FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
#190894
Bonjour à tous,

Ici J.Underwood, je me permets de vous envoyer un message sur le forum, hier ne pouvant plus accéder à Mozilla Firefox parce qu'ils me bloquent toutes les pages (il me dit que les pages ne sont pas sécurisées), j'ai fait une analyse avec MBAM.

L'horreur: 316 menaces incompréhensibles, une invasion qui me choque, je ne sais pas du tout d'où ça vient.

Voici le rapport MBAM: https://cjoint.com/c/HGAjFz0mgGH

Pour le moment j'utilise internet explorer qui lui veut bien me laisser passer sur les pages internet, je vous écris de là du coup. MBAM me bloque les adware (car j'utilise la version premium d'essai).

Merci beaucoup pour votre aide, je vous avoue que je reste bouche-bée

Cordialement
#190895
salut ceci stp

Image Télécharger zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/

Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher

Image

Image


cliquer sur scanner

Image


cliques sur rapport


Le rapport zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur www.cjoint.com

Image

Me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4

2/
Image Télécharger FARBAR et l' enregistrer-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser


Image


L'outil va créer 3 rapports sur le bureau:
  • Frst.txt
    Addition.txt
    Shortcut.txt

Mettre les 3 rapports
Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+
#190898
Bonjour Did !

Tout d'abord merci pour ton aide, car je panique de voir tout ça !

Voici les liens:

ZHPDIAG: https://cjoint.com/c/HGAtcCK4YCH
Malwarebytes: https://cjoint.com/c/HGAtdgH5UwH
ADDITION: https://cjoint.com/c/HGAtd7vBdYH
FRST: https://cjoint.com/c/HGAteBiJViH
Shortcut: https://cjoint.com/c/HGAteY506wH

Dans l'attente de tes directives, passe une bonne soirée.

J.Underwood
#190899
re analyse ces dossiers apres les avoir compresser sue http://www.virustotal.com/


2018-07-25 22:12 - 2018-07-25 22:13 - 000000000 ____D C:\Users\Admin\AppData\LocalLow\fyRNiOkbjtlWy
2018-07-25 21:56 - 2018-07-26 18:28 - 000000000 ____D C:\Program Files (x86)\OLtNqItJU
2018-07-25 21:56 - 2018-07-26 15:32 - 000000000 ____D C:\Program Files (x86)\ToieOWbFGPddHwjSmTR
2018-07-25 21:56 - 2018-07-26 11:26 - 000000000 ____D C:\Program Files (x86)\hOIxokWFAIE
2018-07-25 21:56 - 2018-07-26 09:14 - 000000000 ____D C:\Program Files (x86)\DuEJSWCWcFPU2
2018-07-25 21:56 - 2018-07-26 09:06 - 000000000 ____D C:\Program Files (x86)\BhMfVnXUglKAC
2018-07-25 21:56 - 2018-07-25 21:56 - 000003212 _____ C:\WINDOWS\System32\Tasks\GlKDMdPrAbNjjw
2018-07-25 21:56 - 2018-07-25 21:56 - 000003044 _____ C:\WINDOWS\System32\Tasks\oCpMZTePKHusS2
2018-07-25 21:56 - 2018-07-25 21:56 - 000003034 _____ C:\WINDOWS\System32\Tasks\eWxOXMAMteIHfxpVS2
2018-07-25 21:56 - 2018-07-25 21:56 - 000003026 _____ C:\WINDOWS\System32\Tasks\ecTTtDfuXFhZVBKjsrf2
2018-07-25 21:56 - 2018-07-25 21:56 - 000003008 _____ C:\WINDOWS\System32\Tasks\WIMmOzGERWBhYqq2
2018-07-25 21:56 - 2018-07-25 21:56 - 000000000 ____D C:\ProgramData\XvGEGDYvPvqgwcVB
2018-07-25 21:56 - 2018-07-25 21:56 - 000000000 ____D C:\Program Files (x86)\rBGfZIfFCYUn

copies les rapports stp

http://zupimages.net/up/17/30/amtx.png

bonne soirée a toi aussi
#190902
Re,

https://www.virustotal.com/#/file/c5503 ... /detection
https://www.virustotal.com/#/file/5b228 ... /detection
https://www.virustotal.com/#/file/04152 ... /detection
https://www.virustotal.com/#/file/b2039 ... /detection
https://www.virustotal.com/#/file/0e896 ... /detection
https://www.virustotal.com/#/file/4b952 ... /detection

Celui-ci c'est considéré comme un gros trojan sur 38 anti-virus => https://www.virustotal.com/#/file/3de85 ... /detection

https://www.virustotal.com/#/file/cdf6c ... /detection
https://www.virustotal.com/#/file/036b7 ... /detection

Celui-ci c'est considéré comme un gros trojan sur 27 anti-virus => https://www.virustotal.com/#/file/f7882 ... /detection

https://www.virustotal.com/#/file/698ed ... /detection
https://www.virustotal.com/#/file/b6482 ... /detection

Celui-ci c'est considéré comme un gros trojan sur 12 anti-virus =>
https://www.virustotal.com/#/file/779f4 ... /detection


=> Pour information Did: Je les ai tous mis dans un dossier compressé .rar, par contre il y a évidemment les dossiers originaux qui sont restés actifs. Donc, sur mon bureau j'ai les dossiers que j'ai compressés qui m'ont permis d'analyser. Mais ils sont aussi dans les emplacements que tu m'as donnés. Je te dis juste ça pour info. :D


Merci pour ton aide, j'attends tes directives.

J.Underwood
#190904
salut J.Underwood
ceci stp

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe
C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe
HKU\S-1-5-21-532762885-270133051-936439358-1002\...\Run: [MailRuUpdater] => C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe [3585208 2018-07-25] (Mail.Ru) <==== ATTENTION
R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3585208 2018-07-25] (Mail.Ru) <==== ATTENTION
2018-07-25 21:55 - 2018-07-25 21:55 - 000003174 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
BHO-x32: YoutubeAdBlock -> {9F55829B-D24C-4F62-A4A5-729E53BCEA85} -> C:\Program Files (x86)\hOIxokWFAIE\ks0WLIY.dll => Pas de fichier
R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2018-07-25] (Mail.Ru) <==== ATTENTION
R2 mweshield; C:\Program Files\My Web Shield\mweshield.exe [931640 2016-08-31] ("My Web Shield") <==== ATTENTION
R2 mweshieldup; C:\Program Files\My Web Shield\mweshieldup.exe [348472 2016-08-31] ("My Web Shield") <==== ATTENTION
R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3585208 2018-07-25] (Mail.Ru) <==== ATTENTION
R1 mwescontroller; C:\WINDOWS\system32\drivers\mwescontroller.sys [57680 2016-08-31] () <==== ATTENTION
YoutubeAdBlock (HKLM-x32\...\1655C0CA-7AE7-4012-8502-970C8675E5F8) (Version: 2.0.0.590 - Company Inc.) <==== ATTENTION
?????? ??????????????? ?????????? ???????? (HKU\S-1-5-21-532762885-270133051-936439358-1002\...\MailRuUpdater) (Version: - Mail.Ru) <==== ATTENTION
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Pas de fichier
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {E38C629E-9656-4E85-B758-0BB915A54999} - System32\Tasks\MailRuUpdater => C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-07-25] (Mail.Ru) <==== ATTENTION
2018-07-25 21:56 - 2018-07-25 21:56 - 000000000 ____D C:\Program Files (x86)\rBGfZIfFCYUn
C:\Program Files (x86)\rBGfZIfFCYUn
2018-07-25 21:56 - 2018-07-25 21:56 - 000000000 ____D C:\ProgramData\XvGEGDYvPvqgwcVB
C:\ProgramData\XvGEGDYvPvqgwcVB
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mweshield
C:\Program Files\My Web Shield\mweshield.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mweshieldup
C:\Program Files\My Web Shield\mweshieldup.exe
C:\Program Files (x86)\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
DeleteKey: HKLM\Software\Classes\CLSID\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
C:\Program Files (x86)\hOIxokWFAIE\tBxAStke.dll
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mweshield
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\1655C0CA-7AE7-4012-8502-970C8675E5F8
DeleteKey: HKLM\SOFTWARE\ShmAddon
DeleteKey: HKLM\SOFTWARE\WOW6432Node\ShmAddon
C:\Program Files\My Web Shield
unlock: C:\WINDOWS\System32\drivers\mwescontroller.sys
C:\WINDOWS\System32\drivers\mwescontroller.sys
C:\Users\Admin\AppData\Local\Temp\8F61CF0E-948B-4933-9F17-785501FEB7E4\8F61CF0E-948B-4933-9F17-785501FEB7E4.exe
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
DeleteKey: HKLM\Software\WOW6432Node\Classes\CLSID\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9F55829B-D24C-4F62-A4A5-729E53BCEA85}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1655C0CA-7AE7-4012-8502-970C8675E5F8
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{40369812-21FB-4BE0-8508-387636F329D1}_is1
C:\Program Files (x86)\Up Pro
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Up Pro
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\CLSID\{0229E5E7-09E9-45CF-9228-0228EC7D5F17}
DeleteKey: HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\CLSID\{0229E5E7-09E9-45CF-9228-0228EC7D5F17}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\CLSID\{0229E5E7-09E9-45CF-9228-0228EC7D5F17}
DeleteKey: HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\CLSID\{0229E5E7-09E9-45CF-9228-0228EC7D5F17}
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\MEGA (Context menu)
DeleteKey: HKLM\Software\Classes\Drive\shellex\ContextMenuHandlers\MEGA (Context menu)



EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+

didier
#190905
Re,

Voici le rapport Fixlog: https://cjoint.com/c/HGBtmA1tMrH

Première question:
J'ai encore les fichiers compressés sur mon bureau, dois-je les supprimer en passant par la corbeille ou comment faire ?

Pour information: Quand je vais sur Mozilla Firefox, il ne me bloque plus les pages internet et je n'ai plus d'alerte Malwarabytes (pour le moment). Donc bonne nouvelle ! Mais je reste sur mes gardes, la prise en charge n'est pas terminée.

J'attends donc tes prochaines directives pour continuer tout ça, je suis concentré dessus.

Amicalement,
J.Underwood
#190906
re

pour ta question mets les a la corbeille pour l'instant

ceci maintenant

Image Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image



Image


Scanner

puis cliques sur nettoyer


Image



Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

héberger le rapport sur www.cjoint.com/ si volumineux

@+ didier
#190908
salut J.Underwood

laiise les dans la poubelle le temps de la désinf

on continue

Image Télécharger kapersky removal tool


https://www.sosvirus.net/telecharger/kaspersky-virus-removal-tool/



mettre sur le bureau KVRT.exe



désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation


parametrer


Image




lancer le scan

Image



Scanner

Image




Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.


il n'y a pas de rapport si l'outil ne trouve pas d'infection
Image


Delete : Supprimer le fichier
Quarantine : place le fichier en quarantaine.
Clique sur le bouton Continue




Kaspersky Virus Removal Tool propose ensuite de désinfecter l’ordinateur en redémarrant ce dernier : Disinfect and restart the computer
Note que tu as un bouton « Try to desinfect without computer restart » afin de tenter de supprimer les virus sans redémarrer l’ordinateur

Image


L’ordinateur va alors redémarrer, si tu obtient le message, ci-dessous, clique sur Exécuter

Image

didier
#190910
Bonjour Didier ! :)

J'ai fait ce que tu m'as dit, les 11 menaces ont été supprimées (j'ai dû sélectionner delete pour certaines d'entre elles)

KVRT ne m'a pas demandé si je voulais redémarrer, je l'ai fait manuellement. (En quittant l'application et en redémarrant)

KVRT ne m'a pas donné de rapport, pas en TXT. Du moins sur le bureau j'ai rien.

Je t'ai fait une impression écran du rapport interne du logiciel: https://www.casimages.com/i/180728022504682360.png.html (Post Scriptum: l'imprim écran est pas complet en haut, il manque 2 menaces mais tu as le principal. :D )

J.Underwood
#190912
Re,

Voici le rapport RoguerKiller: https://www.cjoint.com/c/HGCpw6V8NRH

Je n'ai rien supprimé par rapport aux menaces trouvées de RogueKiller, pour information.

Post Scriptum: J'ai BitDefender (en anti-virus payant), il s'est enclenché et a mis un virus en quarantaine tout seul à un moment après le scan. Pour Info. Je désespère, j'espère qu'on arrivera ensemble à tout éradiquer. :reflexion:

Cdlt,
J.Underwood
#190921
salut junderwood

tu ne m'as pas fait mbam?

firefox est infecté


Télécharger ResetBrowser

Image https://www.sosvirus.net/telecharger/resetbrowser/

Image

- En cliquant sur Réinitialiser
r, ces opérations seront faites :
  1. Sauvegarde des favoris et des mots de passes.
  2. Suppression des cookies, de l'historique, du cache et des fichiers temporaires.
  3. Suppression des toutes ses extensions.
  4. Suppression du navigateur.
  5. Réinstallation du navigateur.
  6. Rétablissement des favoris et des mots de passe
@+ didi
#190922
Re,

Encore 161 menaces: https://www.cjoint.com/c/HGDkO3DQl5H RAPPORT MBAM

Pour information: ma fenêtre MBAM avec les 161 menaces est encore ouverte, si je dois mettre tout en quarantaine, tu me le dis. Sinon si tu as une autre directive, je fermerai la fenêtre.

J'ai aussi réinitialisé firefox. Mais je crois avoir deux versions, comment je fais pour supprimer la première version qui est infectée ?

PS: Pour Mozilla Firefox, j'ai réussi à désinstaller la version infectée en passant par Ccleaner. Je crois que c'est bon. Car ton outil m'avait installé une version, il restait l'ancienne. ;)

Merci,
J.Underwood
#190944
salut J.Underwood

passe celui ci quand même il est très long



Tu peux brancher tes disques durs externes.
Tu vas faire un scan ESET ON LINE

http://www.eset.com/fr/home/products/online-scanner/

aide: https://forum.pcastuces.com/sujet.asp?f=25&s=73761

il n'y a pas de rapport si rien n'est trouvé

dans le cas contraire postes le rapport

nb fait attention de bien décocher la case "Supprimer les menaces détectées".

@+
#190948
salut J.Underwood

ceci pour finir stp

ImageTélécharges delfix pour désinstaller les outils de désinfection qui ne vont plus te
Servir puisque mis a jour régulièrement

DELFIX ICI


DelFix va supprimer les outils utilisés pour cette désinfection.

Téléchargez et enregistrez DelFix

Note: Le téléchargement démarre 5 secondes après avoir cliquer sur le lien.

Cliquez sur Delfix pour le lancer.

Vérifiez et cochez les cases : "Supprimer les outils de désinfections" et "Purger la restaurations système".

Cliquez ensuite sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
Postez par copier/coller le contenu du rapport qui s'est ouvert.

Image

didier :mv:
#190950
salut J.Underwood

supprime manuellement ce qui est en bleu si présents

après avoir afficher les dossiers cachés

C:\ FRST
C:\ Adwcleaner
C:\Users\***\AppData\Roaming\ ZHP
C:\ KVRT_Data

didier
#190951
Ola Didier,

C'est bon, ils étaient déjà supprimés en fait. :lol: J'ai peaufiné le nettoyage manuellement dans le dossier téléchargements notamment. :good:

Merci beaucoup pour la prise en charge, une excellente explication, c'était rapide et efficace ! Bravo Didier ! :good: :good: :good:

Bonne journée à tous !

Elevate your online presence with our expert wiki […]

Message d'erreur

Bonjour, Je viens de reconditionner un PC portable[…]

C'est formidable que l'édition gratuite de […]

La pharmacie en ligne Panda.Healthcare semble simp[…]