FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Etienne67]

Bonjour

Depuis le 28 février, mon proxy , ne me laisse plus la main sur 2 navigateurs Edge et Chrome. Par contre mon Firefox me donne accès à internet . Ce qui m'a permis de rentrer dans le monde des infections de tout poil

j'ai exécuté plusieurs fois FRST

j'ai des liens malekal

https://pjjoint.malekal.com/files.php?i ... 13b10t5y14
https://pjjoint.malekal.com/files.php?i ... u10s15q5r8
https://pjjoint.malekal.com/files.php?i ... 12v12o9b12

et ZHPDiag en Txt mais l'envoi n'est pas accepté


J'ai beau repérer des bizarreries , mais je commence a coincer

merci d'avance de votre aide

[did80]

pour quelles raisons tu ne peux pas envoyer le lien zhpdiag?

[Etienne67]

bonjour
merci d'avoir pris le soin de lire mon problème
le fichier" txt "ZHPDIAG , est impossible à joindre avec ce message , car en rouge, le forum indique que l'extension" txt "n'est pas autorisée".

j'en ai fait un PDF joint à ce message , mais l'extension pdf n'est pas autorisée aussi

il m'est impossible d'aller récupérer ce fichier:
file:///C:/Users/Etienne/AppData/Roaming/ZHP/ZHPDiag.html
dans l'arborescence

[did80]

zarbi

frst et addition.txt c'est ok

zhpdiag pas accepté

besoin de ce rapport

AIDE

Télécharges Zhpsuite sur ton bureau: Téléchargement ICI

• [ Si l'outil n'est pas sur le bureau mais dans le dossier téléchargement fais un couper/coller
  Cliques sur le bouton Télécharger ici]

• Cliques sur le fichier téléchargé pour éxécuter l'outil
• Un raccourci sera crée sur le bureau, le logiciel s'ouvre
• Accepte le Cluf

Dans les options decoche / coche comme indiqué ci-dessous puis ferme



Lance ensuite l'outil en cliquant sur analyse

• Ne pas interrompre l'outil
• Quand fin de recherche s'affiche un rapport zhpdiag.txt apparait sur le bureau
• Heberge le sur le site www.cjoint.com/
• Donne moi le lien fourni dans ton prochain message

héberge sur www.cjoint.com/

donne moi le lien

[Etienne67]

RE bonjour
finalement j'ai mis le rapport HTLM à la racine de mon nom de domaine pour une meilleur lisibilité de ce virus proxy

https://www.toctactic.com/fichier%20htl ... a%202.html

[Etienne67]

Re bonjour
Merci pour le schema protocole
Voici le lien tant attendu ....
https://www.cjoint.com/c/LCkmvtQvwOr

bonne reception

[did80]

re

1 pc par 1 pc sinon on va faire de la casse

pour le 1er

Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
Hosts:
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Image File execution Options\TEAMVIEWER.EXE
C:\Program Files (x86)\QuickTime
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1067497825-4042534287-322079916-1001\...\MountPoints2: {bef2bd55-ddf9-11e8-9bc1-806e6f6e6963} - "G:\AUTORUN.EXE"
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {2D240574-B95A-4EFD-92D0-C331C4CF2145} - System32\Tasks\AVG EUpdate Task => avgsetupx.exe /eu (Pas de fichier)
Task: {36602BBD-A710-4026-8572-414F1092483D} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Pas de fichier)
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
S1 netfilter2; system32\drivers\netfilter2.sys [X]
U4 npcap_wifi; pas de ImagePath
2022-03-09 00:21 - 2022-03-09 08:29 - 000091678 _____ C:\WINDOWS\ZAM.krnl.trace
2022-03-09 00:21 - 2022-03-09 08:29 - 000057221 _____ C:\WINDOWS\ZAM_Guard.krnl.trace
2022-03-09 00:21 - 2022-03-09 00:21 - 000203680 _____ (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zamguard64.sys
2022-03-09 00:21 - 2022-03-09 00:21 - 000203680 _____ (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zam64.sys
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
FirewallRules: [TCP Query User{E5BC1A05-D779-42CD-B302-304B6DC12F9C}C:\users\etienne\appdata\local\temp\{0b086c8e-de7f-461b-b902-bdbff0bfdf28}\manageengine_firewallanalyzer_64bit.exe] => (Allow) C:\users\etienne\appdata\local\temp\{0b086c8e-de7f-461b-b902-bdbff0bfdf28}\manageengine_firewallanalyzer_64bit.exe => Pas de fichier
FirewallRules: [UDP Query User{C0C5FA86-496A-4912-8E7C-70A876FDA7BA}C:\users\etienne\appdata\local\temp\{0b086c8e-de7f-461b-b902-bdbff0bfdf28}\manageengine_firewallanalyzer_64bit.exe] => (Allow) C:\users\etienne\appdata\local\temp\{0b086c8e-de7f-461b-b902-bdbff0bfdf28}\manageengine_firewallanalyzer_64bit.exe => Pas de fichier
EmptyTemp:
RemoveProxy:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
C:\Windows\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
cmd: ipconfig /flushdns
cmd: IPCONFIG /release
cmd: IPCONFIG /renew
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

[Etienne67]

Re bonjour

Voici le lien FIXlog apres passage du FRST
https://www.cjoint.com/c/LCksfZaiw2r

A noté pendant le traitement apparition d'un message "FAILED TO UPDATE (3)
j'ai fait ok et le logfix est apparu

merci pour votre patience

[did80]

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

dernière version dessous


>> ADWCLEANER <<



Pour Windows 7,Windows 8 : il faut lancer le fichier par clic-droit " Exécuter en tant qu'administrateur "

Accepter la licence



lancer l'analyse





Poste le contenu de ce rapport.

Note
Le rapport est également sauvegardé sous C:\AdwCleaner\logs [s0].txt

[Etienne67]

Ci dessous lien rapport ADWCLEANER
27 pup en quarantaine
https://www.cjoint.com/c/LCkusiaA8Ar

ils ont l'air coriace !!!

[Etienne67]

J'ai redémarré
Voici les news : suite aux différentes manip

Excel word re fonctionne y a du mieux ..yep!

Mon statut réseau est toujours déconnecté
dans la section parametre > réseau internet
la fenêtre apparait et Un malicieux referme immédiatement la fenêtre , m'interdisant d'aller dans l'onglet PROXY

je fais un peu de Web et mon FTP communique bien avec mes sites
par contre il ne m'autorise pas de faire des mises à jour sur des logiciels propriétaire s que je dispose

le navigateur Firefox fonctionne
le navigateur edge affiche tojours la meme page à savoir :"Votre connection n'est pas privée " lNET::ERR_CERT_AUTHORITY_INVALID
de meme pour chrome

Le bloqueur de pub shelblock a perdu son lien :
message: La communication avec le moteur Shelblock a été perdue

Voila ce que j'ai pu remarqué et si ca peu t'aider

Encore merci du soutien

[did80]

ceci pour voir

Télécharger kapersky removal tool


https://support.kaspersky.com/fr/viruses/kvrt2015#kb



mettre sur le bureau KVRT.exe



désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation



parametrer

http://zupimages.net/up/17/44/idpz.png



lancer le scan







Scanner








Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.


http://zupimages.net/up/17/45/j85v.png

[Etienne67]

Hello Grand Maitre des recherches improbables

Après plus de 27 heures de scan , Kapersky a visité les 34 987 753 objets des 8 disques connectés à ma tour noire

19 objets suspects ont été repérés :
https://www.cjoint.com/c/LCnlhl7eHcr

Malgré leur mise en quarantaine le problème persiste

Sous les bons conseil de Kapersky , et après démarrage , je relance le scan RDV , il ne me reste plus qu' à attendre 27 heures pour vous communiquer le résultat

Dans l'attente encore Merci pou votre soutien

[Etienne67]

Rebonjour

Apres un 2ieme passage de Kapersky , il y a eu 2 objets repérés qui ont été neutralisés

J'ai refait un 3 ieme passage De Kapersky (27heures quand même) , il n'a plus rien suspectés

Pendant le scan un "ae5118e115.exe" a essayer de communiquer , j'ai essayé de le retrouver , mais il est invisible mais actif .

Il ou ils sont toujours la ,
il empêche la réactualisation des logiciels propriétaire
Toujours le message "Votre connexion n'est pas privée" sur google , edge m'interdisant de naviguer
Le navigateur FIREFOX me donne la main pour naviguer sur Internet
les fenêtres de paramètres "Réseau et Internet se referme aussi vite qu'elle s'ouvre m’empêchant d’accéder au paramètre.
La carte son est toujours inopérante

Voila pour les news
si tuyau il y a je suis preneur

Au pire je ré-implante ma dernière image systeme de sept 2021

en attendant
heureuse journée
etienne

[Etienne67]

Re Re bonjour

Je me suis "amusé" a refaire un FRST au cas où

FRST: https://www.cjoint.com/c/LCpllDfIe3r
ADDITION: https://www.cjoint.com/c/LCplmNxirZr
Short cut : https://www.cjoint.com/c/LCplnAFHKWr

bien à vous

[did80]

les fichiers et dossiers cachés sont affichés?

passe cet outil https://genhackmantools.wordpress.com/c ... rancais-2/

donne moi le rapport

[Etienne67]

Voici le lien de process Analyser
https://www.cjoint.com/c/LCptyR7sTEr

bonne réception et encore merci

[did80]

ton windows n'est pas a jour

Plate-forme: Microsoft Windows 10 Professionnel Version 20H2 19042.1526 (X64) Langue: Français (France)

on en est a 21h2 19044

[Etienne67]

re hello

merci pour cette info
helas comme tout les logiciels propriétaire installés , une commande m’empêche de faire la mise à jour , Windows 10 en fait parti , un code erreur 0x80070483 s'affiche pour la mise ajour de windows ... je vais essayer de voir les manips pour gérer ce nouveau défi

encore encore merci du temps passé sur cette infection

[Etienne67]

aucune possibilité de mettre à jour windows 10
j'ai essayé plusieurs tutto malekal
sans succès
l'éditeur de texte cortona est aujourd’hui inopérant

Avant de passer à l'intégration de l'image systeme du 29 sept 2021 sur un nouveau SSD C:
ya til encore un espoir pour éradiquer cet infection de proxy ?

[did80]

c'est aussi une solution

[Etienne67]

bonjour

c'est ce que je vais faire , car maintenant "il" me donne plus accès à l'editeur de texte cortona , et pas moyen de me mettre à niveau avec windows 10 .

merci de votre soutien et temps passé
tres cordialement

[pasoorii]

merci d'avoir pris le soin de lire mon problème
le fichier" txt "ZHPDIAG , est impossible à joindre avec ce message , car en rouge, le forum indique que l'extension" txt "n'est pas autorisée".

[El Magnifico]

merci d'avoir pris le soin de lire mon problème
le fichier" txt "ZHPDIAG , est impossible à joindre avec ce message , car en rouge, le forum indique que l'extension" txt "n'est pas autorisée".

Bonjour

Creez votre propre sujet, et postez les rapports avec l' aide de CJoint