FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par did80
#187686
salut

Télécharger CKScanner (de askey127)

CKScanner

Faites un double-clic sur CKScanner.exe pour lancer le programme.

(Sous Vista et ultérieur, faites un clic droit et choisissez "Exécuter en tant qu'administrateur")

Sur l'écran principal, cliquez sur le bouton "Search For Files".

Après un court laps de temps, une liste s'affiche dans la partie droite de l'image.
Cliquez sur le bouton "Save List to File", un message annonce que le fichier a été enregistré, cliquez sur "OK"

Cliquez sur le bouton "Exit" pour fermer le programme.
Le rapport CKFiles.txt est sur le bureau

Envoie le nous en l’hébergeant sur www.cjoint.com/


2/ ceci stp



télécharges WINCHK stp

WINCHK ICI

Tu double cliques dessus pour l'ouvrir
Tu cliques sur " exécuter "

3/
Télécharge zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/



Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher

http://zupimages.net/up/17/24/ih6p.png

http://zupimages.net/up/17/24/zaku.png


cliques sur scanner

http://zupimages.net/up/15/29/v2ib.png

cliques sur rapport


zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur http://www.cjoint.com

Image

1 parcourir : zhpdiag.txt sur le bureau

2 déposer

3 me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4

@+
Avatar du membre
par did80
#187692
re adam07

télécharges ZHPFIX

Si tu ne l'as pas


https://www.nicolascoolman.com/fr/download/zhpfix/



http://zupimages.net/up/17/30/kfzr.png






Sélectionne et copie les lignes suivantes



Script ZHPFix
G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://www.palikan.com/
O43 - CFD: 04/11/2015 - [] D -- C:\ProgramData\WindowsPerformanceRecorder
C:\ProgramData\WindowsPerformanceRecorder
C:\Users\Bbox\AppData\Roaming\BestFudnilgin.exe
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C739BB0-C540-4D12-AEB0-831C552CAD7E}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0C739BB0-C540-4D12-AEB0-831C552CAD7E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C739BB0-C540-4D12-AEB0-831C552CAD7E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0C739BB0-C540-4D12-AEB0-831C552CAD7E}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EC1D927-CCAE-44C5-8342-BBE733A3B363}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1EC1D927-CCAE-44C5-8342-BBE733A3B363}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EC1D927-CCAE-44C5-8342-BBE733A3B363}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1EC1D927-CCAE-44C5-8342-BBE733A3B363}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34BA7165-FE11-4021-9AB7-E660DFF6C6FC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{34BA7165-FE11-4021-9AB7-E660DFF6C6FC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34BA7165-FE11-4021-9AB7-E660DFF6C6FC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{34BA7165-FE11-4021-9AB7-E660DFF6C6FC}
C:\Windows\System32\Tasks\{FF6A8CE1-1063-49A7-9197-C396BD21D9D4}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5BB9009F-D75F-4B0C-A021-926BCB2470EA}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5BB9009F-D75F-4B0C-A021-926BCB2470EA}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5BB9009F-D75F-4B0C-A021-926BCB2470EA}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5BB9009F-D75F-4B0C-A021-926BCB2470EA}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8540AD68-3CA5-4E97-91D8-DF45D9A25DAC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8540AD68-3CA5-4E97-91D8-DF45D9A25DAC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8540AD68-3CA5-4E97-91D8-DF45D9A25DAC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8540AD68-3CA5-4E97-91D8-DF45D9A25DAC}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{948B5FD6-D72C-4347-938E-7B8179393647}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{948B5FD6-D72C-4347-938E-7B8179393647}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{948B5FD6-D72C-4347-938E-7B8179393647}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{948B5FD6-D72C-4347-938E-7B8179393647}
C:\Windows\System32\Tasks\{7E2C32F2-3C4D-42C9-9170-E8F84A032F2B}
HKCU\SOFTWARE\undefined
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} <== Reinstall Software WinRAR32
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
HKLM\Software\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}
HKLM\Software\WOW6432Node\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} <== Reinstall Software igfxcui
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} <== Reinstall Software WinRAR32
HKLM\SOFTWARE\Microsoft\Tracing\Plumbytes_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\Plumbytes_RASMANCS
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\AVG Shredder Shell Extension
HKLM\Software\Classes\CLSID\{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
HKLM\Software\Wow6432Node\Classes\CLSID\{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\AVG Disk Space Explorer Shell Extension
HKLM\Software\Classes\CLSID\{4838CD50-7E5D-4811-9B17-C47A85539F28}
HKLM\Software\Wow6432Node\Classes\CLSID\{4838CD50-7E5D-4811-9B17-C47A85539F28}
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\AVG Shredder Shell Extension
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\WOW6432Node\Microsoft\Tracing\Plumbytes_RASAPI32
HKLM\Software\WOW6432Node\Microsoft\Tracing\Plumbytes_RASMANCS



SysRestore
FirewallRaz
EmptyPrefetch
EmptyCLSID
EmptyFlash
Emptytemp
ShortcutFix


Lance ZHPFIX


colles les lignes dans le cadre blanc

http://zupimages.net/up/17/30/2lba.png


tu supprimes avec le bouton GO


http://zupimages.net/up/17/30/2xco.png



copies colles le rapport

qui est sur ton bureau ou C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt

@+
Avatar du membre
par did80
#187710
salut adam07

ceci stp

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan


http://zupimages.net/viewer.php?id=17/50/2yna.png



L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens


Dans l'attente de tes3 rapports

Didier
Avatar du membre
par did80
#187723
re adam07

Lance Farbar

http://zupimages.net/up/17/31/cqay.png

Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3793571932-589076153-2217863844-1000\...\MountPoints2: F - F:\Setup.exe
HKU\S-1-5-21-3793571932-589076153-2217863844-1000\...\MountPoints2: {58bc564b-03c7-11e6-bba3-448a5b81f9f3} - F:\Setup.exe
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-3793571932-589076153-2217863844-1003\User: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3793571932-589076153-2217863844-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-3793571932-589076153-2217863844-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3793571932-589076153-2217863844-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3793571932-589076153-2217863844-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [emhginjpijfggbofeediiojmdlmlkoik] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
R3 ALSysIO; \??\C:\Users\Bbox\AppData\Local\Temp\ALSysIO64.sys [X] <==== ATTENTION
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier





EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par did80
#187753
salut adam

ceci stp

Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


executer en tant qu'administrateur


Scanner
puis cliques sur nettoyer

http://zupimages.net/up/15/20/t6f1.png



Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

héberge le rapport sur www.cjoint.com/ si volumineux

Didier
Avatar du membre
par did80
#187758
re

Télécharger kapersky removal tool


https://www.sosvirus.net/telecharger/kaspersky-virus-removal-tool/


https://support.kaspersky.com/fr/viruses/kvrt2015


mettre sur le bureau KVRT.exe

désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation

parametrer

http://zupimages.net/viewer.php?id=17/44/idpz.png

http://zupimages.net/up/17/44/idpz.png



lancer le scan



http://zupimages.net/up/15/31/59zq.png



Scanner



http://zupimages.net/up/15/31/zl4d.png


Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.




kapersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.


l'outil signale si une infection est trouvée et la réparation est lancée automatiquement

@+
Avatar du membre
par did80
#187779
re adam

ceci stp

Télécharger MBAR

Malwarebytes antirootkit beta

https://www.malwarebytes.com/antirootkit/

Après décompression

http://zupimages.net/viewer.php?id=17/47/vta2.png][img]http://zupimages.net/up/17/47/vta2.png

http://zupimages.net/viewer.php?id=17/47/aemx.png][img]http://zupimages.net/up/17/47/aemx.png

cliquez sur update pour mettre a jour

puis sur next

parametrer

http://zupimages.net/viewer.php?id=17/47/kja9.png][img]http://zupimages.net/up/17/47/kja9.png


lancer le scan

a la fin du scan il faut faire un cleanup si l'outil a trouvé des infections

@+
Avatar du membre
par adam07
#187784
slt didier,
scan MBAR effectué, aucune menace détectée.
(je n'ai pas pu faire la update avant de lancer le scan car mon PC ne peut plus se connecter depuis le début de l'infection).
merci ;)
Avatar du membre
par did80
#187788
salut adam

pour internet

Réinitialisation des paramètres de connexion :


Ouvre une invite de commande en tant qu'administrateur


demarrer executer cmd

cmd


ipconfig /flushdns
netsh winsock reset
netsh winhttp reset proxy
netsh winhttp reset tracing
netsh winsock reset catalog
netsh int ipv4 reset catalog
netsh int ipv6 reset catalog

valides ok aprés chaque commande

Tu redémarres le PC.

@+
Avatar du membre
par did80
#187803
fais ceci au cas ou



Tu peux brancher tes disques durs externes.
Tu vas faire un scan ESET ON LINE

http://www.eset.com/fr/home/products/online-scanner/

aide: https://forum.pcastuces.com/sujet.asp?f=25&s=73761

il n'y a pas de rapport si rien n'est trouvé

dans le cas contraire postes le rapport
Avatar du membre
par adam07
#187842
Re Didier,
J'ai compris comment faire le scan en ligne mais j'ai plus de connexion sur mon PC!
Comment faire?
J'ai pas compris quand tu m'as dit :''Tu peux brancher tes disques durs externes''.
Merci ;)
Micro freeze w10

Bonjour, alors voila le problème, depuis 2 […]

Bonjour, tu peux regarder cet article comparatif s[…]

Bonjour comme je l’ai dit mon nouveau pc c[…]