× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 PIRATAGE PAR RANSONWARESujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
jpierrco_pca
  Posté le 18/01/2016 @ 12:06 
Aller en bas de la page 
Petit astucien

Bonjour et je viens de constater sur mon PC HPX2 avec W8 qu'une page intitulée "" how recover + gkp "" s'affiche à chaque ouverture du bureau et que mes documents en .doc et en .pdf sont devenus .vvv et ne s'ouvrent plus. J'ai déjà passé ZHPDIAG et ADWCLEANER et MBAM sans résultat.

Pouvez-vous m'aider à nettoyer ce système.

Par avance merci. Salutations.

JPC38

..............

Publicité
poussebois
 Posté le 18/01/2016 à 12:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour ,

D'abord, clique sue le dans le bandeau au-dessus de ton post et demande le transfert de celui-ci vers le forum "Sécurité".

Ensuite,

1. Suis scrupuleusement la procédure de l’aide au diagnostic d’un PC infecté (lien en rouge en bas dans ma signature),
2. poste les 4 rapports demandés en utilisant les services de www.cjoint.com
3. et attend qu'un membre du Groupe Sécurité te prenne en charge, sachant qu'ils sont tous bénévoles et en nombre limité.

Concernant les Ransonware dont tu es visiblement victime, la désinfection n'est pas garantie. Insoluble il y a peu, une solution a peut-être été trouvée...

@ +

yassine67300
 Posté le 18/01/2016 à 13:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

A ce propos, il y a Bitdefender qui a sorti une protection gratuite : Bitdefender Anti-ransomware

https://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

levisiteur_9
 Posté le 18/01/2016 à 13:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour jpierrco_pca

Comme le dit très bien poussebois, ça va pas être évident a trouver.

To ransonware doit être actif.

Pour aider les spécialistes Groupe Sécurité

On va lister les processus actifs

Pour windows 8

Rechercher / Applications / cmd / Invite de commandes (la fenêtre s'ouvre)

tasklist (écrire)

Une liste vient de s'afficher.

Pour copier la liste, clique droit de souris dans le cadre noir (sélectionner tout)le cadre noir devient blanc

Ensuite regarde l'image

Tu le colle dans ton bloc notes, tu l'enregistres et tu suis cette procédure

Aide au diagnostic d'un pc infecté

Je te laisse ici.

A++

pcastuces
 Posté le 18/01/2016 à 15:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans le forum Sécurité qui semble plus adéquat.

Vous pouvez continuer la discussion à la suite de ce message.

A bientôt.
jpierrco_pca
 Posté le 18/01/2016 à 16:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici les rapports demandés par Pierre95.

http://www.cjoint.com/c/FAso25EVZywhttp://www.cjoint.com/c/FAso5tStaLw

A+++

JPIERRCO

............

Evasion60
 Posté le 18/01/2016 à 16:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour, car je laisse Pierre95 qui semble avoir déjà répondu

Donc un Ransomware avec cryptage des fichiers
C'est derniers seront impossibles à retrouver à l'état initial

Je te laisse avec Pierre95

Bonne réception

Evasion60
 Posté le 18/01/2016 à 18:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Je prends la main, car Pierre95 n'a pas pris le sujet

Il me manque aussi ce que jpierrco_pca , avait demandé
Publie le résultat, stp

1/
Il me manque un rapport avec RSRT (addition.txt)
Merci de me le donner

2/

Ceci est un guide d’utilisation de RogueKiller, outil de désinfection antivirus que l’on peut télécharger ici.


RogueKiller est compatible avec Windows XP, Server 2003, Vista, Server 2008, Win7, Win8, Win8.1.
RogueKiller est compatible avec les systèmes d’exploitation 32 bits et 64 bits.

  • Commencer par télécharger l’outil sur le bureau, et quitter tous les programmes en cours.
  • Lancer RogueKiller.exe. Si le programme est tué par un malware, ne pas hesiter à renommer l’exécutable en winlogon.exe, ou changer l’extension de fichier en .com (ex: Roguekiller.com)

PRÉSENTATION VIDÉO



SMARTSCREEN


Sous les systèmes d’exploitation récents (Windows 7 / Windows 8), le filtre SmartScreen empêche l’exécution de programmes inconnus (de Microsoft). Pour passer outre cette protection et pouvoir lancer RogueKiller, procéder comme suit:

  • Cliquer sur Informations complémentaires
  • Puis sur Exécuter quand même.


Capture

Capture2

PRESCAN


Le Prescan est démarré automatiquement au lancement du programme. Il a pour effet de stopper les processus nuisibles, stopper les services infectieux, charger le driver et faire des vérifications de version. A ce stade aucune action de l’utilisateur n’est requise (sauf l’acceptation de l’EULA), car tout le traitement est réversible par un simple redémarrage du PC et est donc inoffensif.

Il se peut que RogueKiller détecte une nouvelle version disponible et propose son téléchargement. Dans ce cas, on peut soit accepter et être redirigé vers la page de téléchargement ou refuser et continuer l’utilisation normale avec la version périmée. Il est très fortement conseillé de toujours lancer la version la plus récente!

La liste des processus / services stoppés se trouve dans l’onglet Processus.

Note importante! L’icone « driver » (carré vert/rouge) ne vire au vert que lorsque le driver est chargé. Le driver ne peut pas être chargé sur des OS 64 bits. Le driver n’est pas obligatoire pour la désinfection, mais permet de scanner le noyau à la recherche de rootkits.

SCAN


Le scan est déclenché par appui sur le bouton Scan. C’est la première étape naturelle à effectuer après la fin du Prescan. Le scan est un traitement n’apportant aucune modification sur le système, car il ne fait que répertorier les anomalies rencontrées et les afficher à l’utilisateur. Parmi les opérations effectuées, une vérification des entrées de démarrage automatique (clés RUN, Services, Taches planifiées, dossiers de démarrages), et des détournements du fonctionnement normal de Windows.

Le scan fait aussi une recherche de certaines infections connues, ainsi qu’une vérification de la présence de rootkits au sein du noyau (avec l’aide du driver).

Pour terminer, il effectue une vérification du secteur de démarrage (MBR). Une fois le scan terminé, un un rapport texte est disponible en cliquant sur le bouton Rapport.


COULEURS DE DETECTION


Avec RogueKiler V9, les couleurs de détection sont normalisées. Merci de regarder cette section avant de décider ce qu’il faut supprimer – ou spammer le support! :) -

  • Rouge: Malware connu – Fort taux de détection
  • Orange: Malware possible – Possède souvent un chemin suspect, est taggé PUP (Potentially Unwanted Program)
  • Gris: Suspect (Décoché par defaut) – Reservé pour les PUMs (Potentially Unwanted Modification). Cela s’applique aux proxies, aux configurations DNS, etc…
  • Vert: Non détecté comme malware – Cela veut dire que l’objet est affiché juste pour information, mais n’est pas supposé être supprimé (sauf si vous le décidez)

Remarque.
Il est possible de faire un don au créateur de l'outil par le bouton PayPal - Donate.

*

Reviens dans ra réponse avec les trois rapports demandés



Modifié par Evasion60 le 18/01/2016 18:21
jbcinfo
 Posté le 18/01/2016 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

Je suis ingénieur en sécurité.

Pas la peine de chercher une solution. Un ransonware non seulement modifie toutes les extensions des fichiers, mais crypte aussi les données en AES 128 bits et même 256 bits.

La solution:

Retrouver le logiciel malveillant (adwcleaner + malwarebytes). Normalement les 2 programmes suffisent à le trouver et à le détruire.

Avoir une sauvegarde récente de ses données. Si c'est le cas restaurer.

Ne pas payer car le décryptage des données n'est pas garanti. (Aux US un cas similaire concernant la police a vu ceux-ci payer la rançon)

J'ai eu à gérer ce cas dans une entreprise, la sauvegarde datait de 48 heures. On a restauré toutes les données après désinfection, et c'est reparti.

Conclusion: Toujours sauvegarder ses données, ne pas ouvrir les pièces jointes zippées si on ne connait pas l'expéditeur.

Publicité
jpierrco_pca
 Posté le 18/01/2016 à 21:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Suite pour Evasion60:

voici pour addition http://www.cjoint.com/c/FAsurNoOv4w

voici le message qui s'affiche automatiquement sur l'écran ( traduction automatique faite sur le net ) http://www.cjoint.com/c/FAsuz14yUuw

Ce message s'appelle "" how recover + gkp """. Je viens de le retrouver dans l'onglet "" démarrage "" du gestionnaire des tâches : je l'ai désactivé !

Maintenant je vais suivre le processus ROGUEKILLER ...

Merci.

A+

Salutations.

JIERRCO

secujac
 Posté le 18/01/2016 à 22:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

jbcinfo a écrit :

Bonjour,

Je suis ingénieur en sécurité.

Pas la peine de chercher une solution. Un ransonware non seulement modifie toutes les extensions des fichiers, mais crypte aussi les données en AES 128 bits et même 256 bits.

La solution:

Retrouver le logiciel malveillant (adwcleaner + malwarebytes). Normalement les 2 programmes suffisent à le trouver et à le détruire.

Avoir une sauvegarde récente de ses données. Si c'est le cas restaurer.

Ne pas payer car le décryptage des données n'est pas garanti. (Aux US un cas similaire concernant la police a vu ceux-ci payer la rançon)

J'ai eu à gérer ce cas dans une entreprise, la sauvegarde datait de 48 heures. On a restauré toutes les données après désinfection, et c'est reparti.

Conclusion: Toujours sauvegarder ses données, ne pas ouvrir les pièces jointes zippées si on ne connait pas l'expéditeur.

Tous,

Ingénieur en sécurité dans une entreprise ?

Si on dispose d'images système, ce qui est effectivement fort recommandable, il n'est pas nécessaire de désinfecter avant de restaurer.

La restauration remettra le systéme à l'état dans lequel il se trouvait au moment de l'imageage, donc avant l'apparition de la cochonnerie qu'il n'est pas nécessaire de supprimer puisqu'elle n'est pas là...

Sam58
 Posté le 19/01/2016 à 09:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour.

Si la vérole est toujours présente au moment ou l'on restaure, (particulièrement une restauration faite sous Windows), ne peut elle pas continuer son action sur la restauration en cours ?

Le Guermeur
 Posté le 19/01/2016 à 09:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Sam58 a écrit :

Bonjour.

Si la vérole est toujours présente au moment ou l'on restaure, (particulièrement une restauration faite sous Windows), ne peut elle pas continuer son action sur la restauration en cours ?

Bien distinguer image système saine et point de restauration windows(ce denier peut contenir un malware)



Modifié par Le Guermeur le 19/01/2016 09:52
Evasion60
 Posté le 19/01/2016 à 11:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour jpierrco_pca

J'attends le rapport de scan, avec RogueKiller

jpierrco_pca
 Posté le 19/01/2016 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, voici le rapport de ROGK:

http://www.cjoint.com/c/FAtnMdM6XQw

A+.

JPIERRCO.

secujac
 Posté le 19/01/2016 à 15:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Le Guermeur a écrit :
Sam58 a écrit :

Bonjour.

Si la vérole est toujours présente au moment ou l'on restaure, (particulièrement une restauration faite sous Windows), ne peut elle pas continuer son action sur la restauration en cours ?

Bien distinguer image système saine et point de restauration windows(ce denier peut contenir un malware)

Bonjour Tous,

Le Guermeur

Effectivement, c'est bien de ce dont je voulais parler.

N'utilisant pas les points de restauration Windows, mais uniquement des images système complètes (Acronis) j'ai omis de préciser le détail.

Le demandeur d'aide est entre de bonne mains avec Evasion60 qui m'a bien aidé il y a longtemps, et ses leçons m'ont évité de re chopper des cochoncetés.

Evasion60

Evasion60
 Posté le 19/01/2016 à 16:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

/!\ Je te rappelle que tous les dossiers cryptés sont perdus !

Relance RogueKiller
Clique sur le bouton "Suppression"
Poste son rapport

Ensuite =>

Du bureau Windows touches CTRL+ALT+Supp
Gestionnaire de taches/Onglet Processus =>
Désactive tous les processus ayant pour nom how recover et proche de ce nom



Modifié par Evasion60 le 19/01/2016 16:34
Publicité
jpierrco_pca
 Posté le 19/01/2016 à 18:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir, voici le rapport de suppression de ROGK:

http://www.cjoint.com/c/FAtrbtPXARw

Je vais faire ce qui est demandé dans le GdT.

A²+.

JPIERRCO

jpierrco_pca
 Posté le 19/01/2016 à 18:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

RE... Je reviens du GdT :

Rien trouvé dans processus par contre 3 éléments dans Démarrage que j'avais déjà désactivés.

A+.

JPC

Evasion60
 Posté le 20/01/2016 à 11:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Supprime les fichiers de rapports FRST.txt / FRSTAdd.txt / FRSTShort.txt et le dossier FRST (tous ont présents sur ton Bureau)
Vide ta corbeille

Ensuite =>

/!\ Attention avec FRST, bien suivre l'aide proposée // Tout son environnement doit être sur le Bureau (programme et rapports)

La page de téléchargement : http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
(Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).

Comment savoir si mon pc est 32 ou 64 bits =>
Touches clavier Windows + Pause
Dans la fenêtre qui s'ouvre =>
Type de l'OS + Système d'exploitation 32 bits ou 64 bits


Ferme toutes les applications en cours

Lance FRST,
Sous Vista, Seven et Win8, par un clic droit et exécuter en tant qu'administrateur

Accepte le dislaimer en cliquant sur le bouton YES de Fabar_FRST

Coche en + les cases "Drivers MD5" // "Additions.txt" // "Shortcut" & "90 Days Files"

Clique sur le bouton Scan

Le scan se lance, les éléments scannés apparaissent en haut
Une fois le scan terminé, une popup te le signale et tois rapports sont générés : FRST.txt // Addition.txt //Shorcut.txt

Ces deux rapports se trouvent sur le bureau avec le programme FRST

Va sur le site www.Cjoint.com afin d’y déposer les rapports pour une consultation
Cochez 21 jour
Dans la partie, Chemin du fichier à soumettre, clique sur Parcourir
Sélectionne le fichier FRST.txt

Note l’adresse donné ci-dessous et transmets la sur le forum dans ton sujet de désinfection afin que la personne qui t'aide puisse consulter le rapport
Répéte l’opération pour le fichier Addition.txt et transmets le lien de Cjoint.com de ton rapport Addition.txt
Idem avec Shorcut.txt

Reviens dans ta réponse avec les trois rapports demandés :
-FRST.txt
-Addition.txt
-Shorcut.txt

jpierrco_pca
 Posté le 20/01/2016 à 17:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Evasion60
 Posté le 20/01/2016 à 18:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

/!\ Pas évident !

Nous avons besoin de corriger certains éléments que FRST a trouvés

Ouvre le Bloc-notes
Copie le contenu de la zone Code ci-dessous
Pour ce faire, sélectionne le contenu de la zone, fait un clic droit et choisis Copier
Dans le Bloc-notes, fait un clic droit et choisis Coller
Enregistre le fichier sous le nom Fixlist.txt
Il doit impérativement être sur le bureau et à côté de FRST.exe


Start
Startup: C:\Users\jp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+gkp.html [2015-12-19] ()
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
2015-12-30 18:58 - 2015-12-30 18:58 - 02896825 _____ C:\ProgramData\SPL4FA9.tmp
2015-12-19 19:23 - 2015-12-19 19:28 - 00010631 _____ C:\Users\Public\how_recover+gkp.html
2015-12-19 19:23 - 2015-12-19 19:28 - 00010631 _____ C:\Users\Public\Downloads\how_recover+gkp.html
2015-12-19 19:23 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\how_recover+gkp.html
2015-12-19 19:23 - 2015-12-19 19:28 - 00002398 _____ C:\Users\Public\how_recover+gkp.txt
2015-12-19 19:23 - 2015-12-19 19:28 - 00002398 _____ C:\Users\Public\Downloads\how_recover+gkp.txt
2015-12-19 19:23 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\how_recover+gkp.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\AppData\Roaming\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\AppData\LocalLow\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\AppData\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+gkp.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+gkp.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\AppData\Roaming\how_recover+gkp.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\AppData\LocalLow\how_recover+gkp.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\AppData\how_recover+gkp.txt
2015-12-19 19:19 - 2015-12-19 19:28 - 00010631 _____ C:\Users\Public\Documents\how_recover+gkp.html
2015-12-19 19:19 - 2015-12-19 19:28 - 00010631 _____ C:\Users\jp\AppData\Local\how_recover+gkp.html
2015-12-19 19:19 - 2015-12-19 19:28 - 00002398 _____ C:\Users\Public\Documents\how_recover+gkp.txt
2015-12-19 19:19 - 2015-12-19 19:28 - 00002398 _____ C:\Users\jp\AppData\Local\how_recover+gkp.txt
2015-12-19 19:19 - 2015-12-19 19:27 - 00010631 _____ C:\Users\jp\AppData\Local\Apps\how_recover+gkp.html
2015-12-19 19:19 - 2015-12-19 19:27 - 00002398 _____ C:\Users\jp\AppData\Local\Apps\how_recover+gkp.txt
2015-12-19 19:19 - 2015-12-19 19:19 - 00010631 _____ C:\ProgramData\how_recover+gkp.html
2015-12-19 19:19 - 2015-12-19 19:19 - 00002398 _____ C:\ProgramData\how_recover+gkp.txt
2015-12-19 19:17 - 2015-12-19 19:17 - 00010631 _____ C:\Users\jp\AppData\Local\how_recover+oyg.html
2015-12-19 19:17 - 2015-12-19 19:17 - 00010631 _____ C:\Users\jp\AppData\Local\Apps\how_recover+oyg.html
2015-12-19 19:17 - 2015-12-19 19:17 - 00002398 _____ C:\Users\jp\AppData\Local\how_recover+oyg.txt
2015-12-19 19:17 - 2015-12-19 19:17 - 00002398 _____ C:\Users\jp\AppData\Local\Apps\how_recover+oyg.txt
2015-12-19 19:16 - 2015-12-19 19:17 - 00010631 _____ C:\ProgramData\how_recover+oyg.html
2015-12-19 19:16 - 2015-12-19 19:17 - 00002398 _____ C:\ProgramData\how_recover+oyg.txt
2015-12-19 19:16 - 2015-12-19 19:16 - 00010631 _____ C:\Users\Public\Documents\how_recover+oyg.html
2015-12-19 19:16 - 2015-12-19 19:16 - 00002398 _____ C:\Users\Public\Documents\how_recover+oyg.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 0010631 _____ () C:\Users\jp\AppData\Roaming\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 0002398 _____ () C:\Users\jp\AppData\Roaming\how_recover+gkp.txt
2015-12-19 19:22 - 2015-12-19 19:28 - 0010631 _____ () C:\Users\jp\AppData\Roaming\Microsoft\how_recover+gkp.html
2015-12-19 19:22 - 2015-12-19 19:28 - 0002398 _____ () C:\Users\jp\AppData\Roaming\Microsoft\how_recover+gkp.txt
2015-12-19 19:19 - 2015-12-19 19:28 - 0010631 _____ () C:\Users\jp\AppData\Local\how_recover+gkp.html
2015-12-19 19:19 - 2015-12-19 19:28 - 0002398 _____ () C:\Users\jp\AppData\Local\how_recover+gkp.txt
2015-12-19 19:17 - 2015-12-19 19:17 - 0010631 _____ () C:\Users\jp\AppData\Local\how_recover+oyg.html
2015-12-19 19:17 - 2015-12-19 19:17 - 0002398 _____ () C:\Users\jp\AppData\Local\how_recover+oyg.txt
2015-12-19 19:19 - 2015-12-19 19:19 - 0010631 _____ () C:\ProgramData\how_recover+gkp.html
2015-12-19 19:19 - 2015-12-19 19:19 - 0002398 _____ () C:\ProgramData\how_recover+gkp.txt
2015-12-19 19:16 - 2015-12-19 19:17 - 0010631 _____ () C:\ProgramData\how_recover+oyg.html
2015-12-19 19:16 - 2015-12-19 19:17 - 0002398 _____ () C:\ProgramData\how_recover+oyg.txt
2015-10-31 08:40 - 2015-10-31 08:40 - 10565289 _____ C:\ProgramData\SPLA6E8.tmp
2015-10-31 08:39 - 2015-10-31 08:39 - 10566076 _____ C:\ProgramData\SPL5572.tmp
2015-10-30 21:29 - 2015-10-30 21:29 - 10566076 _____ C:\ProgramData\SPLCEBE.tmp
2015-12-30 18:58 - 2015-12-30 18:58 - 2896825 _____ () C:\ProgramData\SPL4FA9.tmp
2015-10-31 08:39 - 2015-10-31 08:39 - 10566076 _____ () C:\ProgramData\SPL5572.tmp
2015-10-31 08:40 - 2015-10-31 08:40 - 10565289 _____ () C:\ProgramData\SPLA6E8.tmp
2015-10-14 14:39 - 2015-10-14 14:40 - 10500415 _____ () C:\ProgramData\SPLB3EC.tmp
2015-10-30 21:29 - 2015-10-30 21:29 - 10566076 _____ () C:\ProgramData\SPLCEBE.tmp
End


NOTE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation

Lance FRST, clique une seule fois sur le bouton Fix et attends
Sous Vista, Win7/8, avec un clic droit et exécuter en tant qu'administrateur


L'outil va créer un rapport de correction Fixlog.txt
Copie/colle ce rapport dans votre réponse après avoir redémarré le pc normalement

jpierrco_pca
 Posté le 20/01/2016 à 21:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Evasion60
 Posté le 21/01/2016 à 10:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Online Scanner

..

Le scanner en ligne de ESET vous offre la possibilité d'analyser gratuitement votre système sans avoir besoin d'installer de logiciel antivirus. De fait, vous pouvez analyser votre ordinateur avec la puissance du moteur Threatsence, sans devoir désinstaller votre solution antivirus actuelle.

Dans ce tutoriel, nous configurons le scanner pour une analyse seule (pas de suppressions). En effet, un faux-positif est toujours possible. Nous préférons faire une analyse approfondie des résultats avant de supprimer les détections.

..

Système d'exploitation: Microsoft Windows 7 (32-64 bit) / Vista (32-64 bit) / XP / 2000 / NT / ME / 98 / Serveur 2003

Navigateurs supportés: Microsoft Internet Explorer 5.0+, Firefox, Opera, Netscape, Safari et Chrome.

Espace disque requis: Minimum – 15 MB / Optimum – 30 MB

..

Lors de l'exécution sous Windows 7 et Vista, ESET Online Scanner passe automatiquement à des privilèges "Administrateur" en cliquant sur le bouton "Démarrer". Il n'est donc pas nécessaire de désactiver le "Contrôle des comptes utilisateurs (UAC)"

Si vous avez d'autres anti-virus, anti-spyware ou anti-malware en cours d'exécution sur votre ordinateur, ils peuvent intercepter l'analyse effectuée par le scanner en ligne ESET et le ralentir. Vous pouvez désactiver les composants de la protection en temps réel de vos autres logiciels de sécurité avant d'exécuter l'ESET Online Scanner. N'oubliez pas de les remettre en fonction une fois l'analyse terminée !

..

/!\ Désactivez votre antivirus / antispyware résident / TeaTimer de Spybot (si présent et actif).

Comment faire pour désactiver les protections résidentes.

..

Étape 1

..

  • Ici, le scanner détecte le navigateur utilisé

..

Étape 2

  • Cette fenêtre apparaîtra si vous utilisez Internet Explorer.

    • Cochez la case "Oui, j'accepte les termes du contrat" et cliquez sur le bouton "Start" pour accéder à l'écran suivant.

Note: Pour ceux qui utilisent Firefox, Chrome ou Opera, reportez-vous au message suivant pour voir les captures d'écran et appliquer la procédure qui est un peu différente. Nous reviendrons ici pour la suite (étape 6).

..

Étape 3 (avec Internet Explorer)

  • Sur cet écran, un message (en jaune) vous indique que vous devez accepter l'installation du Contrôle ActiveX « ESET, spol. sr.o »

..

Étape 4

  • Cliquez sur le message (en jaune) pour faire apparaître le menu et choisir Exécuter le module complémentaire.

..

Étape 5

  • Cliquez sur Exécuter pour installer le contrôle ActiveX.

..

Étape 6

(Pour ceux qui utilisent Firefox, Chrome ou Opera, c'est ici que nous revenons à cette partie du tuto)

  • Dans cette fenêtre de paramètres d'analyse (parfois les deux cases sont cochées par défaut, pas toujours):

    • Décochez: "Supprimer les menaces détectées" <- IMPORTANT!

    • Cochez: "Analyser les achives"

    • Ne touchez pas à "Paramètres avancés"

..

Étape 7

  • Pour les utilisateurs de Windows 7 ou Vista, cliquez sur Oui à cette demande d'autorisation:

    • Voulez-vous autoriser le programme suivant à apporter des modifications à cet ordinateur ?

..

Étape 8

  • ESET Online Scanner télécharge la base des signatures de virus; si c'est la première utilisation de ce scanner, l'étape sera plus longue.

..

Étape 9

  • L'analyse est en cours et peut durer plusieurs heures selon la taille et le nombre de disques à analyser, encore plus sur un système très infecté.
    Donc soyez patient {#}

..

Étape 10

  • À la fin du scan et si la chance vous sourit, vous aurez cet écran > Aucune menace détectée.

..

Étape 11

  • Dans le cas contraire vous aurez droit aux > Menaces détectées.

..

Étape 12

  • En cliquant sur "Liste des menaces détectées", vous pourrez voir les fichiers détectés.
  • A cet endroit, vous ne pouvez pas copier le rapport de scan. Pour cela vous devez ouvrir le fichier texte suivant:

C:\Program Files\ESET Online Scanner\log.txt ou C:\Program Files (x86) \ESET Online Scanner\log.txt

..

  • Le rapport s'ouvrira dans le Bloc-notes, par défaut.

    • Cliquez sur -> Édition -> Tout sélectionner (ou Ctrl+A)
    • Cliquez sur -> Édition -> Copier (ou Ctrl+C) (ou Clic droit > Copier)
    • Dans votre prochain message, en cliquant sur (en bas, à droite) sur votre Sujet:

      • Cliquez sur -> Édition -> Coller (ou Ctrl+V) (ou Clic droit > Coller) pour coller votre rapport.
      • Cliquez sur -> Publier le message.

.

N'oubliez pas de réactiver votre antivirus et autres protections résidentes!

jpierrco_pca
 Posté le 21/01/2016 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici d abord les 4 étapes de ESET :

http://www.cjoint.com/c/FAvuaoVm6fw

http://www.cjoint.com/c/FAvuckOiU1w

et le résultat final ;

http://www.cjoint.com/c/FAvueo8YyJw

J ai fermé ESET et réactivé WINDOWS DEFENDER.

Que faire maintenant ?

A+.

JPC.

Evasion60
 Posté le 22/01/2016 à 09:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Comme tu peux le constater, il y en a partout !

Relance le scanner et au point 6, coche "Supprimer les menaces détectées" =>

Étape 6

(Pour ceux qui utilisent Firefox, Chrome ou Opera, c'est ici que nous revenons à cette partie du tuto)

  • Dans cette fenêtre de paramètres d'analyse (parfois les deux cases sont cochées par défaut, pas toujours):

    • Décochez: "Supprimer les menaces détectées" <- IMPORTANT!

    • Cochez: "Analyser les achives"

    • Ne touchez pas à "Paramètres avancés"

Poste son nouveau rapport, STP

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
599,99 €Portable 14 pouces Asus Vivobook (FullHD, Ryzen 7, 8Go, SSD 256 Go) à 599,99 €
Valable jusqu'au 04 Juin

RueDuCommerce fait une promotion sur le PC portable 14 pouces Asus Vivobook S412DA-EK320T qui passe à 599,99 € alors qu'on le trouve ailleurs à partir de 749 €. Ce portable très bien équipé possède un écran 14 pouces Full HD (1920x1080) mat antireflet, un processeur AMD Ryzen 7 3700U, 8 Go de RAM, un processeur graphique AMD Radeon RX Vega 10 et un SSD de 256 Go. Le WiFi, le bluetooth sont de la partie. Notez que le clavier est rétroéclairé et que le pad peut se transformer en pavé numérique. Le tout tourne sous Windows 10. Une très bonne affaire.


> Voir l'offre
19,99 €Switch Gigabit Netgear GS308 8 ports à 19,99 €
Valable jusqu'au 05 Juin

Amazon fait une vente flash sur l'excellent switch Netgear GS308 Gigabit 8 ports 10/100/1000 qu'il propose à 19,99 € alors qu'on le trouve ailleurs autour de 29 €.


> Voir l'offre
89,99 €Montre connectée Huawei Watch GT à 89,99 €
Valable jusqu'au 04 Juin

RueDuCommerce fait une promotion sur la montre connectée Huawei Watch GT qui passe à 89,99 € au lieu de 130 €. Avec son design avant-gardiste, sa lunette en céramique et son boitier en acier inoxydable, elle ne laissera personne indifférent. De plus, son écran AMOLED tactile de 1.39" vous apportera quant à lui toutes les informations dont vous avez besoin (GPS, notifications, ...), à tout moment de la journée. Offrant une autonomie exceptionnelle de 2 semaines, la Huawei Watch GT sera votre meilleure alliée pour vous accompagner partout, tout le temps. Elle intègre également la technologie Huawei TruSeen 3.0 afin de bénéficier d'un suivi régulier et permanent de votre rythme cardiaque. 


> Voir l'offre

Sujets relatifs
Piratage par Acronis ?
Piratage d'un carnet d'adresses
anti-piratage
piratage boite mail yahoo
Piratage de ma boite Email Orange
Piratage ordinateur
Piratage : Les réseaux WiFi français seraient particulièrement vulnérables
Piratage de ma page de démarrage
Piratage gmail
Piratage CB par smartphone
Plus de sujets relatifs à PIRATAGE PAR RANSONWARE
 > Tous les forums > Forum Sécurité