> Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95]Suspicion malveillanceSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Gorfous
  Posté le 13/09/2018 @ 12:22 
Aller en bas de la page 
Petit astucien

Bonjour et merci,

Je vous joint les fichiers demandés dans le cas d'un PC infecté dont je suppose être le cas :

https://www.cjoint.com/c/HInkwweM3Tb

En vous remerciant chaleureusement

Publicité
pcastuces
 Posté le 13/09/2018 à 12:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans le forum Analyse de rapports et désinfection qui semble plus adéquat.

Vous pouvez continuer la discussion à la suite de ce message.

A bientôt.
Pierre95
 Posté le 13/09/2018 à 12:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bienvenu dans le Forum " Analyse de rapports et Désinfections "

PCAstuce vit grâce à la publicité. Les désinfections sont gratuites. Afin de lui permettre de continuer , tu peux mais rien ne t’y oblige désactiver tes bloqueurs de publicités sur le site de PCastuce
Cliquez ICI


--------------------------------------------------------------------------------
Si tu es d’accord, je peux t’aider pour désinfecter ton PC.
Mon prénom est Pierre et tu peux donner le tien, si tu le désires.
Si tu as des cracks , Keygens ou du P2P désinstalle les.
Durant la désinfection, ne fais aucune modification de ta propre initiative qui fausserait les rapports, ne passe pas d’autres outils de désinfections à part ceux que je te donne .
Si tu as posté sur d'autres forums, tu dois choisir celui que tu veux, mais pas travailler sur plusieurs à la fois .
Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Si par hasard, tu voyais à la lecture des rapports, des restes de logiciels que tu as désinstallés, signale moi le nom de ces logiciels.

Peux tu faire ceci:

1 - CKScanner (de askey127)

Téléchargez et enregistrez CKScanner sur le Bureau.
CKScanner
Faites un double-clic sur CKScanner.exe pour lancer le programme.
(Sous Vista et ultérieur, faites un clic droit et choisissez "Exécuter en tant qu'administrateur")
Sur l'écran principal, cliquez sur le bouton "Search For Files". Après un court laps de temps, une liste s'affiche dans la partie droite de l'image.
Cliquez sur le bouton "Save List to File", un message annonce que le fichier a été enregistré, cliquez sur "OK"
Cliquez sur le bouton "Exit" pour fermer le programme.
Le rapport CKFiles.txt est sur le bureau
Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Vous pouvez fermer le programme

2 - WINCHK

Tu va le télécharger en cliquant sur la ligne Ci dessous
Winchk
Tu double cliques dessus pour l'ouvrir
Tu cliques sur " executer "

image

Un rapport apparait sur le bureau.
envoie le en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse



Pierre



Modifié par Pierre95 le 13/09/2018 12:57
Gorfous
 Posté le 13/09/2018 à 15:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Piere

Je te remercie de l'aide que tu m'apporte.

Quand je lance CKScanne, il ne répond pas (rien ne se passe 30')

Le lien pour WinChk

https://www.cjoint.com/c/HInnWhBrBAb

Gorfous
 Posté le 13/09/2018 à 15:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re,

Le lien pour ckfiles :

https://www.cjoint.com/c/HInn2GH7iLb

Pierre95
 Posté le 13/09/2018 à 15:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu peux laisser tomber CKScaner
Tu vas tout d'abord désinstaller ces logiciels via panneau de config Windows ces logiciels à risque comme Quick Time

QuickTime
Ask Toolbar - (.Ask.com.)


Adobe Flash Player n'est pas à jour
Désinstalle ces vieilles versions:

Adobe Flash Player 27 ActiveX
Adobe Flash Player 27 NPAPI


Télécharges leet réinstalle les dernières versions ( la 31)

Sauf si tu en as utilité, tu peux désinstaller ce logiciel

Bonjour

Peux tu refaire ensuite un ZHPDiag et un scan FRST avec ses 3 rapports ?

Gorfous
 Posté le 13/09/2018 à 17:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Pierre95
 Posté le 13/09/2018 à 17:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Il me manque le rapport Shortcut.txt de FRST

Puis je l'avoir ? Il doit être sur ton bureau

Si tu ne l'as pas, c'est que tu n'a probablement pas coché la case Shortcut.txt dans FRST

image

Gorfous
 Posté le 13/09/2018 à 20:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le voici

https://www.cjoint.com/c/HInswMxgADb

Avec mes excuses, pas facile pour l'handicapé que je suis

Publicité
Pierre95
 Posté le 13/09/2018 à 21:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello Jean,

On va procéder à un premier pré - nettoyage avec ZHPFix2

ZHPFIX2

Je vais te faire passer un script ZHPFix pour supprimer ce qui reste de nuisible ou d'inutile
Avant de l'appliquer, on va créer un point de restauration par précaution, et pour permettre un retour en arrière en cas d'erreur.
Pour créer un point de restauration :

==> Pour Windows 7 http://www.pcastuces.com/pratique/astuces/3383.htm
==> Pour Windows 8 http://www.chantal11.com/2012/11/creer-un-point-de-restauration-windows-8/
==> Pour Windows 10 http://packard-bell-fr.custhelp.com/app/answers/detail/a_id/37154/~/windows-10-%3A-cr%C3%A9er-un-point-de-restauration

Tu vas télécharger le logiciel ZHPFIX2 ICI

Sur la page ouverte, tu cliques sur le bouton "Télécharger"

Un fichier ZHPFix2.exe est crée Tu fais un clic droit dessus " Executer en tant qu'administrateur "
Un raccouci ZHPFix2 est crée sur ton bureau. Tu lances le programme à partir de ce raccourci
Tu obtiens cette fenêtre ou tu copies colles ( coller en cliquant sur le calepin en [1]) à partir de tout en haut à gauche les lignes bleues suivantes

image

Citation
Script ZHPFix
EmptyCLSID
Emptytemp
EmptyFlash
O43 - CFD: 03/08/2015 - [] D -- C:\ProgramData\QuickTime
C:\ProgramData\QuickTime
O4 - HKLM\..\Wow6432Node\Run: [IseUI] . (. - .) -- C:\Program Files (x86)\COMODO\Internet Security Essentials\vkise.exe (.Not File.)
O2 - BHO: (no name) [64Bits] - {9030D464-4C02-4ABF-8ECC-5164760863C6} (.Orphan.)
HKLM\SOFTWARE\AdTrustMedia
HKLM\SOFTWARE\WOW6432Node\AdTrustMedia
HKCU\SOFTWARE\AdTrustMedia
HKU\S-1-5-21-2022378455-86576235-1330398138-1000\SOFTWARE\AdTrustMedia
O108 - CMH1: EPP [64Bits] - {09A47860-11B0-4DA5-AFA5-26D86198A780} . (.Orphan.)
O108 - CMH4: EPP [64Bits] - [CC]{09A47860-11B0-4DA5-AFA5-26D86198A780} . (.Orphan.)
O108 - CMH7: EPP [64Bits] - [CC]{09A47860-11B0-4DA5-AFA5-26D86198A780} . (.Orphan.)
O87 - FAEL: "{D2B2A82E-92B9-45DB-AAAF-643355C1805D}" [In-None-P6-TRUE] .(...) -- C:\Users\Jean\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe (.not file.)
O87 - FAEL: "{60AEBEFD-5AC8-4EE8-96BB-A894DBE12651}" [In-None-P17-TRUE] .(...) -- C:\Users\Jean\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe (.not file.)
O87 - FAEL: "TCP Query User{3C555F17-1186-44B7-B45E-35799D20B5EE}C:\program files (x86)\kodak\kodak software updater\7288971\program\backweb-7288971.exe" [In-None-P6-TRUE] .(...) -- C:\program files (x86)\kodak\kodak software updater\7288971\program\backweb-7288971.exe (.not file.)
O87 - FAEL: "UDP Query User{1655967E-102B-493B-9767-05AA0FBA65DC}C:\program files (x86)\kodak\kodak software updater\7288971\program\backweb-7288971.exe" [In-None-P17-TRUE] .(...) -- C:\program files (x86)\kodak\kodak software updater\7288971\program\backweb-7288971.exe (.not file.)
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}
HKLM\Software\Classes\CLSID\{9030D464-4C02-4ABF-8ECC-5164760863C6}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9030D464-4C02-4ABF-8ECC-5164760863C6}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9030D464-4C02-4ABF-8ECC-5164760863C6}
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\EPP
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\EPP
HKLM\Software\Classes\Drive\shellex\ContextMenuHandlers\EPP
O3 - Toolbar: 0x7F7C02D44A156640A1AD4243D8127440 - [HKCU]{D4027C7F-154A-4066-A1AD-4243D8127440} . (...) -- (.not file.)
O53 - SMSR:HKLM\...\startupreg\AccuWeatherWidget [Key] [64Bits] . (...) -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\DellStage [Key] [64Bits] . (...) -- C:\Program Files (x86)\Dell Stage\Dell Stage\stage_primary.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\DellSystemDetect [Key] [64Bits] . (...) -- Menu\Programs\Dell\Dell System Detect.appref-ms (.not file.)
HKLM\SOFTWARE\Eset
HKLM\SOFTWARE\WOW6432Node\Eset
HKLM\SOFTWARE\Lavasoft
HKLM\SOFTWARE\WOW6432Node\Lavasoft
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\WOW6432Node\McAfee
HKCU\SOFTWARE\ZebHelpProcess Helper
HKU\S-1-5-21-2022378455-86576235-1330398138-1000\SOFTWARE\ZebHelpProcess Helper
cmd: ipconfig /flushdns
cmd: netsh winsock reset
cmd: netsh advfirewall reset
cmd: Netsh advfirewall set allprofiles state on



Vérifies que les lignes copiées dans le cadre sont celles du scripte et rien d’autre.
Ceci fait , tu cliques sur le balai en haut à gauche

image

Si durant le traitement , tu as un message te disant qu'un reboot est nécessaire clique sur " oui"

image

A la fin du traitement un rapport ZHPFix.txt apparait sur ton bureau
Héberge le sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque:
Tu peux aussi le récuperer en cliquant dans la case avec un grand T sous le balai en haut à gauche



1 - Après cela fait un rapport ZHPDiag pour vérifier que script a fait son travail communique le lien de Cjoint dans ta prochaine réponse
2 - Refais un scan FRST avec ses 3 rapports (FRST.txt, Addition.txt et Shortcut.txt pour que je puisse te faire un correctif.

Gorfous
 Posté le 14/09/2018 à 08:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Pierre,

Tu me dis :

Un fichier ZHPFix2.exe est crée Tu fais un clic droit dessus " Exécuter en tant qu'administrateur "
Un raccourci ZHPFix2 est crée sur ton bureau. Tu lances le programme à partir de ce raccourci
Tu obtiens cette fenêtre ou tu copies colles ( coller en cliquant sur le calepin en [1]) à partir de tout en haut à gauche les lignes bleues suivantes

Raccourci n'apparaît pas.

J'exécute en tant qu'administrateur et la fenêtre indiquée apparaît, mais impossible de coller les lignes en bleu.

Jean

Pierre95
 Posté le 14/09/2018 à 09:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Jean

Tu vas dans Citation ou il y a plein de lignes bleues.

Tu mets ton pointeur tout en haut à gauche à partir de ScriptFix

Tu déplaces ton pointeur pour " bleuir " toutes lignes en appuyant constamment sur le bouton gauche de ta souris

Quand toutes tes lignes bleues seront bleuies jusqu'à state on

tu fais un clique sur le bouton droit de ta souris pour choisir copier

et la tu cliques sur le blocnote ( 1 sur ma capture d'écran )

image

Tu auras alors ceci



Modifié par Pierre95 le 14/09/2018 09:41
Gorfous
 Posté le 14/09/2018 à 10:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Impossible de coller, la fenêtre reste blanche

Gorfous
 Posté le 14/09/2018 à 11:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

En faisant une recherche, je me retrouve avec ceci :

Pierre95
 Posté le 14/09/2018 à 12:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ta capture d'écran ne m'est d'aucune utilité

Pourtant, j'ai expliqué en bon français, avec capture d'écrans à l'appui.

mais je ne peux pas être derrière toi

Tu n'aurais pas un proche, un voisin qui pourrais te donner un coup de main

Gorfous
 Posté le 14/09/2018 à 12:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hélas non, ja vais saisir ce que tu m'indique, car à la frappe ça marche

Pierre95
 Posté le 14/09/2018 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu n'as jamais fait de copié collé ?

Publicité
Gorfous
 Posté le 14/09/2018 à 13:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je sais faire un copier coller, c'est pas difficile, mais là ça ne fonctionne pas, même en faisant comme tu dis. Je ne comprend pas.

Je sélectionne ton script, puis ctrl+c je vais dans la fenêtre de ZHPFix, je clique comme indiqué et rien.....

Gorfous
 Posté le 14/09/2018 à 13:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Tu me dis :

Ta capture d'écran ne m'est d'aucune utilité

Peux-tu me dire pourquoi ZHPFix2.exe apparait en C:\ et E:\

Pierre95
 Posté le 14/09/2018 à 13:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je n'en sais rien. Ce n'est pas moi qui est le proprio , manage et fait des manips sur ton PC

C'est quoi ce disque E: ?

Le Système Windows en général est sur C:

J'ai mon Windows sur C: et mes Data sur D:

Tous les outils que je lance sont sur le bureau de C:

Par exemple je vois que FRST tu le lances depuis E:

Résultats d'analyse de Farbar Recovery Scan Tool (FRST) (x64) Version: 09.09.2018

Exécuté par Jean (administrateur) sur DELL (13-09-2018 16:55:39)

Exécuté depuis E:\Utilisateurs\Castor\Desktop

Mystère et boules de gomme

Gorfous
 Posté le 14/09/2018 à 13:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ne comprenant pas non plus je vais arrêter ici

Merci d'avoir tenté de m'aider, car je sais que tu aurais voulu que nous y arrivions

Bonne fin de journée

Pierre95
 Posté le 14/09/2018 à 14:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C'est dommage d'en arreter là et frustrant de ne pouvoir t'aider

Même si je n'ai pas vu de choses bien méchantes, il y avait plein de choses inutiles ou orphelines à supprimer.

Tu mettras ZHPDiag, FRST, ZHPFix à la poubelle ainsi que tous leurs rapports

Tu peux marquer ta demande en résolu

Bonne journée

Pierre

Gorfous
 Posté le 14/09/2018 à 14:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oui c'est frustrant en effet

Ce que je ne comprend pas c'est pourquoi le copier coller ne fonctionne pas ici alors que partout ou je l'utilise ça fonctionne

Je te renouvelle mes remerciements sincères

Jean

Debrief
 Posté le 19/09/2018 à 14:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Tu n'aurais pas un proche, un voisin qui pourrais te donner un coup de main

Je me suis connecté avec Teamviewer sur le PC de Gorfous (Windows 7) et en effet, le coller ne fonctionne pas. Ni avec le bouton "Coller le script" ni avec <Ctrl> + V ni avec Clic Droit qui n'affiche strictement aucune option contextuelle.

Et ce bien que le script soit effectivement dans le Clipboard puisque copiable sur un autre Notepad ou Word ou autre.

Y a un problème dans l'outil.

A noter que ZHPCleaner a été préalablement exécuté avec un nettoyage des éléments détectés.

Cordialement,
D.

Pierre95
 Posté le 19/09/2018 à 15:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Debrief,

Merci de ton intervention et de ton aide apporté à Gorfous ( Jean)

Je pense que tu devrais inciter Jean dans ce cas d'ouvrir d'abord une demande dans le Forum " Windows 7"

Il est manifestement clair que son Windows 7 est corrompu

Cela est prioritaire par rapport aux pipis de chat d'infections qu'on pourra supprimer ici

On pourra après approfondir s'il y avait d'autres infections que n'a pas supprimé ZHPCleaner.

Ne pas pouvoir faire de coller pour moi serait une priorité pour lui

Debrief
 Posté le 19/09/2018 à 16:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour Pierre,

Je ne suis pas convaincu que son Windows 7 soit corrompu.

Ce problème de copy/paste ne se pose que sur ce ZHPFix2 et il a fait un SFC /scannow hier sans aucun problème reporté. As-tu testé la dernière version de ce programme ?

Pour le reste tout fonctionne parfaitement bien, surtout après la désactivation de la Sandbox automatique de COMODO qui plaçait automatiquement (!!!) ses nouveaux programmes non signés dans un répertoire improbable, les rendant inaccessibles. C'est d'ailleurs la raison initiale de son post ici.

Ce COMODO daubique qui en plus plante direct à la désinstallation (je voulais remplacer par AVIRA tant les options de ce truc sont complexes). Et ça c'est très frustrant.
Je ne sais pas trop quoi faire, sinon le ré-installer pour tenter ensuite un désinstallation.

D.

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
 > Tous les forums > Forum Analyse de rapports et désinfection