FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[fab6322]

Bonjour,

Comme pour le post de pyschOo je pense qu'un bon nettoyage de printemps ne ferait pas de mal à mon vieux coucou   donc j'imagine qu'il faut que je suive les mêmes étapes que lui,j'attend votre confirmation.

Sinon j'ai un souci avec mon pare feu windows que je suis obligé d'activer systematiquement en manuel.

J'ai été voir dans "services" mais il est bien sur automatique,donc?

Voilà,bonne journée.

[fab6322]

J'ai quand même fait une analyse(pour peut-être t'avancer)avec ZHPdiag :

http://cjoint.com/?3HqrHEZaDsA

[g3n-h@ckm@n]

salut

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient. (jusqu'au redemarrage est le mieux pour la tranquilité)
Télécharger AdsFix ici :
http://www.telecharger.sosvirus.net/download/adsfix/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\AdsFix_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur "Options" puis sur "Désinstaller" pour le desinstaller totalement

[fab6322]

L'analyse s'est arretée à 90%,voià tous ce qui apparaissait à l'ecran :

éléments analysés :      modifiés:       infectés :
  139593                            26              105

Line 30740 (file"c:\users\utilisateur\desktop\adsFix.exe"):

error variable used without being declared .


Rapport : http://cjoint.com/?0HrmEkwxyhg

J'ai lu sur mon autre post(celui de ma compagne en faite) que tu lui demandais ce qui etait écrit entre les crochets sur la fenetre de progression,pour ma part je n'ai pas eu le temps de voir autre chose que ce que je t'indique precedement,ça me parait aller trés vite une fois à 90 %,je veux bien retenter une analyse si tu le désire?


Edit: j'ai fait une deuxiéme analyse pour tenter de voir ce qu'il s'affiche entre les crochets et ce coup là j'ai pu lire car cela ne sait pas totalement terminé pareil,

Rapport : http://cjoint.com/?0Hro66x0ck1

Donc toujours l'arrêt de l'analyse à 90%,

éléments analysés :      modifiés:       infectés :
  138110                        0                  37

Et entre les crochets : [vero/firefox/prefs.js]

Je vais faire une réinitialisation de Firefox,ensuite je dois faire une troisiéme analyse je suppose?

[g3n-h@ckm@n]

merci grace à toi j'ai pu apporter la correction necessaire au programme

[fab6322]

Euh de rien...mais en quoi j'ai pu t'aider?  

Sinon pour moi je dois faire quoi maintenant,une troisième analyse?

Edit :Troisiéme analyse avec Adsfix qui a été jusqu'à 100% cette fois ci,

Rapport : http://cjoint.com/?0HrxehQKrfv

Resultat nettoyage adwCleaner : http://cjoint.com/?0HrxFcCYWIB

J'attend l'aide de quelqu'un pour me dire si ce que je fais est bon et quoi faire d'autre.

Merci par avance.

[g3n-h@ckm@n]

bonsoir tu peux désinstalle HypeNet ?

[fab6322]

HypeNet?

ça me dis rien ce nom mais je vais chercher pour le desinstaller,tu as dû voir cela dans mes rapports?

Tu ne serais pas où il pourrait se trouver dans mon PC car là je ne trouve rien pour l'instant?

[g3n-h@ckm@n]

re

dans la liste des programmes installés non ?

[fab6322]

Non j'ai rien trouvé la dedans,en revanche,en cherchant partout dans mes rapports pour savoir où tu avais bien pu voir ça et j'ai vu sur le rapport ZHPdiag "C:\Program Files\HypeNet =>PUP.HypeNet^
"donc j'ai été voir là bas,je l'ai bien trouvé et supprimé,il était vide mais bon,j'espere que ce sera ok?

Il faut que je fasse quoi maintenant?

[g3n-h@ckm@n]

re

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[fab6322]

Salut,

Mise en quarantaine des 2 "infections" mais j'ai beau clicer sur Copier dans le Presse-papiers je n'ai pas de rapport qui s'affiche,quand je vais sur hisorique  je vois les 2 objets infectés mais pas moyen de les copier pour les mettre ici,je mets quand même une capture d'ecran : http://cjoint.com/?0HtpRkKPGD5

La seule chose qui apparait c'est une demande de redemarer mon pc pour finir d'effacer les objets infectés.

J'ai desinstallé MBAM ( redemaré mon PC),je le réinstalle et je recommence...

PS : Il n'y a pas(plus) de proposition de decochage "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium".

[fab6322]

Re,

Toujours pareil,avec un objet detecté supplementaire(PUP.Optional.IStartSurf)les 2 autres ont dû être effacé au redemarage PC.

Je tente en clicant sur "exporter le journal",je l'enregistre et te le mets ici :

http://cjoint.com/?0Htp3zgyJXQ

Dis moi si c'est ok ou si je suis vraiment bête. 

[g3n-h@ckm@n]

ton compte mail doit etre synchronisé avec chrome , c'est pas possible !!

[fab6322]

Alors là???

Que dois je faire pour le savoir?

Pourquoi y a un gros souci?

[g3n-h@ckm@n]

re

• Copie le script ci dessous :
  
  HKCU\Software
      HKCU\Software\AppDataLow /s
      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
      HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
      %Homedrive%\*
      %Homedrive%\*.
      %Homedrive%\Recycler\*.exe /s
      %Homedrive%\Recycler\*.scr /s
      %Homedrive%\Recycler\*.pif /s
      %Homedrive%\Recycler\*.vb* /s
      %Homedrive%\$Recycle.bin\*.exe /s
      %Homedrive%\$Recycle.bin\*.scr /s
      %Homedrive%\$Recycle.bin\*.pif /s
      %Homedrive%\$Recycle.bin\*.vb* /s
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\*
      %Userprofile%\Local Settings\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programFiles%\*.
      %programfiles%\Google\Desktop\*.
      %ProgramFiles%\Common Files\*.
      %ProgramFiles(X86)%\Common Files\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\PSS\* /s
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\syswow64\Tasks\*
      %systemroot%\syswow64\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Aide : Comment héberger un fichier sur SOSUpload ?
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[fab6322]

Salut,

Donc pendant le scan il y a eu cela (une capture d'ecran) : http://cjoint.com/?0HumGUgAilT

Et le temps que je fasse la capture le scan est reparti.

Rapports : http://upload.sosvirus.net/www/?a=di=qD0DyLaEQJ

http://upload.sosvirus.net/www/?a=di=LtcMLg4ixS

[g3n-h@ckm@n]

le extras il est à coté de l'executable c'est pas le bon que tu m'as donné

tu l'as pas executé du bureau comme demandé : Folder = C:\Users\vero\Downloads

[fab6322]

re,

Du bureau non car il n'y est pas je vais le copier/coller sur mon bureau et l'executer en tant qu'administrateur et recommencer l'analyse.

[fab6322]

Rapports : http://cjoint.com/?0Huqkobx0UI

              http://cjoint.com/?0HuqlklC350

J'ai encore ça : Folder = C:\Users\vero\Downloads

J'espere que c'est ok ce coup là   sinon explique moi ce que je ne fais pas parce que là je pige pas?

Quand je l'ai telechargé il ne s'est pas mis sur mon bureau et il ne m'a pas demandé de cocher quelque chose pour le mettre sur le bureau,je dois aller le chercher dans download pour m'en servir,à part là car j'ai copié l'icone dans download pour le coller sur mon bureau mais bon cela ne change rien on dirait...

Dis moi sinon je le desinstalle est recommence.

[g3n-h@ckm@n]

ben non , t'as fait clic droit " envoyer vers bureau" ce qui a créé un raccourci , il faut le couper/coller

[fab6322]

En couper/coller : http://cjoint.com/?0HussgVctaF

http://cjoint.com/?0HussXlgX7Y

[fab6322]

Bonsoir,

Pas de nouvelles?

On arrête là?

[g3n-h@ckm@n]

bonsoir non mais très pris donc pas dispo 24/24 ^^

tu me fais un topo des soucis restants ?

[fab6322]

Donc les rapports étaient ok?

Bien si tu pense que mon PC est clean c'est bon pour moi,je dois passer à la finalisation c'est ça?

Si,j'ai toujours ce probléme de pare feu que je dois activer manuellement tous les jours,même en sortie de veille.

[g3n-h@ckm@n]

mmmm du coup tu me mets un doute passe cet outil

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[fab6322]

Voilà : http://cjoint.com/?3Hwn0zOOMWy

Edit :je viens de m'aperçevoir que des icones(aprés scan) sont apparu sur mon bureau   

http://cjoint.com/?3Hwofqoo4PS  ,bon rien de méchant je suppose j'ai juste à les supprimer, mais ça le secoue le PC ces scan  

[g3n-h@ckm@n]

c'est des raccourcis que le programme rajoute sur le bureau au cas où l'accès soit bloqué via le menu demarrer à cause d'un ransomware ou autre infection du style )

on a du mieux ?

[fab6322]

Ah ok.

Ben rien de moins rien de +  

Pour le pare feu,idem.

Au faite je peux(dois) desinstaller OTL,ZHPdiag,ZHPfix et Pre_scan ou je les garde encoe un peu?

Adwcleaner,je le garde lui en complement de ccleaner et MBAM?

[g3n-h@ckm@n]

non , on ne garde aucun outil dans le pc ils sont très vite obsolètes ,( mais laisse pour l instant on virera tout à la fin on ne gardera que malwarebytes qui contient une possibilité de mide à jour manuelle) adwcleaner par exemple est mis àjour deux fois par semaine donc dans deux/troi jours la version que tu as là , si ca se trouve que Mathieu l'ait mis à jour , ben elle te servira plus à rien , les infection évoluent trop vite.

fais ceci j'aimerais verifier des infos de services que je n'ai pas dans les autres diags :

Télécharge QuickDiag : http://www.aht.li/2448447/QuickDiag.exe

Enregistre-le sur ton bureau.
Lance-le , clique sur "Extended" et heberge le rapport une fois l'analyse terninée , qui se trouvera sur le bureau du nom de QuickDiag_date_heure.txt , sur http://cjoint.com et donne le lien obtenu

Note : une copie se trouve également dans C:

[fab6322]

Salut,

J'ai eu cela au lancement : http://cjoint.com/?0HxlJUUleN0

Je dois peut-être desactiver mon ant-virus avant,non?

Et en insistant j'ai eu ça : http://cjoint.com/?0HxlTLGFf6o

Edit :J'ai desactivé avira,donc le rapport : http://cjoint.com/?0Hxm4eSh0ac

[g3n-h@ckm@n]

re

pourtant il semblerait que le parefeu soit fonctionnel , activé (R) , et en mode de démarrage automatique (2)

R2 - MpsSvc (Pare-feu Windows) - %SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork    


Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

Télécharge https://www.sosvirus.net/telecharger/otm/ OTM (OldTimer) sur ton Bureau :

Double-clique sur OTM.exe afin de le lancer. (clic droit "executer en tant qu'administrateur" pour Vista/7/8 )

Copie (Ctrl+C) le texte suivant ci-dessous :

:reg
[HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=DWORD:2
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\4b72bfb6-5ab6-4685-b5cb-c77b82825677]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{547E8A61-5DAC-4F0C-8211-78FDA265421}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8B439853-CA1A-4C5B-B2CF-222103D44E0}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B515A690-CC9D-434D-A29D-BFA1B28D2C3}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BC991E82-BB02-443D-B836-552A14F29BD2}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CE11E6C1-7CB5-48AF-A53E-6C98A27EABB6}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D2C1BB68-4B6C-47FF-B3DC-86E9B986936}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E5D7073E-601D-433A-9581-BABED2814A45}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FEC356F3-6FE9-4C58-AAA5-ABEF2E98652}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F403EAD6-878E-411D-87AC-D4AC2DB3F39D}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7555B87D-D711-48B2-B97D-04DF700652BA}]   
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\ForumerIT]
[HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\FVDToolbar]    
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\Microsoft\windows\CurrentVersion\Uninstall\7-Zip Packages]

:files
C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\Windows\DeleteOnReboot.bat    
C:\Users\postgres\Desktop\AD-R.lnk
C:\Windows\system32\${LOGFILE}

:commands
[emptytemp]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

Clique maintenant sur le bouton MoveIt! puis ferme OTM

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log

[fab6322]

Rapport : http://cjoint.com/?0HyakRQyEGJ

J'espere que c'est le bon?

[g3n-h@ckm@n]

impec , retente avec la derniere version maintenant ( on va y arriver )

http://www.aht.li/2159847/AdsFix.exe

[fab6322]

Voilà chef : http://cjoint.com/?0Hyn15M3SsI

[g3n-h@ckm@n]

bonsoir des soucis persistent ?

[fab6322]

Bonsoir,

Pour le pare feu oui je l'active toujours en manuel   

Mais bon t'embête pas plus je vais essayer de trouver par moi même

Tu as deja beaucoup donné,UN GRAND MERCI à toi.

[g3n-h@ckm@n]

ta version d'avira c'est la payante ou la gratuite ?

[fab6322]

la gratuite,mais le probleme du pare feu est intervenu quand j'avais encore (il y a un peu moins d'un mois environ) le pack securité de chez sfr (f-secure),un jour il y a eu une notification en bas à droite au dessus de l'icone  anti-virus,j'ai pas eu le temps de lire,elle disparu aussi vite qu'elle était apparu,je me suis dit que c'était une mise à jour... et depuis le pare feu n'est plus automatique,cela fesait deja quelques temps que je voulais arreter avec sfr(l'anti-virus)et du coup je l'ai arreté et j'ai pris avira.

Quand je feuilleté les rapports que tu me demandais,je ne sais plus sur lequel mais il m'a semblait voir F-secure écrit quelque part,bizarre puisque je l'ai desinstaller,d'ailleurs ça me fait penser qu'il faut que je me desabonne de l'anti-virus en allant sur mon compte sfr ou en les appellant.(5 euros/mois je crois)

Voilà pour les détails.

[g3n-h@ckm@n]

hello

ah alors on a peut-être une autre piste

comment tu t'y es pris pour desinstaller cet antivirus ?