> Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95]Infection possible?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
aletadi
  Posté le 22/03/2019 @ 21:14 
Aller en bas de la page 
Petit astucien

Bonsoir,

Ayant fais la visite d'un site asiatique de vente en ligne sur internet, et ayant, après coup constaté que ce site n'était pas sécurisé (HTTPS), je remarque des réactions bizarres de mon Pc.

De plus ce site ne réagit pas à mes sollicitations, se qui conforte mes craintes!

Puis-je avoir l'aide d'un Herlper pour vérifier l'infection possible de mon PC.

Merci déjà de votre aide.

Alexis

Publicité
jujube2
 Posté le 22/03/2019 à 21:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

si tu viens sur ce forum pour de l' aide, tu aurais du lire la procédure ( en gros au début)

> https://forum.pcastuces.com/sujet.asp?f=26&s=4

bonne continuation

aletadi
 Posté le 22/03/2019 à 22:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Jujube2,

Merci de ta réponse, j'avais déjà lu les modalités d'utilisations pour faire une demande d'analyse, et j'ai déjà préparé les divers log demandés. Mais, je n'avais pas compris qu'il fallait déjà les présenter dans mon post de demande d'analyse, et j'attendais qu'un helper se manifeste!!

donc, voici ce documents.

ZHPDiag https://www.cjoint.com/c/ICwvi1mUbau

FRST: https://www.cjoint.com/c/ICwtBNsQtiu

https://www.cjoint.com/c/ICwvmuKDh6u

https://www.cjoint.com/c/ICwvoslE8lu

Voilà, j'espère que tout est bon et que ma démarche est maintenant "dans les règles".

Merci déjà à tous.

Pierre95
 Posté le 22/03/2019 à 22:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour aletadi,

Bienvenu dans le Forum " Analyse de rapports et Désinfections "

PCAstuce vit grâce à la publicité. Les désinfections sont gratuites. Afin de lui permettre de continuer , tu peux mais rien ne t’y oblige désactiver tes bloqueurs de publicités sur le site de PCastuce
Cliquez ICI


--------------------------------------------------------------------------------
Si tu es d’accord, je peux t’aider pour désinfecter ton PC.
Mon prénom est Pierre et tu peux donner le tien, si tu le désires.
Si tu as des cracks , Keygens ou du P2P désinstalle les.
Durant la désinfection, ne fais aucune modification de ta propre initiative qui fausserait les rapports, ne passe pas d’autres outils de désinfections à part ceux que je te donne .
Si tu as posté sur d'autres forums, tu dois choisir celui que tu veux, mais pas travailler sur plusieurs à la fois .
Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Si par hasard, tu voyais à la lecture des rapports, des restes de logiciels que tu as désinstallés, signale moi le nom de ces logiciels.

--------------------------------------------------------------------------------
Je regarderais tes logs et reviendrai demain matin pour le début des grandes manoeuvres



Modifié par Pierre95 le 22/03/2019 22:38
Pierre95
 Posté le 23/03/2019 à 09:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour aletadi,

Me voilà avec mes premières instructions

Je te conseille de désinstaller sauf si tu en as utilité via Revo Uninstaller installé sur ton PC

Bonjour
Malwarebytes version 3.6.1.2711 ==> Tu n'as pas la dernière version, on le réinstallera plus tard
Mozilla Maintenance Service
UsbFix ==> tu le réinstalleras si tu en as besoin

C'est bizarre, tu as 2 versions de Firefox installées

Mozilla Firefox 60.0
Mozilla Firefox 65.0.2


Désinstalles les 2 et télécharge et installe la dernière version

Je vais te demander une exportations de clés douteuses par FRST

Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Enregistre sur ton bureau au même endroit que FRST.exe le fichier fixlist.txt téléchargé ci dessous
*
https://1fichier.com/?0d3znsb1d5uqyeamk5tc
*
Comme sur la capture ci-dessous

image

Maintenant lance FRST.exe en double cliquant dessus. Tu auras ceci

image

Que les cases soient cochées ou pas cela n'a pas d'importance.

puis clique sur " CORRIGER " puis valide le Disclaimer par " OK "
Laisse l'outil faire son job, c'est normalement assez rapide
Poste le rapport Fixlog.txt quand celui-ci est obtenu en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt

aletadi
 Posté le 23/03/2019 à 09:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Pierre,

Merci de ta disponibilité.

Après avoir lancé FRST64, et pressé le bouton "Correction" immédiatement une fenêtre affiche

"Aucun fichier fixlist.txt n'a été trouvé."



Modifié par aletadi le 23/03/2019 09:54
Pierre95
 Posté le 23/03/2019 à 10:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Il faut que FRST64.exe et fixlist soient placés à coté l'un de l'autre sur le bureau

fixlist doit s'appeler fixlist ou fixlist.txt ( si tu affiches les extensions des fichiers ) et pas autre chose sinon cela foire.

s'il s'est enregistré sous le nom de fixlist(1) par exemple tu le renommes en fixlist

J'ai du utiliser cette méthode plus compliqué que l'habitude pour que soit pris en compte les caractères " chinois"

Fais moi une copie d'écran ou l'on voit FRST64.exe et fixlist.txt cote à cote



Modifié par Pierre95 le 23/03/2019 10:05
aletadi
 Posté le 23/03/2019 à 10:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Pierre,

C'est curieux, mais je ne trouve pas trace de fixlist! Ni sur le bureau, ni dans C:\FRST....\...... même pas en recherche su C/

aletadi
 Posté le 23/03/2019 à 10:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici copie de l'écran où FRST et ZHPDiag sont installés

https://www.cjoint.com/c/ICxjqd8Z8fu

Publicité
Pierre95
 Posté le 23/03/2019 à 10:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Mais parbleu, il est la ou tu enregistres quelque chose avec ton navigateur

Pour la plus part des gens, c'est Téléchargements à moins qu'isl choisissent de l'enregistrer ailleurs

EDIT

Ta capture d'écran montre bien que sur le bureau tu as FRST64.exe mais pas de fixlist.txt



Modifié par Pierre95 le 23/03/2019 10:28
aletadi
 Posté le 23/03/2019 à 11:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bon, j'ai beau chercher tous azimut je ne le trouve pas !!!!!

Il faut donc le recréer, dis moi comment !

Pierre95
 Posté le 23/03/2019 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je te l'ai indiqué au début à 9h 08 en détail

https://1fichier.com/?0d3znsb1d5uqyeamk5tc



Modifié par Pierre95 le 23/03/2019 11:17
aletadi
 Posté le 23/03/2019 à 12:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bon…. je reprends tout depuis le début!

J'en ais pour bout de temps, en plus d'avoir un rendez-vous cet après midi. Je reviendrai donc en début de soirée.

Merci

Pierre95
 Posté le 23/03/2019 à 12:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK , à ce soir

aletadi
 Posté le 23/03/2019 à 15:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Me revoici,

Voici les liens des différents log

ZHPDiag.txt :https://www.cjoint.com/c/ICxm3SjO0xu

FRST.txt :https://www.cjoint.com/c/ICxnlaUPZQu

FRST addition :https://www.cjoint.com/c/ICxnplULX0u

Shortcut:https://www.cjoint.com/c/ICxnrkyUjEu

Fixlog:www.cjoint.com/c/ICxn05OiI4u">https://www.cjoint.com/c/ICxn05OiI4u



Modifié par aletadi le 23/03/2019 16:32
Pierre95
 Posté le 23/03/2019 à 17:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello Alexis

On va procéder à un premier décrassage de la bécane avec ZHPFix2

ZHPFIX2

Je vais te faire passer un script ZHPFix pour supprimer ce qui reste de nuisible ou d'inutile
Avant de l'appliquer, on va créer un point de restauration par précaution, et pour permettre un retour en arrière en cas d'erreur.
Pour créer un point de restauration :

==> Pour Windows 7 voir ICI
==> Pour Windows 8 voir ICI
==> Pour Windows 10 voir ICI

Tu vas télécharger le logiciel ZHPFIX2 ICI

Sur la page ouverte, tu cliques sur le bouton "Télécharger"

Un fichier ZHPFix2.exe est crée Tu fais un clic droit dessus " Executer en tant qu'administrateur "
Un raccouci ZHPFix2 est crée sur ton bureau. Tu lances le programme à partir de ce raccourci
Tu obtiens cette fenêtre ou tu copies colles ( coller en cliquant sur le calepin en [1]) à partir de tout en haut à gauche les lignes bleues suivantes

image

Citation
Script ZHPFix
EmptyCLSID
Emptytemp
EmptyFlash
UnMaskSoftware: O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM][64Bits] -- {60EC980A-BDA2-4CB6-A427-B07A5498B4CA} =>.Google Inc. (Hidden)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]:QuickTime Task
O43 - CFD: 22/11/2017 - [] AD -- C:\Program Files (x86)\QuickTime
O43 - CFD: 10/06/2015 - [0] SHD -- C:\Users\ALEX\AppData\Local\EmieBrowserModeList
O43 - CFD: 10/06/2015 - [0] SHD -- C:\Users\ALEX\AppData\Local\EmieSiteList
O43 - CFD: 10/06/2015 - [0] SHD -- C:\Users\ALEX\AppData\Local\EmieUserList
O43 - CFD: 19/11/2018 - [] D -- C:\Users\ALEX\AppData\Local\OneDrive
O43 - CFD: 10/06/2015 - [0] SHD -- C:\Users\ALEX\AppData\LocalLow\EmieBrowserModeList
O43 - CFD: 10/06/2015 - [0] SHD -- C:\Users\ALEX\AppData\LocalLow\EmieSiteList
O43 - CFD: 10/06/2015 - [0] SHD -- C:\Users\ALEX\AppData\LocalLow\EmieUserList
C:\Program Files (x86)\QuickTime
C:\Users\ALEX\AppData\Local\EmieBrowserModeList
C:\Users\ALEX\AppData\Local\EmieSiteList
C:\Users\ALEX\AppData\Local\EmieUserList
C:\Users\ALEX\AppData\Local\OneDrive
C:\Users\ALEX\AppData\LocalLow\EmieBrowserModeList
C:\Users\ALEX\AppData\LocalLow\EmieSiteList
C:\Users\ALEX\AppData\LocalLow\EmieUserList
O108 - CMH1: MyImgur [64Bits] - {F3026062-4D7E-4638-9A6B-382CCAC3FC0A} . (.Orphan.)
[MD5.894FC96EAD193C8AD29C2997EF797CFD] [WIS][2015/10/14 10:40:18] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\1445c148.msp [1224704]
[MD5.77AB51250501ADDD4D491DECDB6121FD] [WIS][2017/08/28 17:40:46] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\16f39ce.msp [2424832]
[MD5.557170C4FCC0754B372A5FC174735242] [WIS][2016/06/02 05:48:41] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\1818c3.msp [2772992]
[MD5.CECF2A7991F74C858965EA972A43CE3F] [WIS][2017/04/10 06:34:32] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\18c3737.msp [57815040]
[MD5.50A28B22FFDE4D837B145DB7A22E94C5] [WIS][2016/05/10 04:20:29] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\18c96c4.msp [58986496]
[MD5.F9FD1AB516C661D9938213AA661350B7] [WIS][2016/08/02 12:49:06] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\18cbb51.msp [1511424]
[MD5.2BF0093E60C2D00175DD9F550D900CB7] [WIS][2017/08/07 09:20:05] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\2034138.msp [70610944]
[MD5.BCC43969BE02109C8AC7141C7C3CB9CA] [WIS][2017/08/11 11:04:59] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\237ae70.msp [2031616]
[MD5.BD4423645209FA4CE380C43C1633F4E4] [WIS][2016/07/12 04:25:29] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\2a0fa65.msp [39538688]
[MD5.0762EDB0E4C8D62A4328C3360BC7AD2C] [WIS][2017/07/11 05:57:12] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\355ca.msp [1732608]
[MD5.65817E8993AA2B73C93E57CDECFBAECA] [WIS][2015/10/13 04:26:31] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\3aa2b80.msp [21102592]
[MD5.5C1A7A8BB44DBD7C1773AF0FCAB08A6B] [WIS][2015/07/09 12:46:23] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\4c3dc3d.msp [49188864]
[MD5.E3869EFD0836C950E46B02D3CBC67184] [WIS][2017/01/09 04:41:00] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\51a4b1.msp [25853952]
[MD5.82F476D2A7125BB7EBF5A2A657BAB293] [WIS][2017/11/13 05:26:16] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\53e69.msp [23506944]
[MD5.4D64DE5B41C39FA6192C22CBCD826FBA] [WIS][2016/10/10 08:29:03] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\698a4.msp [36499456]
[MD5.BFE991AC9BA8B9709C30ABBC85CDD6AB] [WIS][2015/10/29 08:48:45] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\87ba4fa.msp [1208320]
[MD5.D2315820CBF3F165769574F4F57F9D59] [WIS][2015/11/25 10:42:23] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\9f5040e.msp [212992]
[MD5.C233BD1DB45AF8BACD0F3C0D8A646740] [WIS][2016/05/19 04:30:11] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\a1fb3.msp [1429504]
[MD5.339631DF934AFC2BE35E2B27A6F7DB06] [WIS][2016/11/03 08:25:06] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\bd76f.msp [1642496]
[MD5.3617A09ABC822D955214EBE86A991CF3] [WIS][2017/11/29 11:42:28] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\bf135.msp [1355776]
[MD5.72C91237F7C7A0527FA5F0752CF81A66] [WIS][2017/01/19 11:28:55] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\c143f.msp [1937408]
[MD5.307FCA5A8C1EDF5A94F46095589379CE] [WIS][2016/03/08 04:45:31] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\c2b82.msp [2719744]
[MD5.F767152C881F505C5BBAC71A825C1263] [WIS][2017/02/21 13:33:51] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\c4f13.msp [12845056]
[MD5.25F86D2EE0FAB79D6DCA727411962C32] [WIS][2016/02/16 13:48:12] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\c8352.msp [9687040]
[MD5.08615067E75539285F388EF4B41D669E] [WIS][2016/01/12 04:19:17] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\cc0789.msp [46080000]
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\MyImgur
C:\WINDOWS\Installer\1445c148.msp
C:\WINDOWS\Installer\16f39ce.msp
C:\WINDOWS\Installer\1818c3.msp
C:\WINDOWS\Installer\18c3737.msp
C:\WINDOWS\Installer\18c96c4.msp
C:\WINDOWS\Installer\18cbb51.msp
C:\WINDOWS\Installer\2034138.msp
C:\WINDOWS\Installer\237ae70.msp
C:\WINDOWS\Installer\2a0fa65.msp
C:\WINDOWS\Installer\355ca.msp
C:\WINDOWS\Installer\3aa2b80.msp
C:\WINDOWS\Installer\4c3dc3d.msp
C:\WINDOWS\Installer\51a4b1.msp
C:\WINDOWS\Installer\53e69.msp
C:\WINDOWS\Installer\698a4.msp
C:\WINDOWS\Installer\87ba4fa.msp
C:\WINDOWS\Installer\9f5040e.msp
C:\WINDOWS\Installer\a1fb3.msp
C:\WINDOWS\Installer\bd76f.msp
C:\WINDOWS\Installer\bf135.msp
C:\WINDOWS\Installer\c143f.msp
C:\WINDOWS\Installer\c2b82.msp
C:\WINDOWS\Installer\c4f13.msp
C:\WINDOWS\Installer\c8352.msp
C:\WINDOWS\Installer\cc0789.msp
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\ask.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\ask.com
SR - Auto [00/00/0000] [ 0] Intel Bluetooth Service (ibtsiva) . (...) - C:\WINDOWS\System32\ibtsiva (.not file.)
O3 - Toolbar: 0x67C200C5BF631F4587974D720C9A2ED9 - [HKCU]{C500C267-63BF-451F-8797-4D720C9A2ED9} . (...) -- (.not file.)
HKLM\SOFTWARE\Mozilla
HKLM\SOFTWARE\MozillaPlugins
HKLM\SOFTWARE\WOW6432Node\mozilla.org
HKLM\SOFTWARE\WOW6432Node\MozillaPlugins
HKCU\SOFTWARE\MozillaPlugins
HKU\S-1-5-21-18353377-307815195-1725807326-1001\SOFTWARE\MozillaPlugins
O43 - CFD: 21/03/2019 - [0] D -- C:\Users\ALEX\AppData\LocalLow\Mozilla
C:\Users\ALEX\AppData\LocalLow\Mozilla
HKLM\SOFTWARE\WOW6432Node\KasperskyLab
HKCU\SOFTWARE\KasperskyLabSetup
HKU\S-1-5-21-18353377-307815195-1725807326-1001\SOFTWARE\KasperskyLabSetup
O43 - CFD: 15/11/2018 - [] D -- C:\ProgramData\Kaspersky Lab
O43 - CFD: 01/06/2018 - [] D -- C:\ProgramData\Kaspersky Lab Setup Files
HKCU\SOFTWARE\AvastAdSDK
HKU\S-1-5-21-18353377-307815195-1725807326-1001\SOFTWARE\AvastAdSDK
HKCU\SOFTWARE\AppDataLow\Software\JavaSoft
O43 - CFD: 25/04/2018 - [] D -- C:\Program Files (x86)\Java
cmd: ipconfig /flushdns
cmd: netsh winsock reset
cmd: netsh advfirewall reset
cmd: Netsh advfirewall set allprofiles state on



Vérifies que les lignes copiées dans le cadre sont celles du scripte et rien d’autre.
Ceci fait , tu cliques sur le balai en haut à gauche

image

Si durant le traitement , tu as un message te disant qu'un reboot est nécessaire clique sur " oui"

image

A la fin du traitement un rapport ZHPFix.txt apparait sur ton bureau
Héberge le sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque:
Tu peux aussi le récuperer en cliquant dans la case avec un grand T sous le balai en haut à gauche

Tu dois pouvoir désinstaller avec RevoUninstaller car devenu visible

Google Update Helper



1 - Après cela fait un rapport ZHPDiag pour vérifier que script a fait son travail communique le lien de Cjoint dans ta prochaine réponse
2 - Refais un scan FRST avec ses 3 rapports (FRST.txt, Addition.txt et Shortcut.txt pour que je puisse te faire un correctif.


aletadi
 Posté le 23/03/2019 à 19:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir pierre,

ZHPFix a bien fonctionné, j'aibien copié les "ligne en bleu" dans la fenêtre du programme, qui les a traités mais à la fin du process, mon Norton à décidé de supprimer ZHPFix le concidérant comme une menace!!!

Je n'ai donc plus retrouvé sur le bureau, ni le programme, ni le log qui devait y figurer.

Donc je poursuis avec les log que tu me demande.

Voici les liens.

ZHPDiag.txt : https://www.cjoint.com/c/ICxr4YWvzhu

FRST.txt : https://www.cjoint.com/c/ICxr6doFMGu

FRST addition : https://www.cjoint.com/c/ICxr6QqNkAu

Shortcut : https://www.cjoint.com/c/ICxr7mldJiu

Publicité
Pierre95
 Posté le 23/03/2019 à 20:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Alexis,

Putain cong, il faudra pour les outils qu'on passera tu désactives temporairement ton Norton qui nous fait des croches pattes et nous fout des batons dans les roues


Il y a une clé douteuse et je t'ai fait faire une exportation
Elle fait référence à un programme zippé qui est ou a été sur ton bureau

Citation
C:\Users\ALEX\Desktop\FirmwareUpdate_WLR755AC_EN.zip



Est ce que ce FirmwareUpdate_WLR755AC_EN.zip te dit quelque chose ?

J'ai ajouté dans le script à passer une analyse Virus Total

FRST de Farbar

En utilisant la même méthode que précedemment, tu vas passer ce nouveau correctif avec FRST64 en y mettant les lignes bleues ci dessous et en cliquant ensuite sur " Corriger "

Citation
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Users\ALEX\Desktop\FirmwareUpdate_WLR755AC_EN.zip
VirusTotal: C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|QuickTime Task
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\MyImgur
HKU\S-1-5-21-18353377-307815195-1725807326-1001\...\MountPoints2: {0f4e6b04-d67f-11e7-8520-801934622c11} - "E:\HiSuiteDownLoader.exe"
GroupPolicy: Restriction ? <==== ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.17.0.183\Exts\Chrome.crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.17.0.183\Exts\Chrome.crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.23 - Google Inc.) Hidden
ShellServiceObjects: Pas de nom -> {E42B2601-9C77-4C31-88B3-CCEEE2619E33} =>
ShellServiceObjects-x32: Pas de nom -> {E42B2601-9C77-4C31-88B3-CCEEE2619E33} =>
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {031E2D9B-4B50-460C-B8B2-F74C41CF5543} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {070C7775-CD6A-4BF0-91E8-C5420A005F9B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier <==== ATTENTION
Task: {1866BB84-F6A1-496F-A373-84801E21A282} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier <==== ATTENTION
Task: {3A25517C-1D5D-4ADD-BB3A-BE9A763E99DC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier <==== ATTENTION
Task: {3AE8135C-2E72-49E3-9133-89534E7ED2E2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (Google Inc -> Google Inc.)
Task: {460FA03B-074F-4D2C-A4E9-6EFA4C6EC9C8} - \Optimize Start Menu Cache Files-S-1-5-21-18353377-307815195-1725807326-1001 -> Pas de fichier <==== ATTENTION
Task: {463AB5E2-FA39-4DA0-9399-4683ED772105} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (Google Inc -> Google Inc.)
Task: {4DFE10CB-3D50-4B0F-B3E0-9192AC9643F8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier <==== ATTENTION
Task: {664706B9-8BD8-4B4A-BF72-0DB6392CD2B5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier <==== ATTENTION
Task: {67008801-6958-40C2-A58D-C63DD6E3D08B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier <==== ATTENTION
Task: {6835E1AB-D8A3-45F0-B888-EDA5D5BE2802} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier <==== ATTENTION
Task: {7B589BAA-505F-4817-9B1A-EE3DBBD8F90E} - System32\Tasks\{41DB2A55-D570-4963-91D9-A64A75D2E2B8} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Microsoft Games\Flight Simulator 9\fs9.exe" -d "C:\Program Files (x86)\Microsoft Games\Flight Simulator 9"
Task: {83AEE59A-EF79-4297-A421-5F304460D8BF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: {D6B1F3DD-5984-415E-80E7-F1395C1010EF} - \WPD\SqmUpload_S-1-5-21-18353377-307815195-1725807326-1001 -> Pas de fichier <==== ATTENTION
Task: {DCF0FB94-9A7E-41E0-9F20-107283B6DB25} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier <==== ATTENTION
Task: {E97D917A-9037-4508-9DDB-A4611205BE2C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: {E9E1A1C5-CDE8-413A-8E39-265C4AAB331B} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: {F09F40D0-5B7D-46D8-8470-7B62C0A7730A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
AlternateDataStreams: C:\Mount:$WIMMOUNTDATA [738]
C:\Users\ALEX\OneDrive\Bureau\Nero CoverDesigner.lnk
C:\Users\ALEX\OneDrive\Bureau\Samsung Kies 3.lnk
C:\Users\ALEX\OneDrive\Bureau\VideStudio X8\Microsoft LifeCam.lnk -> C:\Program Files (x86)\Microsoft LifeCam\LifeCam.exe (Pas de fichier)
C:\Users\ALEX\OneDrive\Bureau\Programmes COREL\Corel AfterShot 2 (64-bit).lnk
C:\Users\ALEX\OneDrive\Bureau\Info&Tutoriel\Assistant Mise à jour de Windows 10.lnk
C:\Users\ALEX\OneDrive\Bureau\Info&Tutoriel\Assistant Mise à niveau de Windows 10.lnk
C:\Users\ALEX\OneDrive\Bureau\Boite à outils\Assistant Mise à jour de Windows 10.lnk
C:\Users\ALEX\OneDrive\Bureau\Boite à outils\Edge Manage.lnk
C:\Users\ALEX\OneDrive\Bureau\Boite à outils\EdgeManage.lnk
End::



Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt


Peux tu me refaire un ZHPDiag tout frais tout chaud ainsi qu'un scan FRST avec ses 3 rapports pour vérifier le travail ?



Modifié par Pierre95 le 23/03/2019 20:29
aletadi
 Posté le 23/03/2019 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Pierre

Tu me demande de "faire comme précédemment" avec FRST64. Mais avec ce programme je n'ai pas eu à y inclure des lignes de fichier texte! seulement corriger avec un fichier Fixlog téléchargé !

Dans ce programme, je ne vois d'ailleurs pas comment inclure ces ligne de txt que j'aurais copier!

Comment faire cette manœuvre?

Pierre95
 Posté le 23/03/2019 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Affirmatif !!

Je te donne la classique

Tu vas passer ce correctif avec FRST

Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,

image

Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Users\ALEX\Desktop\FirmwareUpdate_WLR755AC_EN.zip
VirusTotal: C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|QuickTime Task
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\MyImgur
HKU\S-1-5-21-18353377-307815195-1725807326-1001\...\MountPoints2: {0f4e6b04-d67f-11e7-8520-801934622c11} - "E:\HiSuiteDownLoader.exe"
GroupPolicy: Restriction ? <==== ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.17.0.183\Exts\Chrome.crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.17.0.183\Exts\Chrome.crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.23 - Google Inc.) Hidden
ShellServiceObjects: Pas de nom -> {E42B2601-9C77-4C31-88B3-CCEEE2619E33} =>
ShellServiceObjects-x32: Pas de nom -> {E42B2601-9C77-4C31-88B3-CCEEE2619E33} =>
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {031E2D9B-4B50-460C-B8B2-F74C41CF5543} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {070C7775-CD6A-4BF0-91E8-C5420A005F9B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier <==== ATTENTION
Task: {1866BB84-F6A1-496F-A373-84801E21A282} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier <==== ATTENTION
Task: {3A25517C-1D5D-4ADD-BB3A-BE9A763E99DC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier <==== ATTENTION
Task: {3AE8135C-2E72-49E3-9133-89534E7ED2E2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (Google Inc -> Google Inc.)
Task: {460FA03B-074F-4D2C-A4E9-6EFA4C6EC9C8} - \Optimize Start Menu Cache Files-S-1-5-21-18353377-307815195-1725807326-1001 -> Pas de fichier <==== ATTENTION
Task: {463AB5E2-FA39-4DA0-9399-4683ED772105} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (Google Inc -> Google Inc.)
Task: {4DFE10CB-3D50-4B0F-B3E0-9192AC9643F8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier <==== ATTENTION
Task: {664706B9-8BD8-4B4A-BF72-0DB6392CD2B5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier <==== ATTENTION
Task: {67008801-6958-40C2-A58D-C63DD6E3D08B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier <==== ATTENTION
Task: {6835E1AB-D8A3-45F0-B888-EDA5D5BE2802} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier <==== ATTENTION
Task: {7B589BAA-505F-4817-9B1A-EE3DBBD8F90E} - System32\Tasks\{41DB2A55-D570-4963-91D9-A64A75D2E2B8} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Microsoft Games\Flight Simulator 9\fs9.exe" -d "C:\Program Files (x86)\Microsoft Games\Flight Simulator 9"
Task: {83AEE59A-EF79-4297-A421-5F304460D8BF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: {D6B1F3DD-5984-415E-80E7-F1395C1010EF} - \WPD\SqmUpload_S-1-5-21-18353377-307815195-1725807326-1001 -> Pas de fichier <==== ATTENTION
Task: {DCF0FB94-9A7E-41E0-9F20-107283B6DB25} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier <==== ATTENTION
Task: {E97D917A-9037-4508-9DDB-A4611205BE2C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: {E9E1A1C5-CDE8-413A-8E39-265C4AAB331B} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: {F09F40D0-5B7D-46D8-8470-7B62C0A7730A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
AlternateDataStreams: C:\Mount:$WIMMOUNTDATA [738]
C:\Users\ALEX\OneDrive\Bureau\Nero CoverDesigner.lnk
C:\Users\ALEX\OneDrive\Bureau\Samsung Kies 3.lnk
C:\Users\ALEX\OneDrive\Bureau\VideStudio X8\Microsoft LifeCam.lnk -> C:\Program Files (x86)\Microsoft LifeCam\LifeCam.exe (Pas de fichier)
C:\Users\ALEX\OneDrive\Bureau\Programmes COREL\Corel AfterShot 2 (64-bit).lnk
C:\Users\ALEX\OneDrive\Bureau\Info&Tutoriel\Assistant Mise à jour de Windows 10.lnk
C:\Users\ALEX\OneDrive\Bureau\Info&Tutoriel\Assistant Mise à niveau de Windows 10.lnk
C:\Users\ALEX\OneDrive\Bureau\Boite à outils\Assistant Mise à jour de Windows 10.lnk
C:\Users\ALEX\OneDrive\Bureau\Boite à outils\Edge Manage.lnk
C:\Users\ALEX\OneDrive\Bureau\Boite à outils\EdgeManage.lnk
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt

aletadi
 Posté le 24/03/2019 à 08:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Pierre,

Voici le Fixlog demandé.

https://www.cjoint.com/c/ICyh4hSUe12

Bon dimanche.

Pierre95
 Posté le 24/03/2019 à 09:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bon dimanche , Alexis

Le fixlist a bien fonctionné

Peux tu me refaire un ZHPDiag tout frais tout chaud ainsi qu'un scan FRST avec ses 3 rapports pour vérifier le travail ?

Je t'avais posé une question hier à 20h28 ou tu n'as pas répondu

===> Je la recopie ci dessous (Le but c'est pour Nicolas, avoir des renseignements sur une clé)

Je te remercie par avance si tu as souvenir de ce programme en rouge

Il y a une clé douteuse et je t'ai fait faire une exportationElle fait référence à un programme zippé qui est ou a été sur ton bureau

Citation
C:\Users\ALEX\Desktop\FirmwareUpdate_WLR755AC_EN.zip

Est ce que ce FirmwareUpdate_WLR755AC_EN.zip te dit quelque chose ?J'ai ajouté dans le script à passer une analyse Virus Total

Pierre95
 Posté le 24/03/2019 à 09:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ce Programme a été sur ton bureau mais bien sur Virus Total ne l'a plus trouvé donc il n'y est plus

aletadi
 Posté le 24/03/2019 à 11:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Pierre,

Non, FirmwareUpdate_WLR755AC_EN.zip ne me dit rien, certes souvent je télécharge des mise à jour, pour plusieurs machines qui peuvent stationner sur le bureau, mais WLR755 sa ne me dit rien.

Voici ZHPDiag: https://www.cjoint.com/c/ICykVlmBfL2

FRST: https://www.cjoint.com/c/ICykXfYwPq2

Addition: https://www.cjoint.com/c/ICykZr2KR82https:

Shortcut: https://www.cjoint.com/c/ICyk0Diiv42

Voici tout cela,

Bon apéro.

Pierre95
 Posté le 24/03/2019 à 12:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello Alexis,

Voila ce que tu feras après l'apero et

ZHPDiag et FRST ne détectent pas toutes les merdouilles.Je vais donc te faire passer des outils spécialisés dans la traque des nuisibles.
Tu vas passer dans l'ordre uniquement en scan pour le moment sauf le dernier MBAM ou tu pourras mettre toutes les menaces détectées en quarantaine:

ZHPCLEANER en scan
On continue l'auscultation de ton PCimage
Télécharge ZHPCleaner (de Nicolas Coolman) => https://nicolascoolman.eu/download/zhpcleaner/
Installes le. Désactives temporairement ton antivirus. Lances le programme

Tu vas tout d'abord cliquer sur le bouton " Options "

image

Tu sélectionnes toutes les options

cliquer sur " Tout cocher "[ 1 ] puis " Fermer " [ 2 ]


image

Clique sur SCANNER

image

-------------------------------------------------------------------------------
Notes:

1 - Durant le nettoyage, si l'outil te demande "Avez vous installé ce proxy ?" suivi de l’adresse IP du Proxy et que tu n'en as pas installé, clique sur "Non"
2 - S’il te demande Voulez vous remplacer la page d'accueil ?, et que tu ne la connais pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui",
3 - S’il te demande Avez vous installer ce serveur ? suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”

--------------------------------------------------------------------------------
Un rapport ZHPCleaner (S).txt va s'ouvrir.S’il ne s’ouvre pas, appuies sur le bouton Rapport avec un grand T.

image

Tu l'enregistres sur ton bureau par exemple.
Envoie le nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Ne ferme pas ZHPCleaner pour faire ensuite un éventuel nettoyage


aletadi
 Posté le 24/03/2019 à 14:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

RE...

J'espère que tu as déjeuné aussi bien que moi (miam miam).

Voici ZHPCleaner https://www.cjoint.com/c/ICynEehKKN2

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[Pierre95]Possible infection sur mon PC sous win 8.1
[El Magnifico]infection sur mon pc
[Pierre95]Soupçon d'infection
[El Magnifico]Infection posssible
[El Magnifico] Infection fatale..ou non?
[Pierre95]Suspicion d'infection
pc très lent infection peux être
[El Magnifico]Menace infection virus
[El Magnifico]Suspission d'infection sur un DD.
Suspicion d'infection
Plus de sujets relatifs à [Pierre95]Infection possible?
 > Tous les forums > Forum Analyse de rapports et désinfection