

Pour info, après redémarrage puis connexion à mon compte, j'ai eu un écran noir pendant vingt minutes, après lesquelles je me suis décidé enfin à fermer le rapport ZHPfix ouvert en pleine page ; résultat : le bureau s'est affiché.



Modifié par Pangasius le 09/05/2018 21:55
El Magnifico
 Posté le 10/05/2018 à 08:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

Concernant l' écran noir après le fix , vous n' étes pas le seul, j' ai déjà eu ce constat.

Soit c'est dû à un bug soit qu' il y avait en même temps une mise à jour en cours

Pouvez vous verifier avec Windows Update s' il n' y a pas une mise à jour en attente, si non regardez dans les mises à jour installées, s' il n' y a pas eu une M à J hier en même temps que votre fix .

Je rajouterai dans mon processus cet éventualité de fermer le rapport ZHPFix en cas de blocage.

Une question: avez vous été obligé de redemarrer la machine ?

********************

On continue

ZHPCleaner
    (de Nicolas Coolman)



image


image Téléchargez => image(clic sur le bouton bleu ) et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US]

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

image

  • Cliquez sur image

  • Puis sur : Tout cocher / Fermer



image

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".



La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix

image

Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur " Valider " puis sur Nettoyer


image

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint ou TextUp



*****************************************************************************************************

ADWCleaner


image

image Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => image. (Enregistrer sous => bureau)

Attendre quelques secondes l' apparition de la fenetre de téléchargement.

Adwcleaner va rechercher les Adwares

image

Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte"

Cliquez sur Analyser maintenant pour lancer l'analyse.

Si des détections malveillantes sont mises en évidence

Cliquer sur Nettoyer et réparer .

image

L'utilitaire va fermer tous vos programmes pendant la suppression

Confirmez le Nettoyage et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.


image


Postez le rapport .

Note : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:

  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt



Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


***************************************************************************************************

MBAR



image


Téléchargez MBAR sur votre bureau image

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

image


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" .

Dés que le “nettoyage” est terminé, un message s’affiche “Cleanup scheduled successfully” ainsi qu’une fenêtre, Cliquez dans cette fenêtre sur “Yes“,
Votre ordinateur redémarre.

Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

  • Accès à Internet

  • Mise à jour de Windows

  • Pare-feu Windows



S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.

Pangasius
 Posté le 10/05/2018 à 15:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

El Magnifico !

=>>> Écran noir :

- il est survenu "pendant" le fix de ZHPfix ou plus précisément, après avoir redémarré le pc comme il est recommandé de le faire. Si j'ai pu me connecter normalement à mon compte, en revanche, le bureau ne s'est pas affiché, cédant la place à un écran noir au milieu du quel le rapport du fix était ouvert. Rapport que j'ai modifié malgré moi, puisque m'acharnant sur la touche "ENTRÉE", je me suis aperçu tardivement que cela rajoutait des lignes (vides) dans le rapport.

- Effectivement, une Mise A Jour (Définitions Defender + Correctif mensuel W8.1) a été faite une demie heure avant l'application du correctif. Tant que nous y sommes, juste avant la MAJ, j'ai désinstallé Spybot qui s'est montré un peu réticent, avec des messages d'erreurs.

=>>> Je reviens ici plus tard, avec les rapports...

El Magnifico
 Posté le 10/05/2018 à 16:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Merci pour le retour

Je pense que la mise à jour n' était pas complétement terminée .

Il serait peut être bon de refaire un Windows Update pour reverifier si les mises à jour sont bien installées.

@+

Pangasius
 Posté le 10/05/2018 à 18:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Miam... après une magnifique publicité du burger Gourmet de Mc Do, en cette fin de matinée, me revoilà !

=>>> J'ai fait une nouvelle recherche dans Windows Update : aucune MAJ en attente.

>>> Rapport ZHPCleaner : https://www.cjoint.com/c/HEkpSnCZpcq

>>> AdwCleaner (Cxx) : https://www.cjoint.com/c/HEkpWg2shuq

>>> AdwCleaner (Sxx) : https://www.cjoint.com/c/HEkpXxXCjxq

>>> MBAR : https://www.cjoint.com/c/HEkpZaVFXRq / (après vérifications, le système fonctionne normalement... ).

=>>> Je le sens gros comme une montagne, c'est la réinitialisation de MF qui va régler mes soucis de http(s) toujours présents. Il faudra que tu me dises si notre actuelle détection écarte l'hypothèse d'un potentiel "piratage" de mon pc/ boite e-mail/ connexion internet.

Merci encore pour ton aide , surtout en ce jour de l'Ascension !

Nb : J'utilise systématiquement CCleaner. Est-ce que je peux, de temps en temps, cocher la case "Prefect" pour le vider ?



Modifié par Pangasius le 10/05/2018 18:40
El Magnifico
 Posté le 10/05/2018 à 18:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pangasius

Pas d' indication de piratage dans les rapports.

La machine est quasiment clean, un dernier nettoyage:

Junkware Removal Tool



image


image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. image (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

    Faites un clic droit -> lancez le programme en tant qu'administrateur



L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint ou TextUp

***************************************************************************************************


Nettoyage des fichiers temporaires inutiles avec SFT de Pierre13

Désactiver l'anti virus avant ! et lire ces instructions.

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Fermer tous les programmes en cours ==>> Important !

image Télécharger SFT.exe sur le bureau (Nouvelle version 2.4.0.3)image

      Si SFT n'est pas sur le bureau, ce message (anglais et français) le signale et SFT se ferme.


    Déplacer SFT sur le bureau et le relancer.



image

Si l'antivirus fait des siennes: désactive-le provisoirement. Pour savoir comment faire, voir cet article.

      Sous Windows, faire un clic droit sur le fichier et choisir
Exécuter en temps qu'administrateur
      .


    Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...



A la fin, un message demandera si on veut vider la corbeille..Accepter.

image

      A la fin du nettoyage, un rapport va s'ouvrir.


    Ce rapport est enregistré sur le bureau (SFT.txt)



image

Utilisez Cjoint ou TextUp pour poster le rapport

Communiquez le lien, merci.

************************************

Pour un dernier diagnostic

Refaire un scan avec ZHPDiag, postez le rapport
Refaire un scan avec FRST, postez les 3 Rapports

.

********************

. voici une image de mon ccleaner.




Modifié par El Magnifico le 10/05/2018 18:46
Pangasius
 Posté le 10/05/2018 à 20:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour CCleaner !

>>> Rapport JRT : https://www.cjoint.com/c/HEkrSAvMrtq

>>> Rapport SFT : même avec la meilleure volonté du monde, je ne peux pas poster ce rapport en l'état et tu m'en vois bien désolé => apparait dedans des informations très sensibles concernant un dossier juridique en cours d'instruction et mon avocat verrait d'un très mauvais œil le fait d'en publier publiquement ses informations... (D'où l'hypothèse d'un piratage de ma boite e-mail). Toutefois, je pense pouvoir en faire une capture d'écran dont je masquerais les infos sensibles. Est-ce que cela te conviendrait ?

Pour un dernier diagnostic

Refaire un scan avec ZHPDiag, postez le rapport (Ok)
Refaire un scan avec FRST =>>> JRT et SFT ??? NAAAANN, "FRST" je ne l'avais pas vu (la première fois) à la suite du TUTO de ZHPDiag (tellement absorbé), je n'ai pas descendu la page jusqu'en bas ; Est-ce grave ?

Avec mes cordiales excuses,



Modifié par Pangasius le 10/05/2018 20:34
El Magnifico
 Posté le 10/05/2018 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok pour JRT , pas besoin du rapport SFT , ça roule.

Pour FRST, voici la procédure

FRST
    de Farbar



image

Avec cet outil nous allons effectuer un nouveau diagnostic, et créer un correctif si nécessaire


Chargez la version qui convient à votre PC, si vous ne l'avez pas déjà sur votre bureau. Dans le cas où votre AV le prend pour un malveillant, désactivez votre AV le temps du téléchargement et du scan.



image 32 ou 64 bits => Comment savoir ?

• Déposez Frst.exe sur votre Bureau et pas ailleurs !. (Enregistrer sous => bureau)

Maintenant que vous avez chargé la bonne version de l'outil, double-cliquez dessus, puis validez le Disclaimer par "Ok"

Cochez en plus les cases : MD5 Pilotes //Shorcut // Fichiers 90jours

Cliquez sur image

Patienter le temps que l'outil analyse votre pc.Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Addition.txt & Shorcut.txt . Poster les rapports avec l’aide de Cjoint . Svp

Les 3 rapports attendus sont : Frst.txt // Addition.txt // shortcut.txt

image


………………………

Dans l’attente des liens avec l’aide de Cjoint ou TextUp

....................

image

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
-25%Jusqu'à -25% sur le gros électroménager
Valable jusqu'au 27 Novembre

Amazon offre jusqu'à 25% de remise immédiate sur une sélection d'appareils de gros électroménager : congélateur, réfrigérateur, plaque à induction, lave linge, lave vaisselle, four, ...


> Voir l'offre
129,99 €Ecran 24,5 pouces Iiyama Black Hawk G2530HSU-B1 à 129,99 €
Valable jusqu'au 27 Novembre

Boulanger fait une promotion sur l'écran 24,5 pouces Iiyama Black Hawk G2530HSU-B1 qui passe à 129,99 € alors qu'on le trouve ailleurs à partir de 169 €. Cet écran à bord fin est FullHD (1920x1080px), offre un temps de réponse de 1 ms, une vitesse de rafraichissement de 75 Hz. Il est compatible FreeSync.


> Voir l'offre
24,68 €Carte mémoire microSDXC UHS-I SanDisk Ultra 200 Go à 24,68 €
Valable jusqu'au 26 Novembre

Amazon fait une promotion sur la mémoire microSDHC UHS-I SanDisk Ultra 200 Go qui passe à 24,68 €. On la trouve ailleurs à partir de 40 €. Cette carte mémoire offre des vitesses jusqu'à 90 Mo/s.


> Voir l'offre

Sujets relatifs
[liza33] Nouveaux problèmes lignes orphelines
[El Magnifico]Avira fichiers corrompus+ skype sans vidéo+mozilla
[El Magnifico] Différents problèmes rencontrés
[El Magnifico] Windows 7 Pro problèmes d'installation Google Chrome
[Pierre95] page ww8.http.com qui s'ouvre au demarrage
Problèmes avecW10
 > Tous les forums > Forum Analyse de rapports et désinfection