> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] Alerte de Sécurité Windows 10Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
urtheaga
  Posté le 22/11/2019 @ 16:59 
Aller en bas de la page 
Petit astucien

Bonjour,

j'ai été victime d'une tentative d'intrusion comparable au sujet du message "alerte de sécurité Windows" du 19/11 à 17h30 (Vieuxdruide).

Ci-joint le rapport ZHPDiag: urtheaga 22/11 à 17h00:

Merci pour votre aide à désinfection.

Urtheaga

Publicité
poussebois
 Posté le 22/11/2019 à 17:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour et bienvenue sur PC Astuces ,

Quelques éléments trouvés dans ton rapport, mais rien de bien méchant.

Suis la Procédure pour le diagnostic d'un PC infecté (lien en rouge en bas dans ma signature) et poste les 4 rapports demandés via www.cjoint.com.

Pour ZHPDiag, refais-le en cochant toutes les options.

Si tu es infecté, un membre du Groupe Sécurité te prendra en charge.

@ +



Modifié par poussebois le 22/11/2019 17:26
El Magnifico
 Posté le 22/11/2019 à 17:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

urtheaga

Avez vous donné accés à votre PC ?

Cliquez sur votre puis demandez au modérateur de déplacer votre sujet vers le forum Désinfection.



Modifié par El Magnifico le 22/11/2019 17:29
urtheaga
 Posté le 23/11/2019 à 10:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour et merci de vos conseils.

J'ai relancé le diagnostic dont voici le rapport:

https://www.cjoint.com/c/IKxjI3ZxKLq

Merci d'avance.

urtheaga
 Posté le 23/11/2019 à 11:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour et merci de vos conseils.

J'ai relancé le diagnostic dont voici le rapport:

https://www.cjoint.com/c/IKxjI3ZxKLq

Merci d'avance.

Voici les trois rapports complémentaires:

https://www.cjoint.com/c/IKxkebSk5Mq

https://www.cjoint.com/c/IKxkfz61Moq

https://www.cjoint.com/c/IKxkgUfJuMq

Je crois avoir exécuté toutes les opérations que vous m'avez recommandées.

Merci.

El Magnifico
 Posté le 23/11/2019 à 12:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

urtheaga

Pas mal de cochonneries à supprimer, avez vous demandé le transfert du sujet vers le forum de désinfection ?

urtheaga
 Posté le 23/11/2019 à 17:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je viens de demander ce transfert.

Merci pour votre aide.

pcastuces
 Posté le 23/11/2019 à 19:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans le forum Analyse de rapports et désinfection qui semble plus adéquat.

Vous pouvez continuer la discussion à la suite de ce message.

A bientôt.
El Magnifico
 Posté le 23/11/2019 à 19:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bloquez les mises à jour windows , tout au moins pendant la désinfection.

Pour ce faire :Téléchargez ce petit log : https://www.sordum.org/9470/windows-update-blocker-v1-2/

Cliquez sur le bouton gris " Download" environ en milieu de page.

Puis clic Droit / Extraire tout. Cliquez sur le nouveau dossier puis sur l' Application

Puis Desactiver Service / Appliquer Maintenant

Démo animée => ICI


*************************

Nous allons commencer par un pré-nettoyage, suivez ces procédures (3 rapports à me faire parvenir)

Avant tout désactivez l' antivirus, ces outils sont propres.

Cliquez ICI

Attention, ne pas désinstaller ASUS Smart Gesture avec ADWcleaner, si celui ci est proposé dans la section désinstallation des programmes préinstallés. Car il gère le pavé tactile.

Pour les utilisateurs de W10, lire => ICI

Publicité
urtheaga
 Posté le 24/11/2019 à 09:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

J'ai bloqué les mises à jour Windows, mais ne trouve pas comment désactiver l' antivirus: d'une part Norton Internet Security et d'autre part KVRT, ce dernier installé cette semaine suite à l'intrusion.

Merci d'avance.

El Magnifico
 Posté le 24/11/2019 à 10:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

urtheaga

Pour Norton et KVRT , on verra plus tard

Poursuivez suivant la procédure indiquée.

PS: vous n' avez pas répondu à : Avez vous donné accés à votre PC ?

urtheaga
 Posté le 24/11/2019 à 15:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour;

Voici le premier rapport

https://www.cjoint.com/c/IKyoGWTuHvq

J'ai laissé la main sur mon ordinateur, lundi dernier lors du blocage initial à la personne se disant technicien de "Windows Defender" que j'avais appelée sur le 0970182803 comme me le demandait l'annonce affichée sur mon ordinateur bloqué.

Merci

urtheaga
 Posté le 24/11/2019 à 15:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re-bonjour,

voici le deuxième rapport

https://www.cjoint.com/c/IKyo5QJUmTq

Merci

urtheaga
 Posté le 24/11/2019 à 16:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re-bonjour,

Voici le troisième et dernier rapport.

https://www.cjoint.com/c/IKypmgUoBJq

En principe j'ai effectué toutes les étapes d' analyse.

Un grand merci pour votre aide.

El Magnifico
 Posté le 24/11/2019 à 17:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

urtheaga

Parfait

Il vous faudra changer vos mots de passe , ceux ci ont pu être volés lors de la prise en main du PC, voir aussi coté bancaire .....etc

**************

Pouvez vous refaire un scan avec ZHPDiag (cochez toutes les options)

Refaire un scan avec FRST ( cochez toutes les cases)

urtheaga
 Posté le 24/11/2019 à 18:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Voici le rapport de la première analyse avec ZHPDiag

https://www.cjoint.com/c/IKyqUTuHvcq

et ceux de l' analyse avec FRST

https://www.cjoint.com/c/IKyq5wv43Kq

https://www.cjoint.com/c/IKyq6CknnVq

https://www.cjoint.com/c/IKyq7tTrIcq

J' ai bien noté de modifier tous mes mots de passe;

Quand et comment faut-il réactiver les mises à jour Windows-10 et Norton (pare-feu et auto-protection) que vous aviez demandées de supprimer ?

Un grand merci pour votre aide et disponibilité un dimanche.

El Magnifico
 Posté le 24/11/2019 à 18:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

urtheaga

C' est tous les jours dimanche pour moi

Il va me falloir un peu de temps pour décortiquer les rapports

Vous avez toujours Norton , vous souhaitez le garder ( avez vous la licence à jour) ou vous n' arrivez pas à le supprimer?

O42 - Logiciel: Norton Internet Security - (.Symantec Corporation.) [HKLM][64Bits] -- NGC  =>.Symantec Corporation®

Téléchargez Revo Uninstaller ICI en mode Avancé Choisir la version Free
Un très bon tuto ICI

.

==================== Points de restauration =========================

ATTENTION: La Restauration système est désactivée (Total:118 GB) (Free:55.14 GB) (47%)

vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
image

Code
Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK. Vous reviendrez dans le temps modifier cette valeur en fonction du nombre de point de restauration que vous voulez garder.
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.
 


Modifié par El Magnifico le 24/11/2019 20:04
Publicité
El Magnifico
 Posté le 24/11/2019 à 20:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

..........suite

Vous me faites signe quand c' est fait.

urtheaga
 Posté le 25/11/2019 à 13:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Je vous laisse le temps de lire les rapports;

Par ailleurs, je souhaite garder Norton dont j'ai une licence à renouvellement automatique. Puis-je donc ignorer l' opération avec Revo unsintaller?

Je ne comprends pas ce qu' il convient de faire concernant le point de restauration système.

Enfin, quand et comment faut-il réactiver les mises à jour Windows-10 que vous aviez demandées de supprimer avant d' effectuer toutes les analyses ?

Merci d' avance.

El Magnifico
 Posté le 25/11/2019 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour urtheaga

Ok , pour Norton. Gardez le.

Pour créer un point de restauration il faut activer la restauration ( apparemment désactivée sur votre machine)

Pour cela je vous ai mis un tuto animé et une marche à suivre

A faire donc

Vous gardez bloquer les mises à jour tout le temps de la désinfection, je vous dirai le moment opportun pour réactiver ce service ainsi que la réactivation de l' Antivirus.

Tout est programmé, suivez les instructions.

Vous me faites signe quand tout est fait.

urtheaga
 Posté le 25/11/2019 à 13:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re-bonjour,

en complément de mon message d' il y a 30 minutes, je viens de créer un point de restauration système en suivant la procédure

et j' ai téléchargé Revo sans l' installer;

J' attends vos instructions avant de faire quoi que ce soit.

Merci.

Cordialement

El Magnifico
 Posté le 25/11/2019 à 14:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

      Voici un correctif avec
FRST
    de Farbar



Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.


Desactivez votre antivirus le temps de la correction .


Ne passer qu'une fois le correctif !

Surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::)


Citation


start::
CreateRestorePoint:
CloseProcesses:
Hosts:
EmptyTemp:
RemoveProxy:
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DEDD160-DDD9-480E-80CA-4A19D37E4A19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5DEDD160-DDD9-480E-80CA-4A19D37E4A19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5DEDD160-DDD9-480E-80CA-4A19D37E4A19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Maintenance\{5DEDD160-DDD9-480E-80CA-4A19D37E4A19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{5DEDD160-DDD9-480E-80CA-4A19D37E4A19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5DEDD160-DDD9-480E-80CA-4A19D37E4A19
C:\Windows\System32\Tasks\Avast Software\Overseer
C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|AvastUI.exe
DeleteKey: HKLM\SOFTWARE\AVAST Software
DeleteKey: HKCU\SOFTWARE\AvastAdSDK
DeleteKey: HKCU\SOFTWARE\Browser Cleanup
DeleteKey: HKU\S-1-5-21-160512303-1317695792-3156693029-1001\SOFTWARE\AvastAdSDK
DeleteKey: HKU\S-1-5-21-160512303-1317695792-3156693029-1001\SOFTWARE\Browser Cleanup
C:\ProgramData\AVAST Software
DeleteKey: HKCU\SOFTWARE\McAfee
DeleteKey: HKU\S-1-5-21-160512303-1317695792-3156693029-1001\SOFTWARE\McAfee
unlock: C:\WINDOWS\System32\drivers\mfencbdc.sys
C:\WINDOWS\System32\drivers\mfencbdc.sys
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{241ED427-BC17-4744-992F-DDA89ABDDE8C}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{26F3A897-9350-4ADD-B3EB-7143DFC7F3CE}
C:\ProgramData\WinZip
GroupPolicy-x32: Restriction ? <==== ATTENTION
Task: {081689B9-F7E6-41CE-9AED-51C0DBE68676} - \Lenovo\ImController\TimeBasedEvents\a1357b90-a42d-49ce-9dd5-23d59814d7e6 -> Pas de fichier <==== ATTENTION
Task: {31747303-5D30-410C-BAD4-0AFFE3C09ABC} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Pas de fichier <==== ATTENTION
Task: {3304F0F8-530E-4EDB-96E5-04B4B63059B9} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Pas de fichier <==== ATTENTION
Task: {4777E617-5823-4DA0-B345-4EB2154F9600} - \Lenovo\ImController\TimeBasedEvents\f083e578-1278-4c71-a84a-85cfc294e7e4 -> Pas de fichier <==== ATTENTION
Task: {6BFFEEBA-C91D-41B3-A8E0-8E27B852BC54} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Pas de fichier <==== ATTENTION
Task: {A4C05812-96E2-4477-A292-68FB319C8591} - \Lenovo\ImController\TimeBasedEvents\8e48aabd-c6eb-41d3-b099-d9e9f0bbde80 -> Pas de fichier <==== ATTENTION
S2 ImControllerService; "%SystemDrive%\Program Files\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe" [X]
SearchScopes: HKU\S-1-5-21-160512303-1317695792-3156693029-1001 -> {AFBCB7E0-F91A-4951-9F31-58FEE57A25C4} URL = hxxps://nortonsafe.search.ask.com/web?q={searchTerms}&l=dis&prt=NGC&chn=1550&geo=FR&ver=22.18.0.213&locale=FR_fr&guid=508B8ECF-268E-4B23-975D-FCE3BD04E7B0&doi=2019-03-15&o=APN11913&gct=kwd&qsrc=2869
HKU\S-1-5-21-160512303-1317695792-3156693029-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.norton.com/?prt=NGC&chn=1550&geo=FR&ver=22.16.4.15&locale=fr_FR&guid=508B8ECF-268E-4B23-975D-FCE3BD04E7B0&doi=2019-03-15&o=APN11915&cmpgn=zeus
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.19.8.65\Exts\Chrome.crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.19.8.65\Exts\Chrome.crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
FirewallRules: [{6873C687-2BA1-4EEF-9F57-39F506A669C0}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS45EC\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{54A8DE0D-6355-4644-92BF-E603B836E054}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS45EC\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{8F0585DA-AFBE-4BD9-A8C2-7FA3647C2A83}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS45EC\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{9BAC76CE-B6F4-4184-83E8-53950618FA93}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS45EC\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{38B58855-8592-4287-9E7E-C11FE2CE0855}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS4521\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{B45D8BBD-40AF-41DF-98DC-930F369FA677}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS4521\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{2E75D1E7-3D4B-4269-B4FA-6F2422812BFF}] => (Allow) %systemroot%\system32\alg.exe Pas de fichier
FirewallRules: [{70CF2793-FF91-4D4A-89B0-721EC84BE10A}] => (Allow) %systemroot%\system32\alg.exe Pas de fichier
FirewallRules: [{6F79DEFA-EE2E-4163-8946-B277641E51E5}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS7387\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{4C56944F-BE89-46C6-BEAD-C4474C473120}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS7387\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{DBC4121E-257A-45A6-A6CB-257D81827A0A}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS71E5\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{CB27F2E7-8B18-4AC1-B242-63A879DA021A}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS71E5\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{FEBB5807-C869-4170-A90E-C17AC1A3ABE8}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS6D43\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{D335F96B-7A00-4C21-8AB4-CB11A3DA6B27}] => (Allow) C:\Users\Folio\AppData\Local\Temp\7zS6D43\HPDiagnosticCoreUI.exe Pas de fichier
FirewallRules: [{241ED427-BC17-4744-992F-DDA89ABDDE8C}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe Pas de fichier
FirewallRules: [{26F3A897-9350-4ADD-B3EB-7143DFC7F3CE}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe Pas de fichier
Reboot:
C:\Windows\Temp\ *.*
C:\Users\Folio\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::








Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant le curseur dans la fenetre blanche rectangulaire, puis clic droit/ coller

Cliquez sur image puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

image

.........................

Comment se comporte la machine ?
Si c' est correct , on finalise au prochain passage
urtheaga
 Posté le 25/11/2019 à 15:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re-bonjour,

j' ai passé le correctif mais aucun document fixlog n' est apparu ni trouvable (rechercher par le gestionnaire) sur le disque dur.

J' ai compris que je n' ai pas le droit de relancer FRST. Que dois-je faire ?

Merci.

El Magnifico
 Posté le 25/11/2019 à 15:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Recherchez dans C:/ FRST/logs/.......

Vous aviez déposer le log sur le bureau ?

urtheaga
 Posté le 25/11/2019 à 15:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re-bonjour,

Dans C:/ FRST/logs/...…., il y a les fichiers d' hier et avant-hier mais aucun d' aujourd'hui.

Faut-il relancer le logiciel avec le FRST sur le bureau ?

Merci

El Magnifico
 Posté le 25/11/2019 à 16:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok relancez FRST

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[El Magnifico]alerte de sécurité windows
[El Magnifico] votre système de sécurité windows est endommagé
[El Magnifico]Messages d'erreur anti-virus de Windows 10
[Pierre95]Après MAN de Windows 10
[Pierre95]Les MAJ de Windows 10 apportent des cochoneries !
EL Magnifico ( Alerte boite mail Windows )
[El Magnifico]Alerte boite mail Windows
[Pierre95]notification Windows 10,"vous utilisez un autre antivirus"
[El Magnifico] windows 10 ne veut pas s'installer
[El Magnifico] ALERTE SECURITE
Plus de sujets relatifs à [El Magnifico] Alerte de Sécurité Windows 10
 > Tous les forums > Forum Analyse de rapports et désinfection