Hello
Un bon nettoyage de la machine est nécessaire, pour ce faire nous allons utiliser plusieurs outils !
Avez vous créé un point de restauration ? à faire !
Si votre navigateur est Google Chrome => désactivez toute synchronisation
ICI
Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports.
N'utilisez pas d'autres outils de votre propre initiative !
=> Avant d' utiliser tous les outils que l' on vous propose,
enregistrez tous vos travaux en cours, à défaut vous perdrez tout votre travail en cours !
=> Je vous invite dans un premier temps à désinstaller ces programmes inutiles cités dans le caqre ,
sauf votre avis contraire !
Pour obtenir directement l'accés à ces programmes :
Touches
Windows 
+
R , tapez ou Copiez / Collez
appwiz.cpl puis validez par un clic sur OK
=> 7-Zip 16.00
=> Ad-Aware Web Companion
=> Adobe AIR
=> Avast Secure Browser
=> Bonjour (Inutile)
=> CyberLink ( si vous n' en avez pas l' utiliter)
=> Dropbox (sauf si vous synchronisez avec)
=> Java
=> McAfee Security Scan Plus
=> Mozilla Maintenance Service (Inutile)
=> QuickTime
=> TeamViewer(pas à jour)
- Desactivez votre antivirus le temps du telechargement et de la correction .
Après désinstallation des programmes. On attaque dans l’ dur 
Touches
Windows +
R , tapez ou Copiez/Collez
cmd /c rd /s /q %appdata%\zhp puis validez par un clic sur OK
ZHPFix (de Nicolas Coolman)
1) INSTALLATION de ZHPFix
Téléchargez ZHPFix sur le bureau
, puis cliquez sur le (
bouton bleu) "
Download Now"et enregistrez le sur votre
Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours :
Blog US ou
ICI
2) ENREGISTREMENT du scriptZHPfix pour correctif.
• Avec ce correctif nous allons effectuer un premier nettoyage
=> Surlignez tout ci dessous (
commence par Script ZHPFix et fini par fin) puis clic droit / Copier
Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
O42 - Logiciel: QuickTime - (.Apple Inc..) [HKLM][64Bits] -- {95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
O90 - PUC: "AA098A591B3B6B44C9818A7FBAE37ECF" [HKLM] . (.QuickTime.) -- C:\WINDOWS\Installer\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}\Installer.ico
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
O43 - CFD: 28/02/2017 - [0] D -- C:\Users\Sylvain\AppData\LocalLow\uTorrent
O108 - CMH1: IObit Malware Fighter [64Bits] - . (.Orphan.)
O108 - CMH4: IObit Malware Fighter [64Bits] - . (.Orphan.)
O87 - FAEL: "TCP Query User{AE32FC27-3AF7-42FA-909A-69450EDF3E08}C:\program files\blackmagic design\davinci resolve\dpdecoder.exe" [In-None-P6-TRUE] .(...) -- C:\program files\blackmagic design\davinci resolve\dpdecoder.exe (.not file.)
O87 - FAEL: "UDP Query User{ACE91A2F-56A5-4702-8772-9837BE118DE2}C:\program files\blackmagic design\davinci resolve\dpdecoder.exe" [In-None-P17-TRUE] .(...) -- C:\program files\blackmagic design\davinci resolve\dpdecoder.exe (.not file.)
O87 - FAEL: "TCP Query User{E290068E-2BA8-488D-A4C4-8F2C9521EEA5}C:\program files\blackmagic design\davinci resolve\resolve.exe" [In-None-P6-TRUE] .(...) -- C:\program files\blackmagic design\davinci resolve\resolve.exe (.not file.)
O87 - FAEL: "UDP Query User{1441ED64-3E04-4E4A-8C11-3F8AF17ECE96}C:\program files\blackmagic design\davinci resolve\resolve.exe" [In-None-P17-TRUE] .(...) -- C:\program files\blackmagic design\davinci resolve\resolve.exe (.not file.)
O87 - FAEL: "TCP Query User{C0ABF67E-7D81-477F-A67B-31E1410021AB}C:\program files\blackmagic design\davinci resolve\fuscript.exe" [In-None-P6-TRUE] .(...) -- C:\program files\blackmagic design\davinci resolve\fuscript.exe (.not file.)
O87 - FAEL: "UDP Query User{3C1D1ACF-CB84-422F-923A-70B52ADC5D57}C:\program files\blackmagic design\davinci resolve\fuscript.exe" [In-None-P17-TRUE] .(...) -- C:\program files\blackmagic design\davinci resolve\fuscript.exe (.not file.)
[MD5.6F3040AF8D026332BEE88F937965215A] [WIS][2017/01/04 18:58:42] (.SlimWare Utilities, Inc. - Scans your computer for errors that could i.) -- C:\WINDOWS\Installer\24303836.msi [27901952]
[MD5.F9FD1AB516C661D9938213AA661350B7] [WIS][2016/08/02 07:49:06] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\15f5654b.msp [1511424]
[MD5.50A28B22FFDE4D837B145DB7A22E94C5] [WIS][2016/05/09 23:20:29] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\1823d29.msp [58986496]
[MD5.C233BD1DB45AF8BACD0F3C0D8A646740] [WIS][2016/05/18 23:30:11] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\2169f9f5.msp [1429504]
[MD5.557170C4FCC0754B372A5FC174735242] [WIS][2016/06/02 00:48:41] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\29348dcc.msp [2772992]
[MD5.4DD6787FB27578C1E064077A3DFC0961] [WIS][2015/12/18 13:15:15] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\29e63663.msp [64229376]
[MD5.339631DF934AFC2BE35E2B27A6F7DB06] [WIS][2016/11/03 03:25:06] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\5a6429e6.msp [1642496]
[MD5.4D64DE5B41C39FA6192C22CBCD826FBA] [WIS][2016/10/10 03:29:03] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\7116cfe1.msp [36499456]
[MD5.53B0FC6601C0D177F230AC4FF04C5C32] [WIS][2016/03/07 23:45:46] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\74f509.msp [64245760]
[MD5.BD4423645209FA4CE380C43C1633F4E4] [WIS][2016/07/11 23:25:29] (.Adobe Systems, Incorporated.) -- C:\WINDOWS\Installer\f634f.msp [39538688]
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\IObit Malware Fighter
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\IObit Malware Fighter
C:\WINDOWS\Installer\24303836.msi
C:\WINDOWS\Installer\15f5654b.msp
C:\WINDOWS\Installer\1823d29.msp
C:\WINDOWS\Installer\2169f9f5.msp
C:\WINDOWS\Installer\29348dcc.msp
C:\WINDOWS\Installer\29e63663.msp
C:\WINDOWS\Installer\5a6429e6.msp
C:\WINDOWS\Installer\7116cfe1.msp
C:\WINDOWS\Installer\74f509.msp
C:\WINDOWS\Installer\f634f.msp
C:\Users\Sylvain\AppData\Local\Google\Chrome\User Data\Default\File System\008
C:\Users\Sylvain\AppData\Local\Google\Chrome\User Data\Default\File System\009
C:\Users\Sylvain\AppData\Local\Google\Chrome\User Data\Default\File System\010
C:\Users\Sylvain\AppData\Local\Google\Chrome\User Data\Default\File System\011
O53 - SMSR:HKLM\...\startupreg\StartCCC [Key] [64Bits] . (...) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe (.not file.)
HKLM\SOFTWARE\Avg
HKLM\SOFTWARE\WOW6432Node\Avg
O43 - CFD: 24/01/2015 - [] D -- C:\ProgramData\AVG
O43 - CFD: 01/02/2015 - [] D -- C:\ProgramData\MFAData
O43 - CFD: 24/01/2015 - [] D -- C:\Users\Sylvain\AppData\Roaming\AVG
O43 - CFD: 24/01/2015 - [] D -- C:\Users\Sylvain\AppData\Local\Avg
O43 - CFD: 22/11/2014 - [] D -- C:\Users\Sylvain\AppData\Local\MFAData
O58 - SDL:2018/05/02 18:11:07 A . (...) -- C:\WINDOWS\System32\drivers\lpsport.sys [61304]
O58 - SDL:2017/12/21 21:07:18 A . (...) -- C:\WINDOWS\System32\drivers\staport.sys [45704]
O23 - Service: LiveUpdate (LiveUpdateSvc) . (.IObit - Product Updater.) - C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe
SR - Auto [08/08/2015] [ 2909472] LiveUpdate (LiveUpdateSvc) . (.IObit.) - C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe
[MD5.337FA50FFDED5E2BC94B36BF625AB681] - (.IObit - Product Updater.) -- C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472] [PID.3108]
O4 - GS\TaskBar [Administrateur]: Driver Booster 2.lnk . (...) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
O4 - GS\TaskBar [Sylvain]: Driver Booster 2.lnk . (...) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
O4 - GS\TaskBar [WDAGUtilityAccount]: Driver Booster 2.lnk . (...) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
HKLM\SOFTWARE\IObit
HKLM\SOFTWARE\WOW6432Node\IObit
O43 - CFD: 24/08/2018 - [] D -- C:\Program Files (x86)\IObit
O43 - CFD: 03/09/2018 - [] D -- C:\ProgramData\IObit
O43 - CFD: 03/09/2018 - [] D -- C:\Users\Sylvain\AppData\Roaming\IObit
O43 - CFD: 18/04/2018 - [] D -- C:\Users\Sylvain\AppData\LocalLow\IObit
O108 - CMH1: IObit Malware Fighter [64Bits] - . (.Orphan.)
O108 - CMH4: IObit Malware Fighter [64Bits] - . (.Orphan.)
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\IObit Malware Fighter
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\IObit Malware Fighter
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\WOW6432Node\Symantec
HKCU\SOFTWARE\Symantec
HKU\S-1-5-21-1568993093-1613427294-323948901-1002\SOFTWARE\Symantec
O43 - CFD: 23/09/2012 - [] D -- C:\Program Files (x86)\SymSilent
O43 - CFD: 07/11/2014 - [] D -- C:\ProgramData\Norton
O43 - CFD: 23/09/2012 - [] D -- C:\ProgramData\NortonInstaller
O43 - CFD: 07/11/2014 - [0] D -- C:\Program Files (x86)\Common Files\Symantec Shared
O4 - GS\CommonDesktop [Public]: Wondershare Filmora.lnk . (.Wondershare Software - Wondershare Filmora.) C:\Program Files (x86)\Wondershare\Wondershare Filmora (FR)\Filmora.exe
HKLM\SOFTWARE\Wondershare
HKLM\SOFTWARE\WOW6432Node\Wondershare
HKCU\SOFTWARE\Wondershare
HKU\S-1-5-21-1568993093-1613427294-323948901-1002\SOFTWARE\Wondershare
O43 - CFD: 24/08/2018 - [] D -- C:\Program Files (x86)\Wondershare
O43 - CFD: 24/08/2018 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
O43 - CFD: 24/08/2018 - [] D -- C:\ProgramData\Wondershare
O43 - CFD: 24/08/2018 - [] D -- C:\ProgramData\Wondershare Video Editor
O43 - CFD: 24/08/2018 - [] D -- C:\Users\Sylvain\AppData\Local\Wondershare
Fin
Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager
…………………………………
3) EXECUTION du Nettoyage
Lancez ZHPFix ( clic droit en tant qu’ administrateur )
Cliquez sur le bouton
Le script apparait dans la fenetre
Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous
Cliquez sur le balai pour démarrer le correctif
Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!
……………………………………………
4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.
Le rapport
ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP
• Postez le rapport avec l’aide de Cjoint
La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :
https://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque
.....................................
A vous lire
***************************************************************************************************
- ZHPCleaner(de Nicolas Coolman)[/size]
Téléchargez (clic sur le
bouton bleu en dessous du compteur) =>
ZHPCleaner et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours :
Blog US
Si aucun des liens ne fonctionnent utilisez cette version :
ZHPCleaner
Cet outil puissant supprimera des malveillants présents dans la machine
Double cliquez sur ZHPCleaner pour l'exécuter.
Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.
Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.
• Démo animée =>
ICI
- Puis sur : Tout cocher / Fermer
- Pour exécuter une analyse , cliquez sur le bouton "Scanner".
La fonction Scanner ne supprime aucun élément de l'ordinateur.
La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.
L 'analyse s'effectue...patienter quelques minutes.
A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix
•
Le rapport se trouvera sur le bureau
En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.
Si des détections malveillantes sont mises en évidence cliquez sur le bouton "
Nettoyer".
Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur
Nettoyer
La réparation s'effectue...patienter quelques minutes.
Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.
• Le rapport
ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches
Windows +
R , tapez ou Copiez / Collez
%AppData% /ZHP puis validez par un clic sur OK
• Postez le rapport avec l’aide de Cjoint
La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :
https://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque
*****************************************************************************************************
Téléchargez MBAR sur votre bureau
ICI
Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.
Démo animée
ICI
Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.
·
Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.
· MBAR démarre. Cliquez sur "
Next" pour continuer.
· Cliquez sur l'écran suivant "
Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next
· Cochez les 3 cases –
Drivers-Sectors-System
· Une fois la mise à jour terminée, sélectionnez "
Scan"
· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "
Exit"
· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "
Cleanup" .
Dés que le “nettoyage” est terminé, un message s’affiche “
Cleanup scheduled successfully” ainsi qu’une fenêtre, Cliquez dans cette fenêtre sur “
Yes“
Votre ordinateur redémarre.
Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "Mbar-log- {date} (xx-xx-xx) .txt"
Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.
S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :
- Accès à Internet
- Mise à jour de Windows
- Pare-feu Windows
S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil «
FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire «
Plugins », puis redémarrez l’ordinateur.
Vérifiez que votre système fonctionne désormais normalement.
Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.
***************************************************************************************************
Téléchargez la derniere version AdwCleaner sur votre Bureau =>
.
(Enregistrer sous => bureau)
Attendre quelques secondes l' apparition de la fenetre de téléchargement.
Adwcleaner va rechercher les Adwares
Cliquez sur le programme pour l'exécuter.
Cliquez sur "J'accepte"
Cliquez sur "Settings" puis sous Display Language , choisir "Français"
Cliquez sur "Tableau de bord" puis sur
Analyser maintenant pour lancer l'analyse.
Si des détections malveillantes sont mises en évidence
Cliquer sur
Nettoyer et réparer .
L'utilitaire va fermer tous vos programmes pendant la suppression
Confirmez le Nettoyage et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.
- Tuto pour creer un lien avec Cjoint=>
Postez le rapport .
Note : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:
- Analyse: AdwCleaner[Sxxx].txt
- Nettoyage: AdwCleaner[Cxxx].txt
Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur
Exécuter quand même
Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)
En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil
Redemarrez la machine.
- Par did80
