> Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95] PC de bureau infectéSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
mibemol
  Posté le 03/01/2018 @ 14:29 
Aller en bas de la page 
Astucienne

Bonjour Pierre et avant tout, je te souhaite une excellente année ainsi qu'à toute l'équipe de PC Astuces

Concernant ce PC, nous avions convenu qu'il serait bon de faire une recherche de virus éventuel. Il n'a pas été capable de supporter Firefox 57, même en désactivant les extensions et même en version portable. Il se bloquait toutes les trois minutes. Le coeur gros (car je suis une inconditionnelle de FF depuis le début), je suis passée à Opéra qui, ma fois, n'est pas mal du tout et beaucoup plus rapide... Par ailleurs, ayant eu une proposition intéressante d'Avast ce matin, je suis passée à la version payante en espérant qu'elle me fera la vie plus facile.

Ceci dit, voici les premiers rapports. j'espère avoir fait ce qu'il fallait et je demeure à ton écoute.

https://www.cjoint.com/c/HAdnqpgGUth

https://www.cjoint.com/c/HAdnrecWnjh

https://www.cjoint.com/c/HAdnrCejtzh

https://www.cjoint.com/c/HAdnschEtnh

https://www.cjoint.com/c/HAdnsBs6A5h

https://www.cjoint.com/c/HAdntxsPPFh

Merci d'avance !

Nicole

Publicité
Pierre95
 Posté le 03/01/2018 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Nicole,

Moi aussi, je te souhaite une bonne année.

C'est avant grand plaisir que j'accepte de travailler avec toi.

Je regarde tes logs et reviens vers toi pour la suite des opérations

Pierre

Pierre95
 Posté le 03/01/2018 à 16:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Nicole,

Tu vas d'abord nettoyer ce qu'a trouvé ZHPCleaner et AdWcleaner

1 - ZHPCLEANER en nettoyage


Désactive temporairement ton antivirus. Relance le programme

image

Cliques sur scanner

Notes:

1 - Durant le nettoyage, si l'outil te demande "Avez vous installé ce proxy ?" suivi de l’adresse IP du Proxy et que tu n'en as pas installé, clique sur "Non"
2 - S’il te demande "Voulez vous remplacer la page d'accueil ?", et que tu ne la connais pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui",
3 - S’il te demande "Avez vous installer ce serveur ?" suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”


Quand tu accéderas à l'interface de désinfection, tu laisseras coché toutes les lignes et tu cliqueras sur nettoyer

Un rapport va s'ouvrir. S’il ne s’ouvre pas, appuies sur le bouton Rapport avec un grand T.

image

Enregistre le sur ton bureau.
Envoie le nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

2 - Malwarebyte ADWCLEANER en mode nettoyage

on va nettoyer
Relances Malwarebyte Adwcleaner, si tu l'avais fermé
Quand, il affiche les menaces, laisse les toutes cochées , puis clique sur " Nettoyer "

image

A la fin, le rapport de nettoyage va s'afficher sur ton bureau.
S’il n’apparait pas, tu peux cliquer sur le bouton “ Rapport “ et faire comme indiqué à la fin quand je t'avais demandé le scan.
Enregistre le rapport sur le bureau et envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Vous pouvez fermer le programme

Nota Bene: tu peux aussi trouver le rapport sous: C:\AdwCleaner[C1].txt


3 - MBAM avec suppression

Tu as déjà MBAM installé sur ton PC

Tu vas paramétrer MBAM en allant dans Parametres (1) puis Protection (2) puis en paramétrant les Options d'analyse comme sur la figure ci dessous (3) et (4)

image

Ceci fait tu vas Lancer un scan en cliquant l'onglet " Tableau de bord " puis en cliquant sur " Analyser maintenant "
L'examen démarre , ne pas l'interrompre.

Tu seras informé du résultat par le programme,

s'il y a des détections malveillantes, cocher les toutes et cliquer sur "Quarantaine sélectionnée".

image

Accepte le redémarrage de la machine si c'est demandé par le programme.
Pour avoir le rapport, tu cliques dans l'onglet " Compte rendu ", tu coches la case du compte rendu d'analyse de la date d' aujourd'hui puis sur "afficher le compte rendu "

image

Dans la fenêtre qui s'ouvre, tu cliques sur " exporter ", puis sur fichier texte (*.txt), tu le nommes MBAM.txt et tu l'enregistres sur ton bureau

Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

4 - ROGUEKILLER en scan

Télécharges Roguekiller sur ton bureau ICI
Quitte absolument tous tes travaux en cours et ferme toutes les applications
Lance Roguekiller en cliquant sur son exe ( clique droit exécuter comme administrateur )
Lance l'exécution de RogueKiller en cliquant sur Démarrer le scan

image

Dans la fenêtre qui s'ouvre, clique sur Démarrer le scan

image

Le scan se déroule, patienter le temps de celui-ci

image

A la fin du scan, clique sur Historique puis sur Rapports de scan (à gauche) et tu choisis le dernier effectué (suivant date et heure) en cliquant dessus

image

Dans la fenêtre qui s'ouvre, clique sur Ouvrir TXT


image

Le rapport s'ouvre, enregistre le sur le bureau
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse


Au plaisir de te lire,
Pierre

mibemol
 Posté le 03/01/2018 à 17:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Voici les deux premiers rapports :

https://www.cjoint.com/c/HAdqHROGM7h

https://www.cjoint.com/c/HAdqIvQLf5h

Quant à mbam, il semble être installé sur ma machine mais en fait, il n'y est pas... Je ne peux même pas le désinstaller. je suis en train de télécharger la nouvelle version mais elle suppose un abonnement, à moins que l'on fasse seulement un essai ?

Pierre95
 Posté le 03/01/2018 à 18:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour les 2 premiers rapports, c'est OK

MBAM apparait dans tes logiciels installés.

Tu peux prendre avec une version d'essai.

A la fin de la période d'essai, tu auras le choix entre la gratuite que je te conseille et la payante

mibemol
 Posté le 03/01/2018 à 19:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Voici la suite :

https://www.cjoint.com/c/HAdsI36Fe3h

https://www.cjoint.com/c/HAdsJt0SAYh

https://www.cjoint.com/c/HAdsLMRQFrh

https://www.cjoint.com/c/HAdsMioyobh

Question récurrente mais je me permets de la poser à nouveau car les réponses ont souvent été divergentes : La version gratuite de MBAM n'entrera-t-elle pas en conflit avec Avast ?

Pierre95
 Posté le 04/01/2018 à 08:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour chère Nicoile,

image image

Pour moi aucun souci entre Avast et MBAM avec la version gratuite

KVRT

Désactive temporairement ton antivirus
Tu vas télécharger l'outil ici
Déposez KVRT.exe sur votre bureau et pas ailleurs.
Tu le lances clique droit " Executer en tant qu'administrateur "
Tu valides le disclaimer en cliquant sur " Accept "
Dans la fenêtre qui s'ouvre, tu cliques sur " Changes Parameters " [1] , puis tu coches la case " System drive " [2] puis tu cliques sur "OK " [3]

image

puis " Start scan" pour lancer le scan

Cela va scanner tous les fichiers de l’ordinateur, c’est un peu long mais tu optimise les chances de détecter des virus/malwares
Puis lance l’analyse de l’ordinateur en cliquant sur Start scan

image

L'analyse est assez longue, elle peut prendre plus de 45 minutes

image

Une fois l’analyse terminée, les éléments détectés s’affichent en liste, et tu peut régler les actions à opérer en haut
Je te conseille de laisser les options par défaut

Delete : Supprimer le fichier
Quarantine : place le fichier en quarantaine.
Clique sur le bouton Continue

image

Kaspersky Virus Removal Tool propose ensuite de désinfecter l’ordinateur en redémarrant ce dernier : Disinfect and restart the computer
Note que tu as un bouton « Try to desinfect without computer restart » afin de tenter de supprimer les virus sans redémarrer l’ordinateur
Je te conseille de prendre l’option par défaut

image

La procédure « Cure » démarre

image

L’ordinateur va alors redémarrer, si tu obtient le message, ci-dessous, clique sur Exécuter

image

Puis Kaspersky Virus Removal Tool se relance pour terminer la désinfection

Tu n'auras aucun rapport exploitable à me fournir.

Peux tu me refaire un ZHPDiag tout frais tout chaud ainsi qu'un scan FRST avec ses 3 rapports ?



mibemol
 Posté le 04/01/2018 à 09:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Coucou Pierre !

Le café était-il bon ?

Aujourd'hui, j'ai quelques obligations du côté de la Côte d'Azur mais ce soir, je reprendrai la procédure ainsi que tu l'indiques.

Alors, je te souhaite une très bonne journée et te retrouverai ce soir.

Nicole

Pierre95
 Posté le 04/01/2018 à 09:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pas de souci pour ce soir

Bonne journée

Pierre

Publicité
mibemol
 Posté le 06/01/2018 à 09:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Pierre95
 Posté le 06/01/2018 à 10:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello Nicole,

Je vois ceci:

SS - Disabl [21/02/2013] [ 1327104] McAfee Endpoint Encryption Agent (McAfee Endpoint Encryption Agent) . (.Copyright © 1991-2009 McAfee, Inc. All Rights Reserve.) - C:\Program Files\Hewlett-Packard\Drive Encryption\EEAgent\MfeEpeHost.exe

HKLM\SOFTWARE\McAfee

HKLM\SOFTWARE\McAfee EndPoint Encryption

HKLM\SOFTWARE\WOW6432Node\McAfee

HKLM\SOFTWARE\WOW6432Node\McAfee EndPoint Encryption

O58 - SDL:2013/02/21 19:43:16 A . (.McAfee, Inc. - McAfee, Inc..) -- C:\Windows\System32\drivers\MfeEpeHb.sys [13736]

O58 - SDL:2013/02/21 19:44:40 A . (.McAfee, Inc. - McAfee, Inc..) -- C:\Windows\System32\drivers\MfeEpeOpal.sys [91176]

O58 - SDL:2013/02/21 19:42:16 A . (.McAfee, Inc. - McAfee, Inc..) -- C:\Windows\System32\drivers\MfeEpePc.sys [158760]

Question:

Utilises tu Mc Afee ?

Je vais te demander un petit service.

ZHPDiag détecte un ADS.

Nicolas Coolman vient de créer un nouveau module pour les détecter et c'est pour cela qu'il apparait.

Ceci est en pleine évolution. Je travaille aussi dans son Forum comme helper et suis en contact avec lui pour les remontées.

Pourrais tu me faire un scan ZHPCleaner avec sa dernière version ?

Ce matin , je regarde tes rapports



Modifié par Pierre95 le 06/01/2018 11:01
mibemol
 Posté le 06/01/2018 à 11:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Volontiers, mon cher Pierre.

Voici un scan effectué à l'aide de la dernière version prise sur le site de Nicolas :

https://www.cjoint.com/c/HAgkqFf3J5P

Je n'utilise pas Mc Afee et une recherche par l'explorateur ne donne aucun résultat. Ce n'est pas la première fois, me semble-t-il, qu'il en est question...

Question : Je viens de souscrire à la version payante (14.99 €) d'Avast. Etait-ce la meilleure chose à faire ? Je crois qu'il y a un délai de rétraction... Il est agaçant car il n'arrête pas de proposer des fonctions supplémentaires moyennant des suppléments.

A plus

Pierre95
 Posté le 06/01/2018 à 12:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Merci, chère Nicole pour tes réponses que je vais prendre en compte dans mon script.
Il semble que Nicolas a avancé et supprime ces merdouilles d'ADS avec ZHPCleaner.

Peux tu repasser ZHPCleaner en mode nettoyage et m'envoyer son rapport ?


Peux tu aussi me tester cette extension non signée par VirusTotal
Tu vas passer ce correctif avec FRST

Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,

image

Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CloseProcesses:
VirusTotal: C:\Users\NICOLE BUREAU\AppData\Roaming\Mozilla\Firefox\Profiles\tga0co06.default-1507385263457\Extensions\{170503FA-3349-4F17-BC86-001888A5C8E2}.xpi
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse



Refais moi un ZHPDiag de controle




Modifié par Pierre95 le 06/01/2018 12:10
mibemol
 Posté le 06/01/2018 à 13:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Pierre95
 Posté le 06/01/2018 à 14:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

L'extension de Firefox testé par Virus Total est nickel de chez nickel.
image

Par contre Nicolas n'as pas encore programmé la suppression de l'ADS par ZHPcleaner au vu de l'expérience que nous avons fait tous les deux

Je viens de me renseigner sur ton ADS auprès de Nicolas. Elle n'est pas nuisible

Je te mets sa réponse

*************************************************

Hello Pierre, Gérard,

Pour cette ligne,

ADS Présent [:com.dropbox.attributes] - C:\Users\NICOLE BUREAU\Dropbox\RogueKiller_portable64.exe:com.dropbox.attributes

L'ADS "com.dropbox.attributes" est légitime, il sera filtré dans la prochaine version.Pour cette ligne,

************************************************************************

Nicole,

Ce problème résolu, je peaufine pour toi un gros script avec FRST



Modifié par Pierre95 le 06/01/2018 15:20
mibemol
 Posté le 06/01/2018 à 15:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Au fait, c'est quoi un ADS ?

Pierre95
 Posté le 06/01/2018 à 15:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Au fait, c'est quoi un ADS ?

Pas très reluisant quand tu lis ça

http://manumation.developpez.com/articles/windows/ads/

http://assiste.com/ADS_Alternate_Data_Stream.html

Chère Nicole,

Le voilà mon correctif préparé aux petits oignons

En utilisant la même méthode que précedemment, tu vas passer ce nouveau correctif avec FRST64 mais en y mettant les lignes bleues ci dessous:

Citation
Start::
CreateRestorePoint:
CloseProcesses:
Hosts:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CE5B872C-04DB-4F0E-80C2-0DC997828E33}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{CE5B872C-04DB-4F0E-80C2-0DC997828E33}
C:\WINDOWS\System32\Tasks\AVAST Software\Avast settings backup
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ISUSPM
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Foxmail
DeleteValue: HKU\S-1-5-21-104376097-776204731-480569139-1001\Software\Microsoft\Windows\CurrentVersion\Run|ISUSPM
DeleteValue: HKU\S-1-5-21-104376097-776204731-480569139-1001\Software\Microsoft\Windows\CurrentVersion\Run|Foxmail
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\PhoXo
DeleteKey: HKLM\Software\Classes\CLSID\{47F14307-F923-44F9-86CB-A1E193DA6070}
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\CLSID\{659E506B-0AC2-410E-A94C-A326FF199883}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\CLSID\{659E506B-0AC2-410E-A94C-A326FF199883}
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\PhoXo
DeleteKey: HKLM\Software\Classes\CLSID\{47F14307-F923-44F9-86CB-A1E193DA6070}
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{21F29E55-FAFC-4F25-9EBC-AE40F99CA3B9}C:\program files (x86)\mozilla firefox\firefox.exe
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{A606F020-B0F3-495A-8060-DCE69F787320}C:\program files (x86)\mozilla firefox\firefox.exe
DeleteKey: HKLM\SOFTWARE\Symantec
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McAfee Endpoint Encryption Agent
C:\Program Files\Hewlett-Packard\Drive Encryption\EEAgent\MfeEpeHost.exe
DeleteKey: HKLM\SOFTWARE\McAfee
DeleteKey: HKLM\SOFTWARE\McAfee EndPoint Encryption
DeleteKey: HKLM\SOFTWARE\McAfee
DeleteKey: HKLM\SOFTWARE\McAfee EndPoint Encryption
unlock: C:\Windows\System32\drivers\MfeEpeHb.sys
C:\Windows\System32\drivers\MfeEpeHb.sys
unlock: C:\Windows\System32\drivers\MfeEpeOpal.sys
C:\Windows\System32\drivers\MfeEpeOpal.sys
unlock: C:\Windows\System32\drivers\MfeEpePc.sys
C:\Windows\System32\drivers\MfeEpePc.sys
HKU\S-1-5-21-104376097-776204731-480569139-1001\...\MountPoints2: F - F:\SETUP.EXE
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin: @microsoft.com/GENUINE -> disabled [Pas de fichier]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Pas de fichier]
R0 MfeEpeOpal; C:\Windows\System32\Drivers\MfeEpeOpal.sys [91176 2013-02-21] (McAfee, Inc.)
R0 MfeEpePc; C:\Windows\System32\Drivers\MfeEpePc.sys [158760 2013-02-21] (McAfee, Inc.)
S3 dbx; system32\DRIVERS\dbx.sys [X]
S2 RHDISK_AMD64; \??\C:\Program Files (x86)\Rohos\RHDISK_AMD64.SYS [X]
2018-01-03 18:46 - 2017-09-13 16:31 - 001732864 _____ (Microsoft Corporation) C:\Users\NICOLE BUREAU\AppData\Local\Temp\dllnt_dump.dll
CustomCLSID: HKU\S-1-5-21-104376097-776204731-480569139-1001_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\NICOLE BUREAU\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileCoAuthLib64.dll => Pas de fichier
ContextMenuHandlers1-x32: [TakeOwnershipMenu] -> {659E506B-0AC2-410E-A94C-A326FF199883} => -> Pas de fichier
ContextMenuHandlers4: [TakeOwnershipMenu] -> {659E506B-0AC2-410E-A94C-A326FF199883} => -> Pas de fichier
Task: {51CF9B9B-44D9-44F6-8174-652AABC014E9} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-28] (Google Inc.)
Task: {73E634C0-5565-409F-B99C-82701F89F4DD} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-28] (Google Inc.)
AlternateDataStreams: C:\ProgramData\Temp:58A5270D [258]
C:\Users\Invité\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Documents\Office Tab\SAUVEGARDE MES DOCUMENTS\VIE PRATIQUE\FOURNISSEURS\E.BAY\BOS\Raccourci vers Re_ Envoi DVD.lnk
C:\Users\Public\Documents\Office Tab\SAUVEGARDE MES DOCUMENTS\INFORMATIQUE\BOITE A OUTILS\Icecream PDF Split and Merge.lnk
cmd: ipconfig /flushdns
End::



Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Peux tu me refaire un ZHPDiag tout frais tout chaud ainsi qu'un scan FRST avec ses 3 rapports ?

PHOXIO

Pour avoir les pleines fonctionnalités du logiciel PHOXIO pour qu'il apparaisse dans le menu contextuel quand tu fais un clique droit sur un fichier,
peux tu le désinstaller via panneau de config Windows et le réinstaller

A ton service

Pierre


Publicité
mibemol
 Posté le 06/01/2018 à 17:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

"Au fait, c'est quoi un ADS ?"

J'ai lu rapidement le premier lien... En effet, c'est édifiant... C'est pour cela, peut-être que l'on ne voit pas trace de Mc Afee ?

Dans la prochaine vie, il faudra que je choisisse entre apprendre à jouer du violon ou apprendre l'informatique .

Bon. Ceci dit, la manip First64 avec le nouveau correctif a planté Windows. Heureusement, il est arrivé à se récupérer et il a fait tout de même son rapport :

https://www.cjoint.com/c/HAgqwkgz4ZP

J'attends ta réponse pour continuer les contrôles.

Pierre95
 Posté le 06/01/2018 à 17:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Nicole,

Le script fixlist apparemment a fonctionné

Peux tu vérifier cela en faisant les controles ?

Hors sujet:

Ma chère, si tu apprends à jouer du violon,c'est encore plus dure que d'apprendre l'informatique ,je suppose

mibemol
 Posté le 06/01/2018 à 18:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Pierre95
 Posté le 06/01/2018 à 19:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité


Tes derniers rapports contredisent le fixlog.txt et en fait le travail n'a pas été effectué
Nicole,
On va saucissonné le problème et faire cela en plusieurs fois avec plusieurs correctifs FRST

Tu vas mettre FRST à la poubelle et le retélécharger

En utilisant la même méthode que précedemment, tu vas passer ce nouveau correctif avec FRST64 mais en y mettant les lignes bleues ci dessous:

Citation
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CE5B872C-04DB-4F0E-80C2-0DC997828E33}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{CE5B872C-04DB-4F0E-80C2-0DC997828E33}
C:\WINDOWS\System32\Tasks\AVAST Software\Avast settings backup
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ISUSPM
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Foxmail
DeleteValue: HKU\S-1-5-21-104376097-776204731-480569139-1001\Software\Microsoft\Windows\CurrentVersion\Run|ISUSPM
DeleteValue: HKU\S-1-5-21-104376097-776204731-480569139-1001\Software\Microsoft\Windows\CurrentVersion\Run|Foxmail
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\CLSID\{659E506B-0AC2-410E-A94C-A326FF199883}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\CLSID\{659E506B-0AC2-410E-A94C-A326FF199883}
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\TakeOwnershipMenu
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WDSyncContextMenuHandler
DeleteKey: HKLM\Software\Classes\CLSID\{5A51BDCB-F8C2-4698-B79C-A77DF0AA466B}
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{21F29E55-FAFC-4F25-9EBC-AE40F99CA3B9}C:\program files (x86)\mozilla firefox\firefox.exe
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{A606F020-B0F3-495A-8060-DCE69F787320}C:\program files (x86)\mozilla firefox\firefox.exe
FF NewTab: Mozilla\Firefox\Profiles\b52v3upj.default-1469603464048 -> about:newtab
cmd: ipconfig /flushdns
End::



Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Peux tu me refaire un ZHPDiag tout frais tout chaud ainsi qu'un scan FRST avec ses 3 rapports ?


mibemol
 Posté le 06/01/2018 à 19:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Pierre, j'ai du mal à télécharger FRST. Pourrais-tu me redonner le lien ? Est-il normal que l'on aboutisse sur Bleeping Computer ?

Pierre95
 Posté le 06/01/2018 à 19:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

oui, tu le le télécharges dans Bleeping Computer et chez moi, cela se fait directement

Sinon, télécharges le ici

https://1fichier.com/?8tfsfu716u

mibemol
 Posté le 06/01/2018 à 21:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Curieux... Dans bleeping computer, je n'ai réussi à télécharger qu'un document .pdf et sur le liens que tu me donnes, voici ce que j'ai . Je me demande si je dois ouvrir le fichier téléchargé...

mibemol
 Posté le 06/01/2018 à 21:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Et voilà le premier :

https://www.cjoint.com/c/HAguFGQ2qkY

Cette fois, ça n'a pas planté.

mibemol
 Posté le 06/01/2018 à 21:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
309,99 €Console Nintendo Switch édition limitée Mario 309,99 €
Valable jusqu'au 12 Février

Cdiscount propose la nouvelle version de la console Nintendo Switch en édition limitée Mario (avec manettes et bases personnalisées) à 309,99 € livrée gratuitement. Une pochette de transport est également fournie.


> Voir l'offre
529,90 €Ultrabook HONOR MagicBook 14 (Ryzen 5 3500U, 8Go, 256 Go SSD) à 529,90 €
Valable jusqu'au 02 Février

HONOR fait une promotion sur son ultrabook HONOR MagicBook 14 qui passe à 529,90 € au lieu de 600 €. Cet ordinateur portable possède un écran 14 pouces Full HD IPS, un processeur AMD Ryzen 5 3500U (avec chip graphique Vega 8), 8 Go de mémoire DDR4, un SSD 256 Go PCIe NVME, le WiFi5 / Bluetooth 5.0, un lecteur d'empreintes, une webcam, un clavier rétro éclairé, une batterie 56 Wh (jusqu'à 10h d'autonomie) et ne pèse que 1,38 kg. Il fonctionne sous Windows 10. Une très bonne affaire pour une machine compacte et puissante.


> Voir l'offre
18,90 €Switch Gigabit TP-Link 8 ports métal à 18,90 €
Valable jusqu'au 28 Janvier

Amazon propose actuellement le switch Gigabit TP-Link TL-SG108 8 ports (10/100/1000) dans un boîtier métal à 18,90 €. On le trouve habituellement autour de 30 €. 


> Voir l'offre

Sujets relatifs
[Liza33]PC infecté suite à messagerie piratée
pc infecté
[Liza33]PC infecté ?
[Pierre95]Analyse rapport zhp diag
[Pierre95]Ralentissement... Y aurait-il un virus ?
[Pierre95]rapport ZHPDIAG
[Pierre95]Pc lent
[Pierre95]page bloquée, alerte police ou gendarmerie
[Pierre95]redirection sur doubleclik
[El Magnifico] Virus affiché sur le bureau.
Plus de sujets relatifs à [Pierre95] PC de bureau infecté
 > Tous les forums > Forum Analyse de rapports et désinfection