> Tous les forums > Forum Analyse de rapports et désinfection
 [Labougie]Attaque de ransomware et support usb non reconnuSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
bachibouzouk
  Posté le 14/08/2018 @ 22:29 
Aller en bas de la page 
Petite astucienne

Bonjour,

au mois de juin j'ai subit une attaque de ransomware avec disparition de mon plus gros fichier de travail.
J'ai essayé de faire une restauration à un point antérieur mais impossible de retourner au plus ancien point proposé par windows.
Mon antivirus (Avira pro) n'arrivait pas à faire les mises à jour à partir de la mise à jour automatique.

J'ai réussi à récupérer une toute petite partie du fichier perdu en prenant le point de restauration le plus ancien qui était fonctionnel et à partir des propriétés de ce fichier j'ai pu récupérer une version complète plus ancienne.


J'ai lancé une mise à jour de Avira en prenant un autre chemin d'accès et là mon antivirus à découvert deux virus: PUA/OpenCandy.gen et TR/Crypt.ZPACK.terow mis en quarantaine Ces deux "engins" étaient aussi dans ma clé USB et ont été supprimés.

Par contre le problème n'est pas complètement réglé car depuis lorsque je branche ma clé USB elle apparait avec un nom bizarre lorsque Avira la détecte et me demande si je veux l'ouvrir, puis maintenant elle est détectée mais n'apparaît pas dans la liste des disques branchés Il en est de même avec mon disque dur externe.
Par contre tous les deux apparaîssent dans périphériques et imprimantes et s'ouvrent normalement sur un autre ordinateur.

J'ai réalisé les différentes analyses que vous préconisez en cas de problème avec clé USB et je vous poste les rapports avec c-joint:

avec FRST

Addition.txt

FRST

Shortcut.txt

Avec

ZHPdiag

ZHPcleaner

Avec Avec Rem-BVS pour la clé USB et à deux reprises:
Rem-VSB

Rem-VSB2

Pour le disque dur externe j'ai fait l'analyse sur un autre ordinateur car il ne s'ouvrait pas sur l'ordinateur malade et n'était donc pas détecté par Rem-VBSworm:

Rem-VSB disque dur externe

Après toutes ces procédures les deux supports USB fonctionnaient correctement mais ce soir de nouveau plus aucun accès et du coup USBFix ne les a même pas détectés. Par contre ils s'ouvrent normalement sur l'autre ordinateur.

Pouvez-vous m'aider?

Je vous remercie

Publicité
Labougie
 Posté le 14/08/2018 à 23:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Effectivement tu sembles être infecté par une saloperie de rogue.

je repasse avec une recette maison pour voir quelque chose.

labougie .

Edit:

  • Mon Nom est labougie et je vais t'assister au cours de cette désinfection..
  • Si tu es d'accord, nous allons fixer quelques règles pour que la désinfection soit efficace.

    Soit attentif aux lignes suivantes afin que l'intervention se déroule correctement:
  • Ne fais aucune modification sur ton ordinateur y compris installation/désinstallation, suppression de fichiers, modification du registre et l'utilisation d'outils non conseillés.
  • Si tu ne comprends pas quelque chose, ou que cela bloque dans le déroulement d'une tâche, n'hésite pas à poser des questions avant de continuer.
  • Même si ton pc semble aller mieux, cela ne suffit pas à conclure que nous en avons terminé. Continue à suivre les instructions et à répondre aux instructions tant que l'information (Ton PC est sain), n'a pas été diagnostiqué.
  • Soit assuré que ton suivi automatique de réponse via une alerte mail soit actif. Cela permet d'avoir une meilleure réactivité.
  • L'intervention doit être assurée de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.

Je ne supporte pas les cracks et keygens, donc supprime les, il en est de même pour les windows illégaux.

Je vais te prodiguer quelques conseils.

labougie



Modifié par Labougie le 14/08/2018 23:35
Labougie
 Posté le 14/08/2018 à 23:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Respecte bien les consignes données et l'ordre imposé. Chaque outil est passé une fois est une seule. ===> OK pour toi?


1/ FSSTélécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Pour Vista/Windows 7 faire un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )

.

2/ Rkill

Charge l'outil Rkill en cliquant sur les liens suivants:

Dépose les outils sur ton bureau, et, uniquement sur le bureau.

Lance Rkill 1, l'outil travail, et produit un rapport. Donne moi ce dernier en le déposant sur le site suivant

https://up.security-x.fr/

Si, et, seulement si, Rkill1 ne fonctionne pas, lance Rkill 2. Puis patiente et produit moi le rapport en le déposant sur le si (indiqué ci-dessus).

Rkill 2 ne fonctionne pas non plus, rassure, le virus le bloque sans doute, passe alors au 3 puis au 4.

Un sera normalement fonctionnel

.

3/ Malwarebyte

Maintenant tu vas suivre ce tutoriel

Applique bien les conseils qui y sont prodigués et poste le rapport obtenu.

Tu analyses tu gardes le rapport puis tu supprimes et tu gardes le rapport

Edit:

Tu inséres ta/tes supports usb afin que l'outil les contrôle

Les rapports

Poste les rapports obtenus sur le site suivant et uniquement sur ce site https://up.security-x.fr/

  1. FSS
  2. Rkill
  3. Mlawarebyte analyse et suppression (ici il y 2 rapports)

Labougie



Modifié par Labougie le 15/08/2018 00:22
Labougie
 Posté le 15/08/2018 à 00:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

La liste des questions ??? .

.

1/ Quelle version de windows as tu?

Car

Rem-VBSworm v8.0

=========== - General info:

Running under: admin on profile: C:\Users\admin
Computer name: ADMIN-PC

Operating System:
Microsoft Windowsÿ7 dition Familiale Premium



Résultats de l'Analyse supplémentaire de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par Utilisateur (13-08-2018 19:05:46)
Exécuté depuis C:\Users\Utilisateur\Desktop
Windows 7 Professional Service Pack 1 (X64) (2016-11-08 17:17:22)
Mode d'amorçage: Normal

Il y a un problème pour moi

2/ Les softwares suivants, servent à quoi ?

  1. JonDo
  2. Scratch 2 Offline Editor
  3. Service Pack 2 for Microsoft Office 2010
  4. SFR Cle a Partager
  5. Stellarium 0.16.1
  6. SWF Opener
  7. Validity Sensors
  8. The OpenVPN Project

Labougie

pcastuces
 Posté le 15/08/2018 à 08:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans le forum Analyse de rapports et désinfection qui semble plus adéquat.

Vous pouvez continuer la discussion à la suite de ce message.

A bientôt.
bachibouzouk
 Posté le 15/08/2018 à 09:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour et merci pour votre intervention rapide.

voilà le résultat de l'analyse de Farbar Service Scanner:

Farbar

Par contre j'ai besoin d'avoir des informations sur les cracks et les keygens. J'ai bien une petite idée mais je ne suis pas sûre. Qu'est-ce que c'est exactement?

De plus je ne comprends pas la référence à windows illégal? Mon disque dure a été changé (ordinateur tombé) et le bouclard qui a fait le travail s'est occupé de réinstaller windows 7 pro alors si il est illégal je n'y peux rien.

J'ai posté le résultat de RKill1 com. Par contre je n'avais pas désactivé mon antivirus donc l'analyse s'est arrêté. Elle semble s'être terminée correctement, une fois l'antivirus désactivé.

Pour le système d'exploitation c'est windows 7 pro. La référence à windows 7 édition familiale vient du fait que l'analyse avec Rem-VSB de mon disque dur externe a été faite sur un autre ordinateur.

Pour Jondo c'est anonymiseur sur le web.

Scratch2 est un logiciel éducatif pour apprendre à faire de la programmation.

Service pack 2 office 2010 c'est word et compagnie.

SFR clé à partager c'est pour avoir internet quand je vais en vacances dans un logement qui n'a pas d'internet.

Stellarium est un logiciel éducatif pour étudier le système solaire et l'Univers.

SWF opener c'est pour ouvrir les animations éducatives pas très récentes en .swf.

Validity sensors je ne sais pas ce que s'est, pas de souvenir de ce truc.

The open VPN project fait partie de la suite Avira, c'est aussi un anonymiseur sur le web notamment pour accéder à des contenus qui sont bloqués en raison du pays d'origine de l'adresse IP.

Je vas passer maintenant aux malwares.
Pouvez me préciser deux choses :

3/ Malwarebyte

Maintenant tu vas suivre ce tutoriel

Applique bien les conseils qui y sont prodigués et poste le rapport obtenu.

Tu analyses tu gardes le rapport puis tu supprimes et tu gardes le rapport Je supprime ce qu'il trouve? Il y a donc deux rapports à garder.

Edit:

Tu inséres ta/tes supports usb afin que l'outil les contrôle A quel moment j'insère les supports USB?

Faut-il que je vous transmette le lien des fichiers postés sur https://up.security-x.fr/

Merci

Labougie
 Posté le 15/08/2018 à 14:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

il faut suivre la procédure dans l'ordre.

Les points 2 - 3 sont à faire en suivants.

Les supports usb sont à chargés avant de lancer Malwarebytes.

j'attends les rapports aux nombre de trois dont 2 pour malwarebytes

labougie

Labougie
 Posté le 15/08/2018 à 14:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tous les rapoorts doivent être déposés sur le site suivant

https://up.security-x.fr/

et tu me fournies les liens correspondants.

labougie

bachibouzouk
 Posté le 15/08/2018 à 19:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Normal 0 21 false false false FR X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;}

Voilà les rapports postés sur https://up.security-x.fr/

FSS :
https://up.security-x.fr/file.php?h=Rade072a8fdded7e7b78ff24b2873172c

Rkill :
https://up.security-x.fr/file.php?h=R6b072d8efa2ad908029b54a3336cc5a6

Malawarebytes pas de détection donc un seul rapport:
https://up.security-x.fr/file.php?h=Ra7b1d516a24f60cf13d170de75485eba

Par contre l'analyse des deux supports USB ne s'est pas faite sur l'ordinateur malade," ils n'existe pas" quand ils sont branchés . J'ai donc utilisé mon autre ordinateur pour les analyser.
Rien sur la clé USB mais sept alertes sur le disque dur externe.

Les liens sur up.security-x.fr

Disque dur externe avant quarantaine
https://up.security-x.fr/file.php?h=Rb93040ac624f46805b35285cd399a672

Disque dur externe après quarantaine:
https://up.security-x.fr/file.php?h=Rb93040ac624f46805b35285cd399a672

Clé USB:
https://up.security-x.fr/file.php?h=Ra273f8a3a3cca8b248403fbd9e62e821

voilà

Publicité
Labougie
 Posté le 16/08/2018 à 08:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Par contre j'ai besoin d'avoir des informations sur les cracks et les keygens. J'ai bien une petite idée mais je ne suis pas sûre. Qu'est-ce que c'est exactement?

Trojan.Downloader, G:\OFFICE PROFESSIONNEL 2010\BUSINESS_CONTACT_MANAGER_2010_32-BIT_(FRENCH).EXE, En quarantaine, [859], [484135],1.0.6355
Trojan.Downloader, G:\OFFICE PROFESSIONNEL 2010\MICROSOFT_OFFICE_PROFESSIONAL_PLUS_2010_64BIT_(FRENCH).EXE, En quarantaine, [859], [484135],1.0.6355
Trojan.Downloader, G:\OFFICE PROFESSIONNEL 2010\MICROSOFT_OFFICE_PROFESSIONAL_PLUS_2010_32BIT_(FRENCH).EXE, En quarantaine, [859], [484135],1.0.6355
Trojan.Downloader, G:\OFFICE PROFESSIONNEL 2010\BUSINESS_CONTACT_MANAGER_2010_64-BIT_(FRENCH).EXE, En quarantaine, [859], [484135],1.0.6355
Trojan.Downloader, G:\OFFICE PROFESSIONNEL 2010\OFFICE_COMMUNICATOR_2007_R2_32-BIT_(FRENCH).EXE, En quarantaine, [859], [484135],1.0.6355

Service Pack 2 for Microsoft Office 2010 (KB2687455) 64-Bit Edition (HKLM\...\{91140000-0011-0000-1000-0000000FF1CE}_Office14.PROPLUSR_{A3364707-2F53-4C83-8F68-C9877A9080C7}) (Version: - Microsoft)

Cela répond il à ta question?

labougie

bachibouzouk
 Posté le 16/08/2018 à 09:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Vous pensez que Service Pack 2 for Microsoft Office 2010 est une version piratée! Absolument pas c'est une version fournie par l'éducation nationale en 2010 pour laquelle j'ai payée et j'ai une facture.

Pouvez-vous me donner une définition de ce qu'est un keygen? Ma question était plutôt dans ce sens là.

Que dois-je faire maintenant?

Merci

Labougie
 Posté le 16/08/2018 à 19:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Par contre l'analyse des deux supports USB ne s'est pas faite sur l'ordinateur malade," ils n'existe pas" quand ils sont branchés . J'ai donc utilisé mon autre ordinateur pour les analyser.
Rien sur la clé USB mais sept alertes sur le disque dur externe.

Mes doutes sont confirmés, tu as donc 2 pc's.

Télécharge cet outil usbfix

Voici comment:

Nous travaillons que sur le pc malade

Tous les rapports doivent être déposés sur le serveur de sucurity-x

Labougie

bachibouzouk
 Posté le 16/08/2018 à 19:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Petite question

lorsque je branche mes deux supports USB l'un après l'autre, mon antivirus (avira pro) me demande, pour chacun d'eux, si je permets à ces supports d'avoir accès à mon ordinateur.
Dois-je répondre oui ou non ou dois-je désactiver mon Antivirus?

merci

Labougie
 Posté le 16/08/2018 à 21:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

tu dis oui à avira; et s'il demande de scanner, tu scannes

tu scannes avec usbfix et suis la procédure puis poste les rapports demandés.

Labougie

bachibouzouk
 Posté le 17/08/2018 à 08:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Un seul et unique rapport, pas d'infection détectée!:


https://up.security-x.fr/file.php?h=R55fbc606471f4615a34d3cbe7c32acd

incroyable!

USB fix avant de lancer l'analyse a bien détecté trois disques mais semble ne scanner que C:/ . Cela correspond-il vraiment à ce que fait USBfix?

Merci

Pierre95
 Posté le 17/08/2018 à 09:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour bachibouzouk,

Excuse ma brève incruste dans ta demande

Ton dernier lien que tu as hébergé sur le site de Security X ne marche pas

bachibouzouk
 Posté le 17/08/2018 à 11:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
Publicité
Labougie
 Posté le 17/08/2018 à 21:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Supprime les rapports frst addition.txt et frst.txt.

relance l'outil, attendre que la mise à jour se termine et refaire un scan.

poste les deux rapports obtenus (toujours sur le meme site => security-x)

labougie

bachibouzouk
 Posté le 17/08/2018 à 21:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

De quelle mis à jour s'agit-il? Quand on ouvre FRST?

Voilà les rapports, j'ai aussi un rapport shortcut.txt.

Normal 0 21 false false false FR X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;}

FRST 2ème analyse :


https://up.security-x.fr/file.php?h=Rca8e95b2868e21bbfe8415aab21b890a

https://up.security-x.fr/file.php?h=R1bbb025713a1610adfe327f25c7bf126

https://up.security-x.fr/file.php?h=Ra1df0be9045969d2c6e7ae6d781a55e2

Merci

Labougie
 Posté le 17/08/2018 à 23:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

FRST Correctif

/!\ ce correctif est personnalisé, il pourrait endommager une autre machine si mal utilisé

Copie colle les lignes bleues suivantes dans le bloc note.

Start
createrestorepoint:
closeprocesses:
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {00994378-8f50-11e8-9e95-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {0b56714e-8b27-11e8-9ad7-806e6f6e6963} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {0b567183-8b27-11e8-9ad7-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {264e1bf6-8e6e-11e8-a70a-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {4d02577d-8e5a-11e8-81e1-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {5c38608f-00d6-11e8-adf7-6427376cec5e} - E:\EMP_UDSe.exe /autorun
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {5e5c4d0d-8de3-11e8-8d98-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {5e6a1a8f-8c34-11e8-a416-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {5e6a1a96-8c34-11e8-a416-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {a17e7570-745d-11e8-9cb9-6427376cec5e} - E:\EMP_UDSe.exe /autorun
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {bc9bc102-89da-11e8-9953-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {bc9bc10b-89da-11e8-9953-6427376cec5e} - E:\AutoRun.exe
HKU\S-1-5-21-2219197565-1740706916-3086297781-1000\...\MountPoints2: {bc9bc11c-89da-11e8-9953-6427376cec5e} - E:\AutoRun.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
folder: C:\Users\Utilisateur\AppData\Roaming\ZHP
folder: C:\Users\Utilisateur\AppData\Local\ZHP
folder: C:\UsbFix\Log\
virustotal: C:\Users\Utilisateur\Downloads\R312222.exe
cmd: netsh advfirewall reset
emptytemp:
reboot:
end

Nomme ce fichier fixlist.txt.

Place le sur le bureau

Lance frst, clique sur "Corriger"

Poste le rapport obtenu fixlog.txt sur le serveur de security-x, (et donne moi le lien).

labougie

bachibouzouk
 Posté le 18/08/2018 à 09:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
Labougie
 Posté le 18/08/2018 à 20:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Merci pour le rapport. (Désolé pour le délai, mais le boulot me retarde un peu ).

Nous allons continuer avec une nouvelle suppression

1/FRST Correctif

/!\ ce correctif est personnalisé, il pourrait endommager une autre machine si mal utilisé

Copie colle les lignes bleues suivantes dans le bloc note.

Start
createrestorepoint:
closeprocesses:

CMD: For %i in ("C:\Users\Utilisateur\AppData\Roaming\ZHP\ZHPCleaner-[S]-13082018-18_57_56.txt") do for /f "delims=" %p in ('type "%i"') do echo %p
C:\Users\Utilisateur\Downloads\R312222.exe
emptytemp:

End

Nomme ce fichier fixlist.txt.

Place le sur le bureau

Lance frst, clique sur "Corriger"

Poste le rapport obtenu fixlog.txt sur le serveur de security-x, (et donne moi le lien).

2/ Eset

Connecte tes supports usb au PC malade. puis suivre cette procédure

Ensuite, poste moi le rapport eset sans les suppressions sur security-x.

labougie

bachibouzouk
 Posté le 19/08/2018 à 12:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour, voilà les deux rapports:

Normal 0 21 false false false FR X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;}

FRST Correction 2:
https://up.security-x.fr/file.php?h=R386fde42e7abf961cc07385f4e787856

Scan ESET:
https://up.security-x.fr/file.php?h=Rbd12dd2029260e7c9f2cb9dec0720b73

Je suppose que maintenant, je dois nettoyer ce que ESET a trouvé?

Merci

Labougie
 Posté le 19/08/2018 à 16:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Effectivement il faut supprimer le fichier trouvé.

Te voici un nouveau correctif

1/ Correctif

Start
createrestorepoint:
closeprocesses:
File: C:\Users\Utilisateur\Downloads\.ptmp10269\bfe-fw-fix.exe
File: C:\Users\Utilisateur\Downloads\R312222.exe
C:\Users\Utilisateur\Downloads\.ptmp10269\bfe-fw-fix.exe
C:\Users\Utilisateur\Downloads\R312222.exe
emptytemp:
End

Applique le, puis donne moi le rapport obtenu

2/ Frst

Supprime les fichiers addition.txt et frst.txt.

Relance l'outil, attendre que la mise à jour de celui-ci se termine et procède au lancement.

Donne moi les rapports suivants:

  • Additon.txt
  • Frst.txt

Les rapports attendus sont

  • Fixlog.txt
  • Addition.txt
  • Frst.txt

Les rapports seront tous hébergés sur security-x.

Labougie

bachibouzouk
 Posté le 19/08/2018 à 19:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà les rapports:

Normal 0 21 false false false FR X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;}

FRST correction3 et analyse FRST:
addition :
https://up.security-x.fr/file.php?h=Rb03d47b1963741d677d4ec7be43e61f0

FRST :
https://up.security-x.fr/file.php?h=Rfbbd675f7b5f48187915b1869516e1d3

Fixlog:
https://up.security-x.fr/file.php?h=R9a0db42760c3857899cabfcad1b5ebff

Merci

Labougie
 Posté le 19/08/2018 à 20:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Nous avons terminés,

Te voici un peut de lecture, des conseils etc...

.

1/ Delfix

  • Télécharge et enregistre Delfix sur ton Bureau,
  • Lance le programme (double-clic ou clic droit>Exécuter en tant qu'administrateur),
  • Coche les cases comme indiqué ici :

  • Clique sur "Exécuter". Cela peut prendre un peu de temps. Edite ce rapport par copier-coller.
  • Celui-ci se trouve également ici : C:\DelFixSuppr

2/ OneClick2RestorePoint :


Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

Mirroir :
OneClick2RP.exe (Mirroir 1)

  • Conserve-le tout au long de la désinfection et de l'optimisation.
  • Double clique dessus pour l'exécuter (Sous Vista/Seven, fais un clique droit et choisir Exécuter en tant qu'administrateur)
  • Entre la description suivante : Fin de désinfection
  • Clique sur le bouton Créer, puis sur le bouton OK.
  • Clique sur le bouton quitter pour fermer l'application




Regarde cette Vidéo de E:Volution, elle est très instructive.

E:Volution Par Mikko Hypponen
Acte ou processus par lequel ce qui est simple ou basic devient complexe ou poussé


Pratiquer un Internet Sain


Une des raisons principales pour laquelle les gens se font infecter est en premier lieu le fait qu'ils ont une très mauvaise pratique de l'internet. Pratiquer un internet sain c'est s'auto éduquer, posséder des outils de sécurité et en avoir une bonne pratique. Connaitre les raisons de son infection ainsi que les fichiers et ou les sites
responsables, permettrons alors de faire de ta machine, une machine plus saine. Ceci est le principal point pour avoir toujours une machine propre. En réalité la plupart des gens qui sont infectés c'est parce qu'ils ont cliqués sur un lien ou \ et un fichier alors qu'ils n'auraient pas duent. Ci-dessous une liste de recommandations à suivre et à connaitre afin de conserver son ordinateur propre et sécurisé.

  • Si tu reçois une pièce jointe d'un inconnu, NE PAS OUVRIR, c'est aussi simple que cela. Ouvrir cette pièce jointe provenant d'un inconnu, est une méthode commune pour infecter un ordinateur avec un vers ou un virus.
  • Si tu reçois une pièce jointe avec à la fin l'une les extension suivantes, .exe, .com, .bat, ou .pif ne pas ouvrir jusqu'a ce que tu sois certain(e) que ce fichier est sain. Normalement tu ne devrais jamais recevoir ce type de fichier, si toutefois cela était le cas, avant prends les précautions suivantes. Demande à son expéditeur si il es bien l'auteur de mail, teste ce fichier avec ton antivirus.
  • Si tu reçois une pièce jointe d'une personne que tu connais, et que celle-ci te semble suspecte, c'est probablement le cas. Alors cet email provient d'une personne infectée avec un Malware (virus) qui tente d'infecter à son tour tout les contacts de son carnet d'adresse.
  • Si tu surfes sur le web (Internet) et qu'un PopUp (fenêtre) apparaît indiquant que tu es infecté, Ignore la ! Ces attrapes nigaux sont fait pour que tu achètes ce logiciel, mais c'est un Fake (faux). Par exemple un de ces PopUp. Lien à suivre (Merci à S!Ri)

    Ce sont des programmes qui se déguisent eux mêmes en Anti-Spywares ou outils de sécurités, mais ce ne sont en fait que des Rogues. Rogue/Suspect Anti-Spyware Produits & Web Sites & Rogue Data base
  • Une autre méthode ou tactique pour te leurrer sur le web est de te montrer des PopUp plus vrai que vrai, dans lequel tu auras un message de ce type. Windows message or alert. Si tu cliques dessus, tu vas être redirigé vers un site web qui va te suggerer un produit. Je te conseille fortement de fermer cette fenêtre en cliquant sur la X au lieu de OK. Alternativement tu peux contrôler si il s'agit réellement d'une véritable alerte Windows en faisant un Clique Droit sur la fenêtre. Si dans le menu tu as le message suivant, => ajouter aux favoris <= tu sauras alors que c'est une fausse alerte.
  • Ne pas allez sur des sites pour Adultes. Je sais que cela peut déranger certains d'entre vous. Mais le fait est qu'une grande quantité de logiciel malveillant est faite pour passer ces types de sites. Je ne suis pas entrain de dire que tout ces sites sont comme cela, mais beaucoup le sont.
  • Quand tu utilises une messagerie instantané, Msn, Twitter, facebook... ne pas cliquer sur les liens qui te seront proposés. Il s'agit aussi d'une méthode commune pour infecter un ordinateur. La machine infectée se permet d'utiliser le carnet d'adresse et d'envoyer de faux messages avec des vrais liens qui eux sont infectés. Donc par prudence, ne clique pas sur ce message et demande à son auteur, si il en est bien l'instigateur, sinon tu te feras piéger et l'infection rentrera toute seule et avec ton accord.
  • Reste éloigné des sites de Warez et de Cracks. Déjà c'est casser des copyrights et tout ce que tu chargeras sera infecté et ton Pc sera truffé de vilaines bébêtes, qui vont invitées en plus toute la famille. Suis ce lien Crack, P2P, beaucoup de risques pour quelques économies, (Merci Sham_Rock).
    * Un article de tesgaz sur le crack dans toute sa splendeur
    * Un autre du même auteur sur le P2P et ses conséquences
    * Un article de Malekal sur les dangers du crack
  • Soit prudent si tu souhaites charger sur des sites de Peer 2 Peer. Les sites te proposent des logiciels dans lesquels sont cachés des Malwares, alors tu penses bien que rien n'est gratuit, même pas le Peer 2 Peer. Et non ce n'est pas de la fiction, de nombreuses infections proviennent du téléchargement illégal.
  • Ne jamais installer de logiciel sans avoir au préalable lu le Cluf, (tu sais la petite fenêtre te demandant si tu es d'accord pour l'installation), ouai, d'accord, bon nombre sont en anglais mais bon, il n'est pas interdit de se renseigner avant, Hein !!! Car si l'on prend l'exemple de Messenger Skinner, hé bien lui il vas te proposer des pubs, et tu ne pourras rien y faire, tu a dit "Oui" pendant l'installation. Comment crois tu que les développeurs gagnent de l'argent. Oui il y a des Malwares aussi dans ce type de logiciels

Visite très fréquemment Microsoft's Windows Update (Mise à jour Microsoft)

Il est très important de visiter ce site http://www.windowsupdate.com régulièrement. Cela permet de contrôler que ton PC possède bien les dernières mises à jour donc moins de faille sécuritaire. Si toutefois il y avait des mises à jour à réaliser, les charger puis les installer immédiatement. Un redémarrage sera parfois requis, alors redémarre et revisite le site jusqu'à ce que toutes les mises à jour soient réalisées.



Utilise un antivirus

Il est très important d'avoir dans sa machine un antivirus résident (qui surveille en permanence). Il te protègera du mieux qu'il pourra, cela sera fonction aussi du surf que tu auras, donc de ton attitude, tu réfléchis puis ensuite tu cliques pas l'inverse, OK.

Antivirus, Spyware, et Malware Protections

Mettre à jour son antivirus

C'est aussi très important d'avoir les dernières mises à jour pour son antivirus, sinon, ben... il ne sert à rien. La plupart font des mises à jour automatiques, mais ne t'empêche pas de les faire en mode manuelle. De plus ces mises à jour permettent de reconnaitre les dernière variantes virales, alors tu penses bien que cela sera très utile.
Quand ton antivirus arrivera à expiration, il te faudra aussi penser à renouveler sa licence, sinon te ne sera plus protégé.


Assure toi que tout tes logiciels soient à jour

Les mises à jour sont aussi réelles pour tout les autres logiciels que tu utilises.

Utilise un Firewall (Parefeu)


Sans Firewall ton Pc est susceptible de subir des attaques et elles te seront invisibles. Ensuite ton pc sera utilisé à l'insu de ton plein grès. Je suis très sérieux à ce propos, en utilisant un firewall même avec ces réglages de base, tu auras au moins un minimum de protection.

un tuto pour comodo par exemple


Installe un Logiciel AntiSpyware

Nous avons utilisé Malwarebytes-Antimalware (Mbam). C'est un excellent produit mais non résident (travaille uniquement à la demande, donc à la tâche). Garde le, mets le à jour et passe le une fois par semaine, sachant qu'il ne chasse pas les mêmes choses que les antivirus, il te protégera contre les Spywares (logiciels espions)

N'utilises plus ces logiciels Spybot - Search and Destroy et Ad-Aware Personal ils sont obsolètes.




Pense bien aux mises à jour régulièrement

Assure toi d'avoir un système à jour afin de palier les failles sécuritaires. Sans ces mises à jours ton Pc ne sera pas correctement protégé quand un nouveau code malveillant sera sorti.
Sache que toute cette lecture réduira les risques d'infections.

.

Backup du pc par le Fêlé

The Time Machine (la machine à voyager dans le temps)

Lecture Antimalwares

Ton nouveau livre de chevet ....


//////////////////////////////////////////////:*

Prudence sur Internet.

Labougie

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[Pierre95]Attaque sur W7
Pc est attaqué par un virus
[Liza33]Infection "virus Advertising-Support.com". Demande de désinfect
[El Magnifico] Mon pc est attaquè par un virus
 > Tous les forums > Forum Analyse de rapports et désinfection