> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico]Pc infestéSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
davcar14
  Posté le 18/11/2018 @ 21:08 
Aller en bas de la page 
Petit astucien

Bonsoir,

Je viens vers vous concernant le PC de mon papa.

Il m'a demandé d'y regarder car il a plusieurs fenêtres qui s'ouvrent intempestivement.

J'ai passé Malwarebytes, voici le rapport : Rapport Malwarebytes

Voici le Rapport ZHPDiag

Voici le Rapport FRST

Voici le Rapport Shortcut

Voici le Rapport Addition

Par avance, merci pour votre aide.

Cordialement.

David

Publicité
El Magnifico
 Posté le 18/11/2018 à 21:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

davcar14

Pouvez vous refaire un scan avec ZHPDiag en cochant toutes les options

***

Code
• Questions:
      • Réalisez vous des sauvegardes image du système sur
un disque dur externe
      ainsi que les données que vous créez ?

      • Quel antivirus utilisez vous ?

      • Avez vous modifier le fichier Hosts ?

      • Utilisez vous Yahoo ?



Modifié par El Magnifico le 18/11/2018 21:26
davcar14
 Posté le 18/11/2018 à 21:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El magnifico,

Merci pour la rapidité de la réponse.

Voici le Rapport ZhpDiag

Réponses aux questions:

* Pas de sauvegarde récente

* L'antivirus c'est Avira

* Pas de modification du fichier Hosts

* Pas d'utilisation de Yahoo



Modifié par davcar14 le 18/11/2018 22:18
El Magnifico
 Posté le 19/11/2018 à 09:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

image

      Merci d'avoir lu et accepté les conditions citées en accueil. A la lecture des rapports, votre machine est infectée.


image
      => Avant d' utiliser tous les outils que l' on vous propose,
enregistrez tous vos travaux en cours
    , à défaut vous risquez de perdre tout votre travail en cours !
    .
      Windows 10 emporte un antivirus Windows Defender , performant. Souhaitez vous garder Avira ?



image
      => Je vous invite dans un premier temps à désinstaller ces programmes inutiles cités sous "Citation" ,
sauf votre avis contraire !


Code
Pour obtenir directement l'accés à ces programmes :
Touches Windows image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK


Citation


=> Mozilla Maintenance Service
=> WildTangent Games
=> ZebHelpProcess 2016





image Si votre navigateur est Google Chrome
      => désactivez toute synchronisation
ICI


image
Desactivez votre antivirus le temps du telechargement et de la correction .



On attaque dans l’ dur image pour un bon nettoyage !





imageZHPFix
      (de Nicolas Coolman)



Code
1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau image , puis cliquez sur le (bouton bleu) "Download Now"et télécharger le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

image

=> Surlignez toutes les lignes bleues ce qui se trouvent sous "Citation", ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier




Citation

Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\007
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\008
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\026
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\031
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\032
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\033
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\034
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\035
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\036
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\037
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\038
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\039
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\040
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\041
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\042
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\043
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\044
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\045
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\046
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\047
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\048
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\049
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\050
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\051
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\052
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\053
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\054
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\055
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\056
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\057
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\058
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\059
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\060
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\061
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\062
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\063
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\064
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\065
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\066
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\067
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\068
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\069
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\070
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\071
O17 - HKLM\System\CCS\Services\Tcpip\..\{8e8ed1e9-ee47-412f-a5af-82d3d7c57d32}: DhcpNameServer = 192.168.200.1 =>.Local IP Adress
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\WOW6432Node\McAfee
HKU\.DEFAULT\SOFTWARE\McAfee
O43 - CFD: 27/09/2016 - [] D -- C:\Program Files (x86)\McAfee
O43 - CFD: 27/09/2016 - [] D -- C:\ProgramData\McAfee
HKCU\SOFTWARE\AvastAdSDK
HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\AvastAdSDK
Fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

      …………………………………


3) EXECUTION
      du Nettoyage


      Lancez ZHPFix ( clic droit en tant qu’ administrateur )


      Cliquez sur le bouton
image

      Le script apparait dans la fenetre


Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

      Cliquez sur le balai pour démarrer le correctif
image

image

      Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.

      Il y aura un écran noir pendant un certain temps , pas de stress!!


image

      .

Si aprés l' affichage du rapport sur le bureau la machine reste bloquée, fermez la fenetre du rapport.
Malgré celà, si la machine reste bloquée procedez à un redémarrage.


      ……………………………………………


4) HEBERGEZ
      le rapport ZHPFix.txt qui se trouve sur le bureau et communiquez le lien de l' hebergeur dans la prochaine réponse.



      Le rapport
ZHPFix.txt
      se trouve sur le bureau.

A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

      • Postez le rapport avec l’aide de Cjoint ou TextUp


• Refaire un scan avec ZHPDiag, postez le rapport



      A vous lire
image




***************************************************************************************************

ZHPCleaner
    (de Nicolas Coolman)


image




image
      Téléchargez =>
image
      (clic sur le
bouton bleu
      ) et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours :
Blog US
      ]


      Cet outil puissant supprimera des malveillants présents dans la machine


      Double cliquez sur ZHPCleaner pour l'exécuter.


      Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.


      Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.


image

  • Cliquez sur image

  • Puis sur : Tout cocher / Fermer


image

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".


      La fonction Scanner ne supprime aucun élément de l'ordinateur.


      La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.


      L 'analyse s'effectue...patienter quelques minutes.


      A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix


image

Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



      Si des détections malveillantes sont mises en évidence cliquez sur le bouton "
Nettoyer
      ".


      Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.

      Tout est précoché, pour tout supprimer cliquez sur "
Valider
      " puis sur
Nettoyer


image

      La réparation s'effectue...patienter quelques minutes.


      Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.


      • Le rapport
ZHPCleaner.txt
      est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>

      Touches
Windowsimage
      +
R
      , tapez ou Copiez / Collez
%AppData% /ZHP
      puis validez par un clic sur OK


      • Postez le rapport avec l’aide de Cjoint ou TextUp




*****************************************************************************************************

ADWCleaner

image

image
      Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau =>
image
      .
(Enregistrer sous => bureau)

      Attendre quelques secondes l' apparition de la fenetre de téléchargement.




image

      Cliquez sur le programme pour l'exécuter.


      Cliquez sur "J'accepte"


      Cliquez sur "Settings" puis sous Display Language , choisir "Français"


      Cliquez sur "Tableau de bord" puis sur
Analyser maintenant
      pour lancer l'analyse.


      Si des détections malveillantes sont mises en évidence


      Cliquer sur
Nettoyer et réparer
      .


image

      L'utilitaire va fermer tous vos programmes pendant la suppression


      Confirmez le Nettoyage et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.



image


      Postez le rapport .


Note
      : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:


  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt


      Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur
Exécuter quand même

      Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)


En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil
davcar14
 Posté le 19/11/2018 à 23:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico,

Tout d'abord, je t'informe que je ne peux intervenir sur le PC qu'en soirée et comme je suis à distance, j'utilise TeamViewer.

Alors, j'ai supprimé: Avira, Mozilla Maintenance Service, WildTangent Games et ZebHelpProcess 2016.

Voici les rapports :

ZhpFix

ZhpDiag

ZhpCleaner

AdwCleaner

Bonne lecture et merci pour ton aide.

Bonne nuit et à demain.

David

El Magnifico
 Posté le 20/11/2018 à 09:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Parfait, mais Avira est toujours installé, utilisez ce logiciel: https://www.avira.com/fr/download/product/avira-registry-cleaner

******************

On poursuit:

ROGUEKILLER en scan

Téléchargez Roguekiller sur le bureau ICI

Quittez absolument tous tes travaux en cours et fermez toutes les applications

Démo animée Cliquez ICI

      • Lancez Roguekiller ( clique droit exécuter comme administrateur )


      Modifiez le démarrage


image

      • Lancez l'exécution de RogueKiller en cliquant sur
Scanner



Dans la fenêtre qui s'ouvre, dans la colonne "Scan standard" cliquez sur Démarrer

Le scan se déroule, patientez !

A la fin du scan, cliquez sur Résultats puis sur Rapport cochez devant "Seulement Malicieux" puis sur "Exporter" et enfin sur Fichier Texte

Dans la fenêtre qui s'ouvre, choisissez le lieu du dépot du rapport,( Bureau ou Documents) taper le nom du fichier ( exemple : Rapport Roguekiller Scan" ) puis "Enregistrer"

Postez le avec l' aide de CJOINT (diffusion: privée, durée: 21 jours)

CJOINT donne un lien internet à poster dans votre réponse.

*************************

ROGUEKILLER en Nettoyage

Démo animée Cliquez ICI

image

Cliquez sur Résultats, puis sur Suppression

Cliquez sur Resultats, puis sur Rapport

Cliquez sur Exporter, puis sur Fichier texte,

Choisir le lieu du dépot (Bureau ou Documents), taper le Nom du fichier ( par exemple: Roguekiller Nettoyage), puis Enregistrer

Vous retrouverez ce fichier à cet endroit.

Postez le avec l' aide de CJOINT (diffusion: privée, durée: 21 jours)

.

****************************************************************************************************


Malwarebytes (MBAM)

image • Téléchargez Malwarebytes ICI

• Procèdez à l'installation de celui çi, quand vous voyez cette fenetre cliquez sur lacroix.

image

• Désactiver l'essai Premium, cliquez sur l'onglet Paramètres, puis sur Informations sur le compte et ensuite cliquez sur Désactiver l'essai Premium

image


• Une autre fenêtre s'ouvre en bas à droite, cochez devantJe n' ai pas besoin de la protection en temps réel et cliquez sur OK

image


• Cliquez sur l'onglet Paramètres puis sur l'onglet Protection, il faut que les trois cases Rechercher les rookits , et , Analyser les archives ,et, Utiliser la detection......, soient activées

      • Cliquez sur l'onglet
Analyse



• Sélectionnez Analyse des menaces

• Cliquez sur Lancer l'analyse

• Une fois le scan terminé, si des menaces ont été trouvées, cliquez sur Quarantaine

      Si un message demande de redémarrer le PC pour terminer la suppression, acceptez


• Le rapport est disponible dans l'onglet Comptes-rendus.

• Cochez la case en face de Compte rendu d'analyse

• Cliquez sur Afficher le compte rendu

• Une autre fenêtre s'ouvre cliquez sur Exporter puis sur Fichier texte

      • Renommez- le en
MBAM.txt



• Enregistrez le rapport sur le bureau, héberge le sur Cjoint ici (diffusion : Privée et durée : 21 jours) et postez le lien fourni



****************************************************************************************************


Junkware Removal Tool



image


image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. image (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

    Faites un clic droit -> lancez le programme en tant qu'administrateur



L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint ou TextUp

***************************************************************************************************

Pour un dernier diagnostic et correctif

Refaire un scan avec ZHPDiag, postez le rapport

Ouvrez FRST, cochez toutes les cases, cliquez sur Analyser, postez les
3 Rapports
.

***************************************************************************************************

davcar14
 Posté le 22/11/2018 à 17:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico,

Je suis désolé pour le délai mais j'ai raté mon papa mardi soir et je n'étais pas chez moi hier soir.

Je m'y remets .

A tout à l'heure.

Cordialement.

David

El Magnifico
 Posté le 22/11/2018 à 18:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

Ad t' aleur

.

davcar14
 Posté le 22/11/2018 à 23:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

J'ai utilisé l'utilitaire pour Avira mais il m'a demandé de rédemarrer en mode sans echec pour terminer et je n'ai pas reussi à le faire.

Voici les rapports

Roguekiller

MBAM

JRT

ZHPDIAG

FRST

Shortcut

Addition

Bon courage pour toutes ces lectures

A bientot

David

Publicité
El Magnifico
 Posté le 23/11/2018 à 11:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Voici un correctif avec FRST

Le correctif va etre un peu plus long du fait que j' ai introduit une réparation des fichiers Windows éventuellement corrompus, pas de stress , possible écran noir, laissez travailler l' outil , attendre l' apparition du rapport sur le bureau. La machine va rebooter d' elle même. Patience.

image Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.


Desactivez votre antivirus le temps de la correction .



Copiez tout ceci dans le Presse papier, surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::)



start::
CreateRestorePoint:
CloseProcesses:
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\010
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\034
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\042
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\050
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\051
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\054
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\055
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\072
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\073
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\074
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\075
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirMailService
C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirSchedulerService
C:\Program Files (x86)\Avira\Antivirus\sched.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirService
C:\Program Files (x86)\Avira\Antivirus\avguard.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirWebService
C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Avira.ServiceHost
C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Maintenance\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
C:\Windows\System32\Tasks\Avira_Antivirus_Systray
C:\Program Files (x86)\Avira\Antivirus\avgnt.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Avira SystrayStartTrigger
C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe
C:\Program Files (x86)\Avira\Antivirus\avshadow.exe
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk
C:\Users\Public\Desktop\Avira.lnk
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18787388-9263-47A6-B954-41BDE0B90959}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2884d9b5-2fed-48df-b0e0-fe229e7eb781}
DeleteKey: HKLM\SOFTWARE\Avira
DeleteKey: HKLM\SOFTWARE\X-AVCSD
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Avira
DeleteKey: HKLM\SOFTWARE\WOW6432Node\X-AVCSD
DeleteKey: HKCU\SOFTWARE\Avira
DeleteKey: HKU\.DEFAULT\SOFTWARE\Avira
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\Avira
C:\Program Files (x86)\Avira
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
C:\ProgramData\Avira
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Shell Extension for Malware scanning
DeleteKey: HKLM\Software\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}
C:\Program Files (x86)\Avira\Antivirus\shlext64.dll
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\Shell Extension for Malware scanning
DeleteKey: HKLM\Software\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}
unlock: C:\WINDOWS\System32\drivers\avdevprot.sys
C:\WINDOWS\System32\drivers\avdevprot.sys
unlock: C:\WINDOWS\System32\drivers\avgntflt.sys
C:\WINDOWS\System32\drivers\avgntflt.sys
unlock: C:\WINDOWS\System32\drivers\avipbb.sys
C:\WINDOWS\System32\drivers\avipbb.sys
unlock: C:\WINDOWS\System32\drivers\avkmgr.sys
C:\WINDOWS\System32\drivers\avkmgr.sys
unlock: C:\WINDOWS\System32\drivers\avnetflt.sys
C:\WINDOWS\System32\drivers\avnetflt.sys
unlock: C:\WINDOWS\System32\drivers\avusbflt.sys
C:\WINDOWS\System32\drivers\avusbflt.sys
DeleteKey: HKLM\Software\Classes\Installer\Products\8837878136296A749B4514DB0E9B9095
DeleteKey: HKLM\Software\Classes\Installer\Features\8837878136296A749B4514DB0E9B9095
DeleteKey: HKCU\Software\Microsoft\Installer\Products\8837878136296A749B4514DB0E9B9095
DeleteKey: HKCU\Software\Microsoft\Installer\Features\8837878136296A749B4514DB0E9B9095
C:\WINDOWS\Installer\3b30a.msi
DeleteKey: HKLM\SOFTWARE\WildTangent
DeleteKey: HKLM\SOFTWARE\WOW6432Node\WildTangent
C:\ProgramData\WildTangent
C:\Users\CARTON FRANCIS\AppData\Roaming\WildTangent
DeleteKey: HKCU\SOFTWARE\yahooinstall
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\yahooinstall
DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_UNICODE_HANDLE_CLOSING_CALLBACK|YahooMusicEngine.exe
DeleteKey: HKCU\SOFTWARE\DropboxUpdate
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\DropboxUpdate
C:\Users\CARTON FRANCIS\AppData\Roaming\DropboxOEM
C:\Users\CARTON FRANCIS\AppData\Local\DropboxOEM
DeleteKey: HKCU\SOFTWARE\ZebHelpProcess Helper
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\ZebHelpProcess Helper
C:\Program Files (x86)\Common Files\AWS 21/11/2016 -
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {107EB863-FD01-4A03-A6B0-2F119EC05CAA} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
C:\Users\CARTON FRANCIS\Desktop\Track01.cda - Raccourci.lnk
C:\Users\CARTON FRANCIS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7634a48803fa655b\ASUS GIFTBOX.lnk
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
Reboot:
Hosts:
EmptyTemp:
RemoveProxy:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::


Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant le curseur dans la fenetre blanche rectangulaire, puis clic droit/ coller

Cliquez sur image puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

image

.........................

Comment se comporte la machine ?
Si c' est correct , on finalise au prochain passage

***************************************************************************************************

davcar14
 Posté le 23/11/2018 à 23:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico,

Rapport Fixlog

Le Pc est plus rapide mais les fausses alertes sont toujours présentes.

Cordialement.

David

El Magnifico
 Posté le 24/11/2018 à 10:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

davcar14

Avira n' est pas complétement désinstallé.

Quelles sont ces fausses alertes ? si vous pouvez poster une capture d' écran.

davcar14
 Posté le 26/11/2018 à 21:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico

Voici les captures d'écran

Capture

Capture 1

Merci.

David

El Magnifico
 Posté le 26/11/2018 à 21:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir davcar14

REINITIALISER LES NAVIGATEURS

· Télécharger Reset Browser dans Bureau et pas ailleurs ICI !

· Pour Windows 7 et 8 clic droit sur ResetBrowser.exe choisir" Exécuter en tant qu'administrateur"

· Cliquer sur Réinialisation des DNS puis sur Obtenir les DNS automatiquement

· Cliquer ensuite sur Réinitialiser Chrome

· Cliquer ensuite sur Réinitialiser Internet explorer

· Cliquer enfin sur Réinitialiser Firefox

· Les opérations suivantes seront effectuées :

      o Sauvegarde des favoris et des mots de passes.

      o Suppression des cookies, de l'historique, du cache et des fichiers temporaires.

      o Suppression des toutes ses extensions.

      o Suppression du navigateur.

      o Réinstallation du navigateur.

      o Rétablissement des favoris et des mots de passe



Redémarrez la machine.

davcar14
 Posté le 27/11/2018 à 18:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico,

Le souci des notifications a l'air d'être résolu.

Il doit rester je pense le souci de la désinstallation d'avira.

David

El Magnifico
 Posté le 27/11/2018 à 19:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Normalement Avira a été eradiqué au redemarrage du PC suite à mon correctif du Posté le 23/11/2018 à 11:34 .

Refaire un scan avec ZHPDiag , pour verif



Modifié par El Magnifico le 27/11/2018 19:42
davcar14
 Posté le 27/11/2018 à 21:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

El Magnifico,

Voici le rapport

Publicité
El Magnifico
 Posté le 27/11/2018 à 21:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

davcar14

Avira n' a pas été désinstallé correctement.

Vous allez le réinstaller,

puis le supprimer avec leur logiciel ( si vous pouvez en mode sans echec)

Logiciel=> https://www.avira.com/fr/download/product/avira-registry-cleaner

Puis refaire un scan avec ZHPDiag pour verif. Désolé pour toutes ces manips, mais c'est une plaie pour le supprimer.



Modifié par El Magnifico le 27/11/2018 21:21
davcar14
 Posté le 04/12/2018 à 21:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir El Magnifico,

Je suis désolé de ne pas être venu plus tôt mais je n'arrive pas à gérer le mode sans échec à distance avec teamviewer.

De plus, mon papa est parti de chez lui pour plusieurs jours mais je vais y aller pour le week end du 15/12. J'essaierai là-bas sur place.

Je te tiens au courant.

bon courage.

A bientôt.

David



Modifié par davcar14 le 04/12/2018 21:58
El Magnifico
 Posté le 15/12/2018 à 13:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello

Tu peux supprimer le sujet de rappel

Et poursuivre ici.

davcar14
 Posté le 15/12/2018 à 14:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci El Magnifico,

Du coup j'ai reinstallé Avira puis je l'ai désinstallé et j'ai passé l'utilitaire de suppression des clés de registre en mode sans échec.

Veux-tu que je refasse un rapport Zhpdiag ?

Merci.

David

El Magnifico
 Posté le 15/12/2018 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Désolé pour le verrouillage, fait machinalement

Du coup avec ce temps qui passe , je ne sais plus très bien où nous en étions.

Refaites un ZHPDiag, vous me direz ce qu'il se passe comme soucis sur la machine.

davcar14
 Posté le 15/12/2018 à 14:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
El Magnifico
 Posté le 15/12/2018 à 15:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité


image ZHPFix (de Nicolas Coolman)


Code
1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau image , puis cliquez sur le (bouton bleu) "Download Now"et télécharger le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

image

=> Surlignez toutes les lignes bleues ce qui se trouvent sous "Citation", ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier




Citation

Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
O4 - HKLM\..\Wow6432Node\Run: [Avira SystrayStartTrigger] . (. - .) -- C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe (.Not File.)
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\000
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\001
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\002
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\003
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\004
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\005
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\006
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\007
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\008
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\009
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\010
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\011
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\012
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\013
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\014
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\015
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\016
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\017
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\018
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\019
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\020
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\021
HKLM\SOFTWARE\Software
O4 - HKLM\..\Wow6432Node\Run: [Avira SystrayStartTrigger] . (. - .) -- C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe (.Not File.)
[MD5.3C6373A5E1AD28344C34071F356E56C1] - (.Avira Operations GmbH & Co. KG - Avira system tray application.) -- C:\Program Files (x86)\Avira\Antivirus\avgnt.exe [694544] [PID.7440]
G2 - GCE: Preference [CARTON FRANCIS][User Data\Default] [caljgklbbfbcjjanaijlacgncafpegll] Avira Password Manager
HKLM\SOFTWARE\WOW6432Node\X-AVCSD
HKCU\SOFTWARE\Avira
HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\Avira
O43 - CFD: 15/12/2018 - [] D -- C:\Program Files (x86)\Avira
O43 - CFD: 15/12/2018 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
O43 - CFD: 15/12/2018 - [] D -- C:\ProgramData\Avira
O108 - CMH1: Shell Extension for Malware scanning [64Bits] - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} . (.Avira Operations GmbH & Co. KG - AntiVirus context menu.) -- C:\Program Files (x86)\Avira\Antivirus\shlext64.dll
O108 - CMH6: Shell Extension for Malware scanning [64Bits] - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} . (.Avira Operations GmbH & Co. KG - AntiVirus context menu.) -- C:\Program Files (x86)\Avira\Antivirus\shlext64.dll
O58 - SDL:2018/08/09 16:29:00 A . (.Avira Operations GmbH & Co. KG - Avira USB Feature Driver.) -- C:\WINDOWS\System32\drivers\avdevprot.sys [69656]
O58 - SDL:2018/07/05 08:34:51 A . (.Avira Operations GmbH & Co. KG - Avira Minifilter Driver.) -- C:\WINDOWS\System32\drivers\avgntflt.sys [179376]
O58 - SDL:2018/07/05 08:34:51 A . (.Avira Operations GmbH & Co. KG - Avira Driver for Security Enhancement.) -- C:\WINDOWS\System32\drivers\avipbb.sys [169864]
O58 - SDL:2018/06/12 15:39:12 A . (.Avira Operations GmbH & Co. KG - Avira Manager Driver.) -- C:\WINDOWS\System32\drivers\avkmgr.sys [44488]
O58 - SDL:2018/06/12 15:39:12 A . (.Avira Operations GmbH & Co. KG - Avira WFP Network Driver.) -- C:\WINDOWS\System32\drivers\avnetflt.sys [88488]
O58 - SDL:2018/06/12 15:39:12 A . (.Avira Operations GmbH & Co. KG - Avira USB Filter Driver.) -- C:\WINDOWS\System32\drivers\avusbflt.sys [38048]
O42 - Logiciel: Mozilla Maintenance Service - (.Mozilla.) [HKLM][64Bits] -- MozillaMaintenanceService =>.Mozilla
Fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton image

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif image

image

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!

image

.
Si aprés l' affichage du rapport sur le bureau la machine reste bloquée, fermez la fenetre du rapport.
Malgré celà, si la machine reste bloquée procedez à un redémarrage.


……………………………………………

4) HEBERGEZ le rapport ZHPFix.txt qui se trouve sur le bureau et communiquez le lien de l' hebergeur dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint ou TextUp

• Refaire un scan avec ZHPDiag, postez le rapport

*****************************

Comment tourne la machine ?



A vous lire image

davcar14
 Posté le 15/12/2018 à 17:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

A priori le PC se comporte normalement.

Voici le rapport ZHPFIX

Rapport ZHPDIAG

Merci.

David.

El Magnifico
 Posté le 15/12/2018 à 17:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok

Pouvez vous refaire un scan avec FRST tout cocher , postez les 3 rapports, merci.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[El Magnifico] pc infesté
 > Tous les forums > Forum Analyse de rapports et désinfection