> Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95]Suspicion d'infectionSujet résolu
Ajouter un message à la discussion
Pages : Début ... 1 2 [3] 4 ... Fin
[Début] Page 3 sur 4 [Fin]
hiboubou
 Posté le 28/02/2019 à 15:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ESET est en action, j'ai désactivé avast pour 1h...

hiboubou
 Posté le 28/02/2019 à 15:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Petit intermède inattendue:

hiboubou
 Posté le 28/02/2019 à 15:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

L'analyse est en cours. A toute à l'heure...

hiboubou
 Posté le 28/02/2019 à 19:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

3h54 d'analyse..,; et c'est pas fini...(90%)

hiboubou
 Posté le 28/02/2019 à 19:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Et voilà le travail : ESET rapport https://www.cjoint.com/c/IBCsN1Evmri

Pierre95
 Posté le 28/02/2019 à 20:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

J'en suis tombé le cul par terre
Toutes les infections détectées par ESET sont sur le Disque D: ou on retrouve des trojans actifs ou dans la quarantaine de USBFix mais dans D:

Citation
D:\Sylvère\Documents\1 DOC Sylvère\1 IMPRO 2018 et SUD\usb 6 07\~WRL0005.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\1 IMPRO 2018 et SUD\usb 6 07\~WRL3988.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\SUD usb\autorun.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\SUD usb\CHSCT 7 12 2017.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\SUD usb\CHSCT archive.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\SUD usb\EMTEC.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\SUD usb\SH.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\1 DOC Sylvère\SUD usb\System Volume Information.lnk LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\.Spotlight-V100.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\.Trashes.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\118.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\120.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\122.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\126.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\126a.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\128.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\2018-06-01.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\60-macumba-59320englosnord-2014_0.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\Android.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\angiome.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\angiome1.lnk.vir LNK/Agent.DE cheval de troie
D:\Sylvère\Documents\USB2 Lexar\UsbFix\Quarantine\E\Awakening Your Light Body.lnk.vir LNK/Agent.DE cheval de troie



C'est quoi cette grosse infection que tu t'es choppée probablement par clés USB ?

Nous allons pas nous casser le tron .
Trop de détections.
Tu vas relancer ESET , cette fois ci avec nettoyage, en cochant cette fois la case " supprimer les menaces détectées "


image

Tu m'enverras le rapport en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)

CJOINT

CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque:
Tu peux aussi trouver le résultat du scan : un fichier log.txt sous C:\Program Files (x86)\ESET\ESET Online Scanner

Question subsidiaire :

Dans ZHPDiag

HKLM\SOFTWARE\WOW6432Node\Nero

HKCU\SOFTWARE\Nero

HKU\S-1-5-21-3179066232-1240870147-3694586324-1000\SOFTWARE\Nero

O43 - CFD: 12/10/2013 - [] D -- C:\ProgramData\Nero

O43 - CFD: 17/10/2013 - [] D -- C:\Users\Sylvère\AppData\Roaming\Nero

O43 - CFD: 17/04/2014 - [] D -- C:\Users\Sylvère\AppData\Local\Nero

O43 - CFD: 12/10/2013 - [] D -- C:\Users\Sylvère\AppData\Local\Nero_AG

Ce sont des restes de Nero que tu as désinstallé ?

Il faudra virer cela dans le dernier script



Modifié par Pierre95 le 28/02/2019 20:24
hiboubou
 Posté le 28/02/2019 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

A moins que ce soit un autre problème, je crois c'est un truc qui s'appelle "hellowsf" qui a premièrement contaminé le PC portable désinfecté avec El-magnifico et la petite astucienne "montagneux". El-magnifico avait fait faire toute une procédure de nettoyage sur le PC portable et plusieurs USB et DDE. Sur le PC de bureau que j'utilise principalement (montagneux utilisant le portable) la contamination a apparemment été gérée , je ne m'en suis pas préoccupé, le "hellowsf" ne posait pas de problème sur mes fichiers. J’avais passé plusieurs fois USBfix et comme la désinfection avait été faite par El-magnifico sur les supports externes, je pensais ne pas être infecté par ce truc . J'ai chopé ce truc via une clef usb au boulot. L'informaticen de l'employeur avait soit disant fait une désinfection avec USBfix et c'est ce qu'il m'avait recommandé de faire pour mes USB contaminés. Mais en fait il n'a jamais rien fait de durable car le truc était toujours caché dans les PC du bureau, mais il n' pas voulu investiguer plus loin. Ce truc traine toujours au boulot. Je ne met plus d'USB perso sur ces PCpro mais je transfert des fichiers depuis ces PC via mails sur ma boite perso que je consulte ensuite sur mon PC perso. Est-ce que ça peut aussi contaminer de cette façon? je crois qu'il faudrait faire aussi un travail de désinfection efficace sur les PC utilisés au bureau...

Bon je reviens à nos moutons au prochain post.

hiboubou
 Posté le 28/02/2019 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Non , je n'ai pas touché à Nero depuis 15 ans. je ne l'utilise plus, j'ai changé plusieurs fois d'ordi depuis et ne l'ai pas réinstallé.

Publicité
hiboubou
 Posté le 28/02/2019 à 20:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je relance ESET en nettoyage. A toute à l'heure, sinon à demain selon le temps que ça va prendre.

hiboubou
 Posté le 28/02/2019 à 20:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

heu avant de lancer ESET comment je vire le dernier script de ZHPDiag? Où je trouve ce script?

Pierre95
 Posté le 28/02/2019 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

heu avant de lancer ESET comment je vire le dernier script de ZHPDiag? Où je trouve ce script?

On s'est mal compris. Je voulais seulement dire que le les restes de Nero seront supprimé grâce à un script préparé par mes soins que tu passeras fort probablement avec FRST

hiboubou
 Posté le 28/02/2019 à 21:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok.

Eset est à 28% de la procédure de nettoyage après 50 mn.ça va prendre u n sacré bout de temps je pense. A demain

Pierre95
 Posté le 28/02/2019 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK à demain

Tu auras un autre problème à résoudre

Dans ZHPDiag

System drive C: has 18 GB (14%) free of 122 GB : ATTENTION =>Warning Disk Space

Pas assez de place sur ton disque C :

Tu devras faire de la place sur ton disque C: En effet il faut au moins de 20 GB de libre sur C:
Tu dois rapatrier films, photos,etc.. sur un disque externe, supprimer des programmes inutiles pour faire de la place au disque C:

hiboubou
 Posté le 01/03/2019 à 00:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nettoyage très long, plus de 3 h.... A 94% ESET n'avançait plus, il avait l'air bloqué sur K:. j'ai fait arrêter, et enregistrer le rapport et supprimer la quarantaine après avoir regardé ce qu'elle contenait. Rien de vital. Voici donc le rapport nettoyage ESET:https://www.cjoint.com/c/IBCxxsmPs2i

Je relance ça dans la journée de vendredi s'il le faut. Mais c'est très très long...

Y a eu aussi une impossibilité de mettre l'antivirus off. Pourquoi?. Mais j'ai pas l'impression que ça a géné ESET, à moins que cela explique le "blocage" constaté à 94% de la progression.



Modifié par hiboubou le 01/03/2019 00:29
Pierre95
 Posté le 01/03/2019 à 10:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello,

A 94% ESET n'avançait plus, il avait l'air bloqué sur K:

Moi, c'est pareil , il semble être bloqué mais il faut être patient. La patience est une vertu cardinale

Y a eu aussi une impossibilité de mettre l'antivirus off. Pourquoi?

A vrai dire, je vais t'avouer que j'ai Avast comme antivirus et que quand je passe ESET je ne le désactive pas alors que c'est conseillé.

Ce n'est pas normal que tu ne puisses pas désactiver temporairement AVAST

https://www.windows8facile.fr/avast-desactiver-antivirus/

Si ce défaut est récurrent, je te conseille de désinstaller et de le réinstaller avec son outil approprié AvastClear

https://www.avast.com/fr-fr/uninstall-utility

Cela doit se faire normalement et automatiquement en mode sans echec

hiboubou
 Posté le 01/03/2019 à 12:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hello Pierre,

j'ai relancé ESET ce matin, j'ai pu désactiver Avast. L'analyse a duré moins longtemps qu'hier ( 3h10 quand même contre 4h10 hier ). Je pense que c'est parce que j'ai enlevé une mini carte SD qui ne fonctionne plus et qui ralenti tout. Je voulais qu'il l'analyse mais je crois que c'est foutu pour cette carte SD.

Voici donc le rapport d'ESEThttps://www.cjoint.com/c/ICblrtUnQgi, j'ai fait ensuite terminé. Il n' y a pas eu de demande de suppression ou de phase visible de suppression des fichiers indésirables. ça l'a fait quand même? Ce qui est bizarre c'est que ça met "arrété par l'utilisateur " dans statu de l'analyse. aurai-je fais une fausse manip par mégarde sur le clavier? C'était à 84% et puis en moins 10 mn ça c'est fini.

Publicité
Pierre95
 Posté le 01/03/2019 à 12:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello,

Je suis profondément désolé mais au vu de ton rapport, il y a eu détections mais pas les suppressions, tonnerre de Zeus !!

Il faut donc que tu t'y recolles

Il faut surtout que tu coches la case " Supprimer les menaces détectées [1 ]

Tu vas donc relancer ESET mais en parametrant comme sur la figure ci dessous

image



Modifié par Pierre95 le 01/03/2019 13:40
hiboubou
 Posté le 01/03/2019 à 13:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oh la vache, je lance ESET et je ne touche plus à rien jusqu'à 17h...

blackiyto
 Posté le 01/03/2019 à 13:44  

Message supprimé par la modération

hiboubou
 Posté le 01/03/2019 à 13:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai bien tout coché comme il faut, et bien, décoché C:/.

A toute à l'heure...



Modifié par hiboubou le 01/03/2019 13:52
hiboubou
 Posté le 01/03/2019 à 17:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ouf, nettoyage ESET enfin terminé. Voilà le rapport: https://www.cjoint.com/c/ICbqXt0yNwi

J'ai laissé ESET ouvert, est-ce que je fais "supprimer la quarantaine" ?



Modifié par hiboubou le 01/03/2019 17:52
Pierre95
 Posté le 01/03/2019 à 18:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Voilà notre affaire bien torchée.

Oui, tu peux cocher Suppression des fichiers en quarantaine et même Désinstaller l'application à la fermeture

FRST de Farbar

En utilisant la même méthode que précedemment, tu vas passer ce nouveau correctif avec FRST64 mais en y mettant les lignes bleues ci dessous et en cliquant ensuite sur " Corriger ":


Citation
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\WOW6432Node\SOSVirus
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Nero
DeleteKey: HKCU\SOFTWARE\Nero
DeleteKey: HKU\S-1-5-21-3179066232-1240870147-3694586324-1000\SOFTWARE\Nero
C:\ProgramData\Nero
C:\Users\Sylvère\AppData\Roaming\Nero
C:\Users\Sylvère\AppData\Local\Nero
C:\Users\Sylvère\AppData\Local\Nero_AG
End::



Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

En tout cas poste le avant Delfix ==> sinon plus de rapport !


Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt


Le rapport fixlog.txt montre que fixlist.txt a fait son boulot et a supprimé les malwares.

Comment va ton PC ?
Si c'est bon on continue


1 – MBAM

Vide la quarantaine de Malwarebytes ( dans le cas bien sur ou il y a des menaces dans la quarantaine)
Relance Malwarebytes
Clique sur " historique "
Clique sur le bouton " quarantaine " puis clique sur " supprimer tout "
Confirme l'action en cliquant sur " Yes "

image


2 - TFC

On va faire de la place sur ton PC en passant TFC.exe

http://www.bleepingcomputer.com/download/tfc/

Lance TFC, exécuter en tant qu'administrateur sous Windows : 7/8/10 et Vista
Clique sur " Start "
Note : Patiente le temps du scan
Clique sur" Exit "
Il n'y a pas de rapport

image


3 - Suppression des outils

On va supprimer les autres outils de désinfection:
Tu vas mettre à la poubelle ZHPDiag, FRST, CKScaner, WinchK, ZHPCleaner, ADWCleaner,TFC, KVRT, ZHPFix2, Roguekiller et leurs rapports
Tu peux désinstaller via le panneau de config, ESET on line scanner, s'il ne s'est pas désinstallé en fin de scan.


Tu vas créer un point de restauration que tu vas appeler par exemple " PC SAIN".

4 – Delfix

Télécharge DelFix (de Xplode ) sur ton bureau.

image

Exécute le...
Coche la case : "Supprimer les outils de désinfections"

Clique sur " Exécuter"
Patiente...
Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
Tu m'envoies le rapport

Pierre



hiboubou
 Posté le 01/03/2019 à 18:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oulala a encore tout un programme! Pour le correctif de FRST, je le met où une fois que j'ai ouvert FRST? Il me manque une étape, je suis qu'un petit astucien

Et je coche quelles cases?



Modifié par hiboubou le 01/03/2019 18:28
hiboubou
 Posté le 01/03/2019 à 18:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Autre chose:

-je peux débrancher tous mes DDE externe maintenant ?

-je n'ai pas vraiment réussi à faire de la place sur C:. Il y a que des logiciels, mes fichier audio et video et autres sont sur D:. Je ne sais pas comment gérer ce C:

Pierre95
 Posté le 01/03/2019 à 18:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour le correctif de FRST, je le met où une fois que j'ai ouvert FRST? Il me manque une étape, je suis qu'un petit astucien

Zut! erreur de ma part
Tu vas passer ce correctif avec FRST

Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,

image

Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\WOW6432Node\SOSVirus
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Nero
DeleteKey: HKCU\SOFTWARE\Nero
DeleteKey: HKU\S-1-5-21-3179066232-1240870147-3694586324-1000\SOFTWARE\Nero
C:\ProgramData\Nero
C:\Users\Sylvère\AppData\Roaming\Nero
C:\Users\Sylvère\AppData\Local\Nero
C:\Users\Sylvère\AppData\Local\Nero_AG
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt

Autre chose:

-je peux débrancher tous mes DDE externe maintenant ?

réponse: oui . Avec les merdes qui cryptent les fichiers pour obtenir une rançon , mieux vaut les brancher que si nécessaire

-je n'ai pas vraiment réussi à faire de la place sur C:. Il y a que des logiciels, mes fichier audio et video et autres sont sur D:. Je ne sais pas comment gérer ce C:

La, je ne sais pas quoi te dire. Toi seul est juge



Modifié par Pierre95 le 01/03/2019 18:40
Publicité
Pages : Début ... 1 2 [3] 4 ... Fin
[Début] Page 3 sur 4 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Suspicion d'infection
pc très lent infection peux être
[El Magnifico]Menace infection virus
[El Magnifico]Suspission d'infection sur un DD.
[El Magnifico]Suspicion de PC infecté
Infection d'un PC
[El Magnifico]infection cheval de troie ?
[Pierre95]Infection via driverpack
Infection Mindspark.generic
[Pierre95]Suspicion malveillance
Plus de sujets relatifs à [Pierre95]Suspicion d''infection
 > Tous les forums > Forum Analyse de rapports et désinfection