Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
#227747
Bonsoir,

Ca m'a pris un peu de temps pour faire toutes les manipulations données mais voici le feedback:

- après le nettoyage par Malwarebytes:
https://www.cjoint.com/c/IBkwrdnTjig

- ensuite j'ai effectué un 1er nettoyage par mbar:
https://www.cjoint.com/c/IBkwtikcKDg

- puis un 2e, vu que le logiciel avait trouvé 5 éléments indésirables:
https://www.cjoint.com/c/IBkwuwC28fg

- puis j'ai finalisé la tâche avec l'outil FixDamage car la mise à jour windows ne fonctionnait toujours pas:
https://www.cjoint.com/c/IBkwwvFwH4g

toutefois, la mise à jour a continué de ne pas donner satisfaction;

- j'ai poursuivi avec Kapersky et le logiciel fut rassurant puisque "no threats" were "found"

- enfin j'ai effectué un scan avec Roguekiller:
https://www.cjoint.com/c/IBkwzwTuNAg

Lors de l'édition du rapport je n'ai pas trouvé l'onglet "Seulement Malicieux" alors j'ai exporté le résultat tel qu'il était donné; ce logiciel a trouvé neuf éléments qui présentent des risques; huit sont "potentiellement malicieux" et un s'avère "critique". Sans consigne de votre part je n'ai pas pris la décision de les supprimer, attendant votre avis sur la question.

Résoudre ce problème s'avère très chronophage et je vous suis très reconnaissant pour le temps et l'attention que vous consacrer à la résolution du problème; encore une fois, je vous remercie énormément! :merci2:
#227748
Bonjour

Vous avez bien travaillé, il reste malgré tout des malveillants !

=> Recréez un point de restauration " Avant Roguekiller "

Puis

ROGUEKILLER en Nettoyage

Démo animée Cliquez ICI

Image

Cliquez sur Résultats, puis sur Suppression

Cliquez sur Resultats, puis sur Rapport

Cliquez sur Exporter, puis sur Fichier texte,

Choisir le lieu du dépot (Bureau ou Documents), taper le Nom du fichier ( par exemple: Roguekiller Nettoyage), puis Enregistrer

Vous retrouverez ce fichier à cet endroit.

Postez le avec l' aide de CJOINT (diffusion: privée, durée: 21 jours)


****************************************************************************************************
  • Junkware Removal Tool
Image


Image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. Image (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !
  • Faites un clic droit -> lancez le programme en tant qu'administrateur
L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

Image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint ou TextUp

***************************************************************************************************


Nettoyage des fichiers temporaires inutiles avec SFT de Pierre13

Désactiver l'anti virus avant ! et lire ces instructions.

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Fermer tous les programmes en cours ==>> Important !

Image Télécharger SFT.exe sur le bureau Image

Il doit s' afficher comme ceci obligatoirement Image

Si vous avez des difficultés pour le télécharger prendre ce lien, ICI
Le fichier s' affichera comme ceci: SFT.rar, renommez le en SFT.exe
ou si vous préférez en fichier Zipé : ICI , Faire un clic droit sur le fichier, puis un clic sur Extraire tout, un icone se présente , à placer sur le bureau, executez à partir de cet icone.

  • Si SFT n'est pas sur le bureau, ce message (anglais et français) le signale et SFT se ferme.

    Déplacer SFT sur le bureau et le relancer.
Image

Si l'antivirus fait des siennes: désactive-le provisoirement. Pour savoir comment faire, voir cet article.
Pour Windows Defender ICI
  • Sous Windows, faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.

    Demo annimée ICI

    Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...
A la fin, un message demandera si on veut vider la corbeille..Accepter.

Image
  • A la fin du nettoyage, un rapport va s'ouvrir.

    Ce rapport est enregistré sur le bureau (SFT.txt)
Image

Utilisez Cjoint ou TextUp pour poster le rapport

Communiquez le lien, merci.

*****************************************************************************************************

Vous allez demarrer en mode sans echec: https://www.pcastuces.com/pratique/astuces/3356.htm

Puis refaire un scan avec MBAM ( Malwarebytes anti malwares)

nettoyer ou mettez en quarantaine.

postez le rapport

Revenir en demarrage normal.

********************

Pour un dernier diagnostic et correctif

Refaire un scan avec ZHPDiag, postez le rapport

Ouvrez FRST,cochez toutes les cases,cliquez sur Analyser, postez les 3 Rapports
.
:)
#227749
Bonjour,

Voici les différents rapports suite aux manipulations requises:
- pour commencer, Roguekiller:
https://www.cjoint.com/c/IBlmB0g4Jlu

- ensuite, Junkware Removal Tool:
https://www.cjoint.com/c/IBlmDeACGmu

- puis le scan SFT:
https://www.cjoint.com/c/IBlmEAy4jvu

- après, il y a le nouveau scan Malwarebytes:
https://www.cjoint.com/c/IBlmF2vLu7u

- et le nouveau scan ZHPDiag:
https://www.cjoint.com/c/IBlmHxOfo0u

- enfin, il y a les trois rapports FRST:
https://www.cjoint.com/c/IBlmJfhiY1u
https://www.cjoint.com/c/IBlmKXpIKou
https://www.cjoint.com/c/IBlmLCH8M7u

En revanche, je n'ai pas toujours été très rigoureux sur le partage cjoint, oubliant parfois de cocher privé/21 jours lors de la transmission de documents (je n'ai jamais indiqué mon mail pour gérer ces docs non plus d'ailleurs...); cela pose-t-il un gros problème?

Bien à vous
#227750
Hello
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Non, personne ne peut tirer profit de ces rapports. Vous n' étes pas le seul dans ce cas .
Ne craignez rien .

*************************************************

ENREGISTREMENT[/b] du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

Image

=> Surlignez tout ci dessous ( commence par Script ZHPFix et fini par fin) puis clic droit / Copier





Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
IntegrityChecksFix
O23 - Service: ZjE1YzQ0OTk1NTI1ZGJk (ZjE1YzQ0OTk1NTI1ZGJk) . (...) - C:\Program Files\ZjE1YzQ0OTk1NTI1ZGJk\ODVjOGY3MjY1Y.exe (.not file.)
SR - Auto [00/00/0000] [ 0] ZjE1YzQ0OTk1NTI1ZGJk (ZjE1YzQ0OTk1NTI1ZGJk) . (...) - C:\Program Files\ZjE1YzQ0OTk1NTI1ZGJk\ODVjOGY3MjY1Y.exe (.not file.)
HKLM\SOFTWARE\McAfee
O43 - CFD: 02/12/2017 - [] D -- C:\ProgramData\McAfee
Fin


Image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager


…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton Image

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif Image


Image

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!

Image
……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque

.....................................

A vous lire Image

***************************************************************************************************
Puis

  • Voici un correctif avec FRST
Image Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.

  • Desactivez votre antivirus le temps de la correction .
Copiez tout ceci , surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::)


start::
CreateRestorePoint:
CloseProcesses:
O23 - Service: ZjE1YzQ0OTk1NTI1ZGJk (ZjE1YzQ0OTk1NTI1ZGJk) . (...) - C:\Program Files\ZjE1YzQ0OTk1NTI1ZGJk\ODVjOGY3MjY1Y.exe (.not file.)
SR - Auto [00/00/0000] [ 0] ZjE1YzQ0OTk1NTI1ZGJk (ZjE1YzQ0OTk1NTI1ZGJk) . (...) - C:\Program Files\ZjE1YzQ0OTk1NTI1ZGJk\ODVjOGY3MjY1Y.exe (.not file.)
HKLM\SOFTWARE\McAfee
O43 - CFD: 02/12/2017 - [] D -- C:\ProgramData\McAfee
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-325385666-3658490265-3496711499-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin-x32: @Nero.com/KM -> C:\Program Files (x86)\Common Files\Nero\BrowserPlugin\npBrowserPlugin.dll [Pas de fichier]
S2 ZjE1YzQ0OTk1NTI1ZGJk; "C:\Program Files\ZjE1YzQ0OTk1NTI1ZGJk\ODVjOGY3MjY1Y.exe" [X]
S1 MjE0MTN; \??\C:\Windows\system32\drivers\MjE0MTN [X]
CustomCLSID: HKU\S-1-5-21-325385666-3658490265-3496711499-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Damien\AppData\Local\Microsoft\OneDrive\18.111.0603.0006\amd64\FileSyncShell64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-325385666-3658490265-3496711499-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Damien\AppData\Local\Microsoft\OneDrive\18.111.0603.0006\amd64\FileSyncShell64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-325385666-3658490265-3496711499-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Damien\AppData\Local\Microsoft\OneDrive\18.111.0603.0006\amd64\FileSyncShell64.dll => Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Pas de fichier
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Pas de fichier
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Pas de fichier
Task: {58DEDC83-7B53-4090-9BCE-A829D55EB13F} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: C:\Windows\Tasks\WpsExternal_20161111081738.job => C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe
Task: C:\Windows\Tasks\WpsKtpcntrQingTask_Administrator.job => C:\Program Files (x86)\Kingsoft\WPS Office\10.1.0.5644\office6\ktpcntr.exeÃqing 10.1.0.5644 xxx server_url=hxxp:/kdl1.cache.wps.com/ksodl/wpscfg/client/____client____html____service____bubble.html ic_server_url=hxxp:/info.kingsoftstore.com/wpsv6internet/infos.ads
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assistant Mise à jour de Windows 10.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visionneuse Microsoft PowerPoint .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outils Microsoft Office 2016\Centre de téléchargement Office.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero ControlCenter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICEpower\AudioWizard\AudioWizard.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\USB Charger Plus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\ABBYY FineReader 6.0 Sprint.lnk
C:\Users\Damien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera Mail.lnk
C:\Users\Damien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\920d2757409c8a7a\ASUS GIFTBOX.lnk
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk
C:\Users\Damien\AppData\Roaming\ZHP\Quarantine\ZHPFix\File\File15___Vuze Downloads.
Hosts:
EmptyTemp:
RemoveProxy:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::



Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant la fleche dans la fenetre rectangulaire, puis clic droit/ coller

Cliquez sur CORRIGER puis validez le Disclaimer par "Ok"

Image

Laissez le travailler, cela peut durer un certain temps. Image

Postez le rapport Fixlog.txt quand celui ci est disponible.
Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

.........................

Comment tourne la machine ?
#227751
Hello!

Voici les compte-rendus:
- après le correctif de ZHPFix:
https://www.cjoint.com/c/IBlqS60ByMp

(le programme ne m'a pas demandé de redémarrer)

- et celui de FRST:
https://www.cjoint.com/c/IBlqU76rNNp

(qui a engendré un redémarrage)

En ce qui concerne la machine, j'ai l'impression que les divers correctifs apportés et les manipulations prodiguées par vos soins lui ont fait beaucoup de bien, en dehors du nettoyage: la mise en route et la sortie de veille (qui ne prenait pas beaucoup de temps, je dois bien l'admettre) se font dorénavant en une fraction de seconde (honnêtement, je me demande même si c'était aussi rapide aux premières heures d'utilisation)!
Peut-être le navigateur est-il un peu moins rapide et j'ai eu quelques difficultés à télécharger certains programmes requis pour le nettoyage (Kapersky surtout) mais peut-être est-ce dû à ma connexion (wi-fi) et au débit du coin qui n'excelle pas particulièrement pour de l'adsl.
En outre, la mise à jour windows rencontre toujours des problèmes mais entre un fonctionnement qui rallume l'ordi n'importe quand et qui le fait redémarrer alors qu'on est en pleine session de travail; et un problème de connexion, je crois que je préfère ça finalement.

Autrement j'ai été un peu surpris du démarrage en safe mode: j'avais le souvenir d'écran noir et d'icônes horribles; dorénavant, le bureau ressemble ni plus ni moins à celui du démarrage normal (fond d'écran compris)!

Je voulais savoir si vous pouviez m'expliquer ce qu'est le "rootkit" et son importance dans le système car c'est un terme qui m'est totalement inconnu (mes connaissances en informatique sont très limitées mais le reste du vocable, sans m'être familier, ne m'était pas forcément étranger).

J'espère en tout cas que le nettoyage se passe bien; votre aide m'est très précieuse! Merci encore!
:merci2:
#227752
Hello

Nous avons pratiquement terminé la désinfection, mais par précaution pouvez vous refaire un scan avec ZHPDiag.

Pour les Rootkits, mieux qu' un long discours =>
https://www.kaspersky.fr/blog/quest-ce- ... otkit/750/

Si vous souhaitez contrôler vos clés et DD externe, nous pouvons utiliser un logiciel en ligne mais le temps du scan prend plusieurs heures, à vous de me dire si vous le souhaitez.

Dans l' attente du rapport ZHPDiag.
.
#227753
Et voilà:

le nouveau ZHPDiag:
https://www.cjoint.com/c/IBls362ueCg

J'ai consulté votre lien concernant les rootkits et du coup, une question vient à moi (dont le lien de cause à effet m'apparaissait probable): le soir du piratage que j'ai connu, ma femme et moi avons connu une tentative de fraude sur nos CB respectives par le biais d'un code de confirmation envoyé par notre banque. Pourtant, je n'ai pas utilisé sa carte via mon pc mais ma tablette, les deux transactions n'ayant été faites que sur un seul site, AirBnb. Pensez-vous qu'une récupération de ces données aurait été possible via mon pc?

Bien à vous
#227754
Bonsoir
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Pour le moment je vous mets en Stand bye , j' ai besoin d' un renseignement sur une commande de l'outil avec Nicolas Coolman.

Je pense que je reviendrai vers vous demain.

Bonne soirée à vous.
.
#227755
Hello dam1en

Vous allez supprimer tout ce qui concerne les ZHP .... sur le bureau.

Puis faire ceci:
Touches Windows Image + R , tapez ou Copiez/Collez cmd /c rd /s /q %appdata%\zhp puis validez par un clic sur OK

C' est très furtif

Ensuite téléchargez ZHPFIX2 : ICI

ENREGISTREMENT[/b] du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un autre nettoyage

Image

=> Surlignez tout ci dessous ( commence par Script ZHPFix et fini par fin) puis clic droit / Copier





Script ZHPFix

IntegrityChecksFix

Fin


Image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager


…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton Image

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif Image


Image

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!

Image
……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque

.....................................

pas de nouvelles arrêt de la prise en charg[…]

[El Magnifico] Fichiers indésirables

Hello Non seulement vous avez cracké Pho[…]

Bonjour, pouvez vous m'indiquez la marche a suivr[…]