> Tous les forums > Forum Sécurité
 Désinfection d'un PC portable CompaqSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
mibemol
  Posté le 23/08/2017 @ 09:07 
Aller en bas de la page 
Astucienne

Bonjour à tous !

Sur le pc portable de mon époux qui fonctionnait très mal (Compaq Presarion CQ57, j'ai procédé à une procédure de recherche d'infection selon le processus indiqué sur votre site. Puis-je vous demander où j'en suis ? Ci-dessous les liens permettant d'accéder aux rapports. Merci d'avance.

http://www.cjoint.com/c/GHxg6IZvBjF

http://www.cjoint.com/c/GHxg7lK4cOF

http://www.cjoint.com/c/GHxg71RuGMF

http://www.cjoint.com/c/GHxhayLgeUF

http://www.cjoint.com/c/GHxhbaVs0RF

http://www.cjoint.com/c/GHxhbSrCj8F

Publicité
Pierre95
 Posté le 23/08/2017 à 15:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour mibemol,

image

PCAstuce vit grâce à la publicité. Les désinfections sont gratuites. Afin de lui permettre de continuer , tu peux mais rien ne t’y oblige désactiver tes bloqueurs de publicités sur le site de PCastuce
Cliquez ICI


--------------------------------------------------------------------------------
Si tu es d’accord, je peux t’aider pour désinfecter ton PC.
Mon prénom est Pierre et tu peux donner le tien, si tu le désires.
Si tu as des cracks , Keygens ou du P2P désinstalle les.
Durant la désinfection, ne fais aucune modification de ta propre initiative qui fausserait les rapports, ne passe pas d’autres outils de désinfections à part ceux que je te donne .
Si tu as posté sur d'autres forums, tu dois choisir celui que tu veux, mais pas travailler sur plusieurs à la fois .

Avant toute désinfection, il est préferable d'avoir ses données personnelles sauvegardées sur un support externe

Tu vas tout d'abord créer un point de restauration que tu appeleras par exemple " Avant désinfection "

Comment créer un point de restauration ?
==> Pour Windows 7 http://www.pcastuces.com/pratique/astuces/3383.htm

Puis tu suivras attentivement la procédure ci dessous:

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Tu reviendras donc avec les rapports
1 - ZHPDiag.txt
2 - les 3 rapports de FRST ( Frst.txt , Addition.txt et Shortcut.txt )


Tu vas désinstaller ce logiciel à risque via panneau de config Windowscar Apple n'en assuer plus la maintenance

Logiciel: QuickTime - (.Apple Inc..)

Je vais te faire tester des dossiers par Virus Total.

Virus Total

Après avoir démasqué Appdata:
Pour cela regarde ici comment faire:

Windows Vista, 7 et 8 : http://www.chantal11.com/2009/04/afficher-les-fichiers-caches-systeme-windows-7-vista/
Windows 10 : http://www.pcastuces.com/pratique/astuces/4563.htm

Note :Ne pas oublier de faire la manipulation inverse, surtout pour les dossiers protégés du système d'exploitation

Peux tu me dire si les dossiers ci dessous en rouge sont vides ?

Citation

C:\Program Files (x86)\jt65hf109
C:\Users\Jean-Pierre\AppData\Local\JT65-HF



S'ils ne le sont pas tu vas me les tester par Virus Total
Tu commences par le premier
Au préalable, tu vas être obligé de le zipper.
Pour cela tu vas te déplacer dans l'arborescence pour arriver au dossier en rouge.
Tu cliques droit dessus puis envoyer vers dossier compressé

Un dossier .zip ou . rar sera crée à coté de ton dossier .
C'est ce dossier que tu vas tester par Virus Total
Clique sur ce lien Virus Total

Sélectionne l’onglet fichier
Clique sur “ choisir un fichier ” et indique le chemin du fichier en te déplacant dans l’arborescence, puis sur “ouvrir”. Clique sur “ analysez
Au bout de quelques minutes, un rapport est généré.
Si on te dit que le fichier a été analysé clique sur “ réanalyser
Fais un copié -collé de l'URL de la réponse (ce qui est encadré en rouge ci dessous) que tu postes dans ta réponse

image

.
Tu peux t'aider de ce Tuto pour cela.
Ceci fait tu peux mettre à la poubelle ton fichier compressé
Ayant fait le premier dossier, tu passes au second
Au total, tu me fournis 2 liens internet

Pierre

mibemol
 Posté le 30/08/2017 à 20:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Hello Pierre, me revoilà.

Voici les liens demandés :

Normal 0 21 false false false MicrosoftInternetExplorer4

/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;}

http://www.cjoint.com/c/GHEsVNUXcKw

http://www.cjoint.com/c/GHEsWYKaOzw

http://www.cjoint.com/c/GHEsXUkupDw

http://www.cjoint.com/c/GHEsYSJmcxw

Normal 0 21 false false false MicrosoftInternetExplorer4

/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;}

premier lien virus total

https://www.virustotal.com/fr/file/dda6c2b43472a67f025b8b32389fc0d7357a8e71fec2b3d8653ef1bcadadb0cf/analysis/1504118016/

premier lien virus total

Second lien :

https://www.virustotal.com/fr/file/42a2f4635b8274f1b0124c771d67e7c09f0d080430deb9d7e644548f401b73b9/analysis/1504118539/

Par contre, je n'ai trouvé nulle part la possibilité de "réanalyser".

j'espère avoir tout fait correctement

Pierre95
 Posté le 30/08/2017 à 22:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Nicole,

Heureux de retravailler avec toi sur le PC de ton mari, ayant du le laisser un peu en stand by, afin de terminer le premier.

Je te rassure tout à été fait correctement .

Les analyses VT sont nickels

Par contre, je n'ai trouvé nulle part la possibilité de "réanalyser".

Normal, car c'est la 1ere fois qu'ils ont étés analysés

Tu vas passer dans l'ordre tous ces outils uniquement en scan pour le moment sauf le dernier MBAM ou tu pourras mettre toutes les menaces détectées en quarantaine

1 - ZHPCLEANER en scan
On continue l'osculation de ton PCimage
Télécharge ZHPCleaner (de Nicolas Coolman) => http://www.nicolascoolman.fr/download/zhpcleaner/
Installes le. Désactives temporairement ton antivirus. Lances le programme

image

Clique sur SCANNER

-------------------------------------------------------------------------------
Notes:

1 - Durant le nettoyage, si l'outil te demande "Avez vous installé ce proxy ?" suivi de l’adresse IP du Proxy et que tu n'en as pas installé, clique sur "Non"
2 - S’il te demande Voulez vous remplacer la page d'accueil ?, et que tu ne la connais pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui",
3 - S’il te demande Avez vous installer ce serveur ? suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”

--------------------------------------------------------------------------------
Un rapport va s'ouvrir.S’il ne s’ouvre pas, appuies sur le bouton Rapport avec un grand T.

image

Tu l'enregistres sur ton bureau par exemple.
Envoie le nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

2 - Malwarebyte ADWCLEANER en mode scan

Télécharger Malwarebyte Adwcleaner sur le bureau en cliquant ICI
Cliquer sur l'icône du fichier obtenu adwcleaner.exe
Autoriser les modifications. ( Demande du contrôle des comptes d'utilisateur si c'est votre cas)

image


Vous pouvez le mettre en Français en cliquant sur " Language ", puis sélectionner " Français " dans le menu déroulant


image



Dans la fenêtre de l'outil, cliquer sur "Analyser"


image


Quand l'analyse est terminée, clique sur le bouton " RAPPORTS"


image



Une fenêtre " Gestionnaire de rapports " apparait


Tu doubles cliques dans cette nouvelle fenêtre sur le rapport pour l'ouvrir et l'enregistrer sur ton burau, par exemple



image


Il est aussi enregistré dans : C:\AdwCleaner[S1].txt

image

Enregistre le rapport sur le bureau et envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

3 - ROGUEKILLER en scan

Télécharges Roguekiller sur ton bureau ICI
Quitte absolument tous tes travaux en cours et ferme toutes les applications
Lance Roguekiller en cliquant sur son exe ( clique droit exécuter comme administrateur )
Lance l'exécution de RogueKiller en cliquant sur Démarrer le scan

image

Dans la fenêtre qui s'ouvre, clique sur Démarrer le scan

image

Le scan se déroule, patienter le temps de celui-ci

image

A la fin du scan, clique sur Historique puis sur Rapports de scan (à gauche) et tu choisis le dernier effectué (suivant date et heure) en cliquant dessus

image

Dans la fenêtre qui s'ouvre, clique sur Ouvrir TXT


image

Le rapport s'ouvre, enregistre le sur le bureau
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

4 - MBAM avec suppression

Tu as déjà MBAM installé sur ton PC

Tu vas paramétrer MBAM en allant dans Parametres (1) puis Protection (2) puis en paramétrant les Options d'analyse comme sur la figure ci dessous (3) et (4)

image

Ceci fait tu vas Lancer un scan en cliquant l'onglet " Tableau de bord " puis en cliquant sur " Analyser maintenant "
L'examen démarre , ne pas l'interrompre.

Tu seras informé du résultat par le programme,

s'il y a des détections malveillantes, cocher les toutes et cliquez sur "Quarantaine sélectionnée".

image

Accepte le redémarrage de la machine si c'est demandé par le programme.
Pour avoir le rapport, tu cliques dans l'onglet " Compte rendu ", tu coches la case du compte rendu d'analyse de la date d' aujourd'hui puis sur "afficher le compte rendu "

image

Dans la fenêtre qui s'ouvre, tu cliques sur " exporter ", puis sur fichier texte (*.txt), tu le nommes MBAM.txt et tu l'enregistres sur ton bureau

Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Au plaisir de te lire,
Pierre







Modifié par Pierre95 le 30/08/2017 22:22
mibemol
 Posté le 31/08/2017 à 22:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Pierre95
 Posté le 31/08/2017 à 22:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Nicole,
Je vais donc les devoirs à faire demain après t'être reposée



1 - ZHPCLEANER en nettoyage

On poursuit le nettoyage image

Désactive temporairement ton antivirus. Relance le programme

image

Cliques sur scanner

Notes:

1 - Durant le nettoyage, si l'outil te demande "Avez vous installé ce proxy ?" suivi de l’adresse IP du Proxy et que tu n'en as pas installé, clique sur "Non"
2 - S’il te demande "Voulez vous remplacer la page d'accueil ?", et que tu ne la connais pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui",
3 - S’il te demande "Avez vous installer ce serveur ?" suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”

Quand tu accéderas à l'interface de désinfection, tu laisseras coché toutes les lignes et tu cliqueras sur nettoyer
Un rapport va s'ouvrir. S’il ne s’ouvre pas, appuies sur le bouton Rapport avec un grand T.

image

Enregistre le sur ton bureau.
Envoie le nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

2 - ROGUEKILLER en suppression

Maintenant tu vas nettoyer ce qu'a trouvé Roguekiller
Tu coches toutes les cases
Tu cliques sur Supprimer Sélection

image

Tu cliques sur Ouvrir Rapport
Tu cliques sur Exporter TXT pour l'enregistrer sur ton Bureau
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

3 - JRT

Télécharge Junkware Removal Tool de Thisisu et enregistre le fichier sur ton Bureau ICI

Ferme toutes les applications, y compris ton navigateur, arrête les protections résidentes antivirus/antimalware
Double-clique sur l'icône JRT.exe pour lancer l'installation
image
!\Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateurL'application se lance, appuyer sur une touche pour continuer

image

L'outil sauvegarde le Registre avec Erunt

image

Patientez le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.

image

A la fin du scan, un rapport JRT.txt s'ouvre.
Le rapport est enregistré sur le Bureau.
Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

4 - ZOEK

1 - Charge cet outil Zoek By Smeenk

ICI

Désactive ton antivirus car Zoek.exe sera sans doute supprimé au chargement, l'outil est reconnu néfaste mais ne l'est pas, c'est un faux positif.
==> Ferme tous tes navigateurs internet
Double clique sur l'exe, pour obtenir ceci

image

Tu copies colles dans le cadre les deux lignes bleues en gras ci dessous l'une en dessous de l' autre:

createsrpoint;
autoclean;


Clique sur " Run Script "
La fenêtre de l'outil disparait un instant puis affichera ce texte:

Citation
Zoek.exe is running now.Do not start any browser windows, they may get closed automatically.

Please wait! This window will close when finished.

A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log


Patiente le temps que l'outil produise son rapport.
A la fin, un compte rendu ZOEK-RESULTS.TXT apparait sur le bureau, Tu peux aussi le trouver sous C: sous la forme C:\zoek-results2014-04-06-000151.log
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
A ton service
Pierre

mibemol
 Posté le 01/09/2017 à 19:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Pierre95
 Posté le 01/09/2017 à 19:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Nicole

Tu m'a envoyé plusieurs Roguekiller !!

Au total , il me manque le rapport de JRT et de Zoek

Pierre

mibemol
 Posté le 02/09/2017 à 10:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonjour Pierre

Depuis hier soir,je m'interroge au sujet du scan Zoek. Au bout de deux heures, il n'était toujours pas terminé si bien que j'ai arrêté pour ne pas laisser l'ordi toute la nuit sans antivirus. J'ai recommencé ce matin et cela va faire plus de deux heures que ça tourne. Depuis une demi-heure, il ne se passe plus rien et bientôt, je vais devoir partir. S'il n'a pas terminé, je devrai une nouvelle fois l'arrêter. Est-ce normal ?

Publicité
Pierre95
 Posté le 02/09/2017 à 10:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Nicole,

Il arrive souvent que Zoek bloque.

S'il n'a pas terminé, tu l'arretes et tu le laisses tomber.

Parfois pour l'arreter, il faut un arret redemarrage du PC

Tu m'envoies ton rapport JRT

ZHPDiag

Refais moi un ZHPDiag tout frais tout chaud pour voir ce qu'il détecte comme nuisibles ou d'inutiles et pour que je puisse te préparer un premier script pour les dégommer

Pierre

mibemol
 Posté le 02/09/2017 à 21:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonsoir !

Voici les trois rapports. je suis surprise qu'il reste encore des indésirables après tout ce que nous avons fait !

http://www.cjoint.com/c/GIctdlozyGu
http://www.cjoint.com/c/GIctdRaU2ru
http://www.cjoint.com/c/GIcteJt1ofu

Pierre95
 Posté le 02/09/2017 à 21:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Nicole,

~ ZHPDiag v2017.8.1.107 Par Nicolas Coolman (2015/08/1)

Ta version de ZHPDiag date d'un mois !!! pour ZHPDiag, cela date de la Préhistoire

Tu vas la mettre direct poubelle , télécharger la dernière version comme indiqué au début de la Procédure et faire un nouveau scan

Pierre



Modifié par Pierre95 le 02/09/2017 21:59
mibemol
 Posté le 02/09/2017 à 23:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Oups !

Celui-là, je viens d'aller le chercher sur le site de NC. Je pense qu'il est à jour...

http://www.cjoint.com/c/GIcvb6Pyvju

Bonne nuit !

Pierre95
 Posté le 02/09/2017 à 23:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok, celui là est le dernier qui a été pondu par NC

Je regarderais demain matin ton log pour préparer ton scripte et te souhaites bonne nuit et à demain car

Pierre95
 Posté le 03/09/2017 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Nicole

image

ZHPFIX

Je vais te faire passer un script ZHPFix pour supprimer ce qui reste de nuisible ou d'inutile
Avant de l'appliquer, on va créer un point de restauration par précaution, et pour permettre un retour en arrière en cas d'erreur.
Pour créer un point de restauration :

==> Pour Windows 7 http://www.pcastuces.com/pratique/astuces/3383.htm

Tu vas télécharger le logiciel ZHPFIX ICI
Sur la page ouverte, tu cliques sur le bouton "Télécharger"
Installe ZHPFix sur ton bureau en faisant un clic droit sur l'icone ZHPFix.exe ==> Exécuter en tant qu'administateur
Bonsoir Nicole,


Tu lances ZHPFix clic droit logué administrateur sur l'icone ZHPFix
Tu cliques sur le bouton "IMPORTER"

image

Tu as une fenêtre d'avertissement
Tu cliques sur OK

image

Tu as une fenêtre vide.

Tu copies colles dans la fenêtre vide de ZHPFix à partir de tout en haut à gauche les lignes bleues ci dessous :

Citation
Script ZHPFix
EmptyCLSID
Emptytemp
EmptyFlash
O40 - TASK: {2163BF3D-08CC-40CA-9F2D-A5848BD4D70B} [64Bits][\{3EFA5543-02C6-4A15-8666-C381CB4C4C44}] - (...) -- C:\Program Files (x86)\ZHPDiag\ZHPhep.exe (.not file.) [0] (.Orphan.)
O40 - TASK: {3C503F2B-7992-4F0F-8E82-5DA2A569F8DC} [64Bits][\{A44A42CE-1B71-4D79-B0BF-913B0B93A13F}] - (...) -- C:\Program Files (x86)\ZebHelpProcess\ZHPHep.exe (.not file.) [0] (.Orphan.)
O40 - TASK: {3F8522F9-E073-45D8-BFB7-A81C2DF267C3} [64Bits][\Microsoft\Windows\Media Center\RecordingRestart] - (...) -- C:\Windows\ehome\ehrec (.not file.) [0] (.Orphan.)
O40 - TASK: {82EEAEEB-92B6-408C-A615-4B3E3D7C4910} [64Bits][\{67D32948-C7E2-4CE7-99EA-311532D69F29}] - (...) -- F:\SETUP.EXE (.not file.) [0] (.Orphan.)
O40 - TASK: {B5B8C487-0C45-4492-ADA0-6B850323FFA0} [64Bits][\Microsoft\Windows\Media Center\mcupdate] - (...) -- C:\Windows\ehome\mcupdate (.not file.) [0] (.Orphan.)
O40 - TASK: {B69D4B6C-3290-4BCA-BB40-1FE57DE89791} [64Bits][\Microsoft\Windows\Media Center\StartRecording] - (...) -- C:\Windows\ehome\ehrec (.not file.) [0] (.Orphan.)
O40 - TASK: {CB8BF517-303C-4D5F-863F-05FAD8331F99} [64Bits][\Microsoft\Windows\Media Center\mcupdate_scheduled] - (...) -- C:\Windows\ehome\mcupdate (.not file.) [0] (.Orphan.)
O43 - CFD: 02/09/2017 - [0] D -- C:\ProgramData\SWCUTemp
O43 - CFD: 04/08/2013 - [0] D -- C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart PC Recorder
O23 - Service: Easybits Services for Windows (ezSharedSvc) . (...) - C:\Windows\System32\ezSharedSvcHost.exe (.not file.)
O3 - Toolbar: 0xE3EFEB7F196B494398D2FFB09D4B49CA0129030000 - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} . (...) -- (.not file.)
O87 - FAEL: "{A7C8CD40-7C55-4F45-B941-D4CCB507A3E8}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\EasyBits For Kids\ezDesktop.exe (.not file.)
O87 - FAEL: "{03760B65-31A5-42B1-82BD-2C1A8C20B304}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2014\avgmfapx.exe (.not file.)
O87 - FAEL: "{D1782C59-DFC9-4A28-9F43-1ACE1C7D8AE1}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2014\avgmfapx.exe (.not file.)
O87 - FAEL: "{88BA5842-0C62-4165-B688-261303D8083F}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgmfapx.exe (.not file.)
O87 - FAEL: "{C9DBF09A-FAE2-4A7E-AF3F-5E5847B950F6}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgmfapx.exe (.not file.)
O87 - FAEL: "{F61FBC36-8B53-4F0C-BA72-D2B1C7D85FB4}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe (.not file.)
O87 - FAEL: "{636C2A56-B084-4190-A219-50F5B941B7B4}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe (.not file.)
O87 - FAEL: "{BF37358E-0F85-41C9-A5C1-91E677E73371}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgdiagex.exe (.not file.)
O87 - FAEL: "{6E65D51E-7D17-4146-A026-E568355CF00F}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgdiagex.exe (.not file.)
O87 - FAEL: "{FB1C5072-C316-4CE9-A0B1-71956B85AE98}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgemca.exe (.not file.)
O87 - FAEL: "{156BA6BE-0791-4C15-ACC0-76162AA8311A}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\AVG\AVG2015\avgemca.exe (.not file.)
O87 - FAEL: "{A00D58A0-A0E6-47D1-9CC7-2CAB2839D71D}" [In-None-P17-TRUE] .(...) -- C:\Program Files\CyberLink\PowerDirector11\PDR10.EXE (.not file.)
O87 - FAEL: "{92B197F7-7820-4F58-AC11-16D51B2BA42A}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\AVG\Av\avgmfapx.exe (.not file.)
O87 - FAEL: "{2DDCDF90-FD63-4236-BED7-F431B9DD3BF8}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\AVG\Av\avgmfapx.exe (.not file.)
O43 - CFD: 08/03/2014 - [] D -- C:\ProgramData\McAfee
HKLM\SOFTWARE\Wow6432Node\Symantec
HKCU\SOFTWARE\Symantec
HKCU\SOFTWARE\Norton
O43 - CFD: 11/01/2012 - [] D -- C:\ProgramData\Norton
O43 - CFD: 07/10/2011 - [] D -- C:\ProgramData\NortonInstaller
HKCU\SOFTWARE\Lavalys
O43 - CFD: 19/10/2014 - [] D -- C:\Program Files (x86)\Lavalys



Vérifies que les lignes copiées dans le cadre sont celles du scripte et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton " GO "
Tu cliques sur " GO "

S'il t'est demandé "Confirmez-vous le nettoyage de ces données", accepte
S'il t'est demandé de redémarrer l'ordinateur, refuse sinon le script va être interrompu
Quand ZHPFix aura fini son boulot, tu trouveras un rapport ZHPFixReport.txt sur ton bureau. Peux tu le poster ?

Arrete et redémarre ton PC

1 - Après cela fait un rapport ZHPDiag pour vérifier que script a fait son travail communique le lien de Cjoint dans ta prochaine réponse

2 - Refais un scan FRST avec ses 3 rapports (FRST.txt, Addition.txt et Shortcut.txt pour que je puisse te faire un correctif.



Modifié par Pierre95 le 03/09/2017 19:01
mibemol
 Posté le 04/09/2017 à 09:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonjour Pierre et merci pour ce dernier post

Mon époux est absent pour la journée et il a emporté son portable. Je continuerai la manipulation dès que possible.

Excellente journée.

Nicole

Pierre95
 Posté le 04/09/2017 à 09:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Nicole image

Excuses moi tout d'abord pour hier.

Hier matin, j'avais préparé ton script mais il est resté tout bêtement dans ton dossier.

Un oubli de ma part.

J'ai vu dans ton rapport ZHPDiag des traces de Zebhep Process.

Je te déconseille d'utiliser cet outil qui a été abandonné et qui a été remplacé par ZHPLite

A bientôt

Pierre

Publicité
mibemol
 Posté le 04/09/2017 à 10:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Pierre, je ne me souviens pas du tout avoir utilisé ce programme. ou alors, il doit y avoir fort longtemps (mon pc date de 2012). Je viens d'aller voir ce dont il s'agit et je vois qu'il semble toujours être disponible sur le site de NC...

A bientôt.

Nicole

mibemol
 Posté le 05/09/2017 à 16:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Pierre95
 Posté le 05/09/2017 à 17:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Nicole,

Le ZHPFix a fonctionné mais peux tu me faire un ZHPDiag de controle ?

Cela bien sur me permettra d'inclure des lignes qui ont résisté au ZHPfix au script FRST que je vais te préparer.

C'est un plaisir de travailler avec toi

Pierre

mibemol
 Posté le 05/09/2017 à 17:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Le voici. Décidément, les bébêtes s'accrochent !

http://www.cjoint.com/c/GIfp35Vqsmu

Ceci dit, pour moi aussi, c'est un plaisir de travailler avec toi.

Mon fils essaie de me persuader de revenir vers des Mac mais au fond, je me demande si je ne m'ennuierais pas avec...

Pierre95
 Posté le 05/09/2017 à 18:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Nicole,

~ ZHPDiag v2017.8.1.107 Par Nicolas Coolman (2015/08/1)

Ton ZPHDiag date de la Préhistoire !!! du 1er août !!!

Peux tu faire avec un ZHPDiag dernière version pour partir sur une base saine téléchargé ici

https://www.nicolascoolman.com/fr/download/zhpdiag/



Modifié par Pierre95 le 05/09/2017 18:38
mibemol
 Posté le 05/09/2017 à 19:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Ah Seigneur mon Dieu ! Je n'arrive pas à réaliser qu'il faut chaque fois aller chercher une nouvelle version... Malheureusement, je ne sais pas ce qui se passe mais je suis aller chercher cette nouvelle version par le lien que tu proposes mais Avast a absolument refusé de me laisser l'utiliser et l'a considérée comme une menace. N'y aurait-il pas un "détournement de lien" ?

Pierre95
 Posté le 05/09/2017 à 20:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu dois impérativement désactiver provisoirement AVAST pendant le téléchargement ou la mise à jour de ZHPDiag

Non il n'y a pas de détournement de lien

Avast considère ZHPDiag comme un Faux Positif comme d'ailleurs d'autres outils de désinfections qui sont des outils puissants

mibemol
 Posté le 05/09/2017 à 23:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Voici le nouveau scan :

http://www.cjoint.com/c/GIfvuvtjpgu

Bonne nuit !

Pierre95
 Posté le 06/09/2017 à 08:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Nicole,


image

Notre affaire s'annonce bien!!

Tu vas passer ce correctif avec FRST que je t'ai concocté aux petits oignons

1 - Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,

image

Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKCU\SOFTWARE\ZebHelpProcess Helper
C:\Program Files (x86)\ZebHelpProcess
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-689008154-3376950380-1719367701-1001\...\MountPoints2: G - G:\LaunchU3.exe -a
HKU\S-1-5-21-689008154-3376950380-1719367701-1001\...\MountPoints2: {7e5cc2d6-cc5d-11e3-b0f7-2c768ad4d2e7} - G:\LaunchU3.exe -a
HKU\S-1-5-21-689008154-3376950380-1719367701-1001\...\MountPoints2: {a67bc2d4-3c7e-11e1-b628-806e6f6e6963} - F:\setuppro.EXE /AUTORUN
Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
Toolbar: HKU\S-1-5-21-689008154-3376950380-1719367701-1001 -> Pas de nom - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Pas de fichier
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Pas de fichier]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
Task: {06F54477-002B-4625-A070-3EFC49FE3C08} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-21] (Google Inc.)
Task: {2163BF3D-08CC-40CA-9F2D-A5848BD4D70B} - System32\Tasks\{3EFA5543-02C6-4A15-8666-C381CB4C4C44} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\ZHPDiag\ZHPhep.exe" -d "C:\Program Files (x86)\ZHPDiag"
Task: {3C503F2B-7992-4F0F-8E82-5DA2A569F8DC} - System32\Tasks\{A44A42CE-1B71-4D79-B0BF-913B0B93A13F} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\ZebHelpProcess\ZHPHep.exe" -d "C:\Program Files (x86)\ZebHelpProcess"
Task: {6AA7D38A-3E64-480E-A50C-9E0BBD94ED4A} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-21] (Google Inc.)
Task: {82EEAEEB-92B6-408C-A615-4B3E3D7C4910} - System32\Tasks\{67D32948-C7E2-4CE7-99EA-311532D69F29} => C:\Windows\system32\pcalua.exe -a F:\SETUP.EXE -d F:\
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2163BF3D-08CC-40CA-9F2D-A5848BD4D70B}
C:\WINDOWS\System32\Tasks\{3EFA5543-02C6-4A15-8666-C381CB4C4C44}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3C503F2B-7992-4F0F-8E82-5DA2A569F8DC}
C:\WINDOWS\System32\Tasks\{A44A42CE-1B71-4D79-B0BF-913B0B93A13F}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3F8522F9-E073-45D8-BFB7-A81C2DF267C3}
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{82EEAEEB-92B6-408C-A615-4B3E3D7C4910}
C:\WINDOWS\System32\Tasks\{67D32948-C7E2-4CE7-99EA-311532D69F29}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B5B8C487-0C45-4492-ADA0-6B850323FFA0}
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B69D4B6C-3290-4BCA-BB40-1FE57DE89791}
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB8BF517-303C-4D5F-863F-05FAD8331F99}
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Magic Desktop.lnk
C:\Users\Jean-Pierre\Desktop\Raccourcis\QuickTime Player.lnk
C:\Users\Jean-Pierre\AppData\Roaming\ZHP\Quarantine\QuickTime\QuickTime\PictureViewer.lnk
C:\Users\Jean-Pierre\AppData\Roaming\ZHP\Quarantine\QuickTime\QuickTime\QuickTime Player.lnk
C:\Users\Jean-Pierre\AppData\Roaming\ZHP\Quarantine\QuickTime\QuickTime\À propos de QuickTime.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera Mail.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\de Pierre M.doc.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\Histoire 104 - 12 novembre.doc.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\Histoire 104 - 16 décembre Aubagne - Copie.doc.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\Histoire 104 - 16 décembre Aubagne.doc.lnk
Shortcut: C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\Histoire 104 - 7 novembre.doc.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\HISTOIRE 104.lnk
C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Office\Récent\HISTOIRE DE LA LOGE 104 remise en forme.doc.lnk
cmd: ipconfig /flushdns
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Dernière ligne droite avant l'arrivée.! un must, la cerise sur le gâteau !!

2 - ESET ON LINE

Il peut exister des nuisibles qui n'ont pas été détectés par les outils qu'on a passé aussi dernière analyse...mais elle est longue

image

image

Tu peux brancher tes disques durs externes.
Tu vas faire un scan ESET ON LINE et pour cela tu vas suivre ce tutoriel :
https://forum.pcastuces.com/sujet.asp?f=25&s=73761
Tu prendras bien soin de décocher la case: " supprimer les menaces détectées " ==> on les supprimera plus tard après tests.
Lien pour le télécharger ici:
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
Tu reviendras avec le rapport d’ESET, sauf s’il n’y a pas de menaces détectées car dans ce cas, il n’y a pas de rapport et là tu me le diras.
S'il y a rapport, envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)

CJOINT

CJOINT te donne un lien internet que tu postes dans ta réponse

A ton service

Pierre

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
203,01 €Disque dur externe Western Digital My Book 12 To USB 3.0 à 203,01 € livré
Valable jusqu'au 28 Février

Amazon Allemagne propose actuellement le disque dur externe Western Digital My Book 12 To USB 3.0 à 196,54 € (avec la TVA ajustée). Comptez 6,47 € pour la livraison en France soit un total de 203,01 € livré alors qu'on le trouve ailleurs à partir de 230 €. Avec ses 12 To et sa connectique USB 3.0 compatible USB 2.0, vous aurez de quoi stocker vos backup, vos films et vos photos, etc.  A l'intérieur, vous trouverez un disque à hélium UltraStar DC HC 520 White (12 To, 5400 tr/min, 256 Mo cache, CMR -> source satdream.tech). Le disque peut être démonté et réutilisé dans un ordinateur, un NAS, etc. Une très bonne affaire

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
26,99 €Carte mémoire microSDXC UHS-I SanDisk Ultra 200 Go à 26,99 €
Valable jusqu'au 02 Mars

Amazon fait une promotion sur la mémoire microSDHC UHS-I SanDisk Ultra 200 Go qui passe à 26,99 € livrée gratuitement. On la trouve ailleurs à partir de 40 €. Cette carte mémoire offre des vitesses jusqu'à 90 Mo/s.


> Voir l'offre
30,99 €Clé USB 3.0 et Micro USB Sandisk Ultra OTG 256 Go à 30,99 €
Valable jusqu'au 28 Février

Amazon fait une promotion sur la nouvelle version de la clé USB 3.0 SanDisk Dual Drive 256 Go qui passe à 30,99 € livrée gratuitement. La particularité de cette clé USB réside dans le fait qu'elle dispose à la fois d'un connecteur USB pour la brancher sur votre ordinateur ou votre TV, mais également d'un connecteur micro USB pour la brancher sur votre smartphone ou votre tablette. Compatible USB 3.0 (et 2.0), cette clé USB offre des débits jusqu'à 150 Mo/s. 


> Voir l'offre

Sujets relatifs
Désinfection PC portable HP avant sauvegarde
PC portable Compaq lent
désinfection de portable
portable compaq infecté?
autre portable verolé
portable a mémé
aide pour désinfection
PC PORTABLE tourne au ralenti
désinfection,Pierre95 es-tu là?
Aide pour désinfection, pls
Plus de sujets relatifs à Désinfection d''un PC portable Compaq
 > Tous les forums > Forum Sécurité