Forum d'Entraide Informatique (FEI)

Site d'assistance et de sécurité informatique
https://www.forum-entraide-informatique.com/support/

trojan

https://www.forum-entraide-informatique.com/support/viewtopic.php?f=3&t=23052

Page 1 sur 1

trojan

Posté : dim. 10 déc. 2017 00:04
par enolola
Bon,jour

je n arriva pas a me débarrasser d un Trojan détecter par Microsoft Security
merci pour votre aide

Re: trojan

Posté : dim. 10 déc. 2017 08:53
par did80
salut enolola

Je m'appelle Didier et je vais tenter de résoudre votre problème.
Pourriez vous suivre les consignes du lien ci dessous.

Télécharger CKScanner (de askey127)

CKScanner

Faites un double-clic sur CKScanner.exe pour lancer le programme.

(Sous Vista et ultérieur, faites un clic droit et choisissez "Exécuter en tant qu'administrateur")

Sur l'écran principal, cliquez sur le bouton "Search For Files".

Après un court laps de temps, une liste s'affiche dans la partie droite de l'image.
Cliquez sur le bouton "Save List to File", un message annonce que le fichier a été enregistré, cliquez sur "OK"

Cliquez sur le bouton "Exit" pour fermer le programme.
Le rapport CKFiles.txt est sur le bureau

Envoie le nous en l’hébergeant sur www.cjoint.com/


2/ ceci stp



télécharges WINCHK stp

WINCHK ICI

Tu double cliques dessus pour l'ouvrir
Tu cliques sur " exécuter "

3/
Télécharge zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/



Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher

Image

Image


cliques sur scanner

Image

cliques sur rapport


zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur www.cjoint.com

Image

1 parcourir : zhpdiag.txt sur le bureau

2 déposer

3 me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4


4/

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan


Image



L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens


Dans l'attente de tes 6 rapports

Didier

Re: trojan

Posté : lun. 11 déc. 2017 16:11
par enolola
bonjour
merci pour ton aide
voici la piece jointe
http://www.cjoint.com/c/GLlpkHYx6NQ

Re: trojan

Posté : lun. 11 déc. 2017 16:22
par enolola
: http://www.cjoint.com/c/GLlpvD1YBzQ

Re: trojan

Posté : lun. 11 déc. 2017 17:30
par did80
salut

manque zhpdiag

et les 3 liens farbar

@+

Re: trojan

Posté : lun. 11 déc. 2017 19:03
par Invité
http://www.cjoint.com/c/GLlscqysl4Q

Re: trojan

Posté : lun. 11 déc. 2017 19:19
par Invité
http://www.cjoint.com/c/GLlssZC6IkQ

Re: trojan

Posté : lun. 11 déc. 2017 19:30
par Invité
http://www.cjoint.com/c/GLlsyLi2OAQ
http://www.cjoint.com/c/GLlszd51TUQ
: http://www.cjoint.com/c/GLlsAq1cviQ

Re: trojan

Posté : lun. 11 déc. 2017 21:44
par did80
Image Sandrine

Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: L - L:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {09d1f273-f6cf-11e6-a93e-806e6f6e6963} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {36779e38-43c6-11e7-bffc-806e6f6e6963} - L:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {7c8b4bcc-bd9d-11e7-89b3-00262d2c38fb} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {eafa5811-d181-11e6-9edd-00262d2c38fb} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {eddda1b7-a3f3-11e6-a176-00262d2c38fb} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000 -> Pas de nom - {D3028143-6145-4318-99D3-3EDCE54A95A9} - Pas de fichier
Toolbar: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000 -> Pas de nom - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Pas de fichier
FF Extension: (Pas de nom) - C:\Users\sandrine\AppData\Roaming\Mozilla\Firefox\Profiles\zelx8m4s.default\extensions\searchffv2@gmail.com [non trouvé(e)]
FF Extension: (Pas de nom) - C:\Users\sandrine\AppData\Roaming\Mozilla\Firefox\Profiles\zelx8m4s.default\extensions\d4db60df25f14dae9dd18@185c395f9e794c9ab86be3eb.com [non trouvé(e)]
FF Extension: (Pas de nom) - C:\Users\sandrine\AppData\Roaming\Mozilla\Firefox\Profiles\zelx8m4s.default\extensions\f8783004-c434-4bd0-9f81-9a39dd64baaa@08ad07c4-3f21-451d-9045-9e0d5dc8aa9e.com [non trouvé(e)]
FF HKLM\...\Firefox\Extensions: [{3C2C21F7-FDB6-4b10-B605-FA4A281E3016}] - C:\Program Files\shopper-z\Firefox => non trouvé(e)
FF HKLM-x32\...\Firefox\Extensions: [{7BA52691-1876-45ce-9EE6-54BCB3B04BBC}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn => non trouvé(e)
FF HKLM-x32\...\Firefox\Extensions: [{3C2C21F7-FDB6-4b10-B605-FA4A281E3016}] - C:\Program Files\shopper-z\Firefox => non trouvé(e)
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=14313427 ... 4_98720009"
CHR NewTab: Default -> Not-active:"chrome-extension://bhfondfdmhknofinbkoalnghalnfilcc/stubby.html"
CHR Extension: (Search People) - C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\Extensions\papbadoldddalgcjcicnikcfenodpghp [2016-04-27]
S3 cpuz134; \??\C:\Users\sandrine\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] <==== ATTENTION
Task: {20E36C8B-0997-4D4B-923B-EC339A821E10} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-7 -> Pas de fichier <==== ATTENTION
Task: {21E0E133-970F-423C-98F1-D9DE81F33982} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-5_user -> Pas de fichier <==== ATTENTION
Task: {26D77AF9-54BB-49D1-BD61-EF48111C9922} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-2 -> Pas de fichier <==== ATTENTION
Task: {2DF9262A-1DDB-492A-8593-AAEA88A74C7B} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-4 -> Pas de fichier <==== ATTENTION
Task: {415B96F6-8A12-44B0-B202-7DE920C47DF3} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-1 -> Pas de fichier <==== ATTENTION
Task: {49544817-8101-48FB-9CD9-9738A9A7D64D} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-11 -> Pas de fichier <==== ATTENTION
Task: {67B6D031-53D7-4240-B96D-8054F744011E} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-6 -> Pas de fichier <==== ATTENTION
Task: {6BC0C24D-1134-4C2D-A8D1-F404F86B715B} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-3 -> Pas de fichier <==== ATTENTION
Task: {96483E1D-FDFE-4EC4-BF51-B6A4094970F0} - \DealPlyUpdate -> Pas de fichier <==== ATTENTION
Task: {A12EDC6E-1B9A-455B-817B-5B3C440211DC} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-5 -> Pas de fichier <==== ATTENTION
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1ADA6FF4-2473-4F1A-BB57-5655D5805547}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1ADA6FF4-2473-4F1A-BB57-5655D5805547}
C:\Windows\System32\Tasks\{A9A8742C-FA1C-4F79-A205-57146747F101}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{26766A3B-6DD4-49B5-A08A-B2E4DCC6BF20}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{26766A3B-6DD4-49B5-A08A-B2E4DCC6BF20}
C:\Windows\System32\Tasks\{0608B75B-9EB6-4F0C-A4CA-10D02C20D7E7}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44A14E1C-0F6E-450A-ADE6-A7FD771B9A4C}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{44A14E1C-0F6E-450A-ADE6-A7FD771B9A4C}
C:\Windows\System32\Tasks\{5B40F3AB-8363-4A50-95DD-2E726A241A0A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4E194111-979D-4840-8CC5-930C4582E581}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4E194111-979D-4840-8CC5-930C4582E581}
C:\Windows\System32\Tasks\{37A31C8F-D23F-41B3-BDF7-C85CA9450063}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{59EEDFED-5CA1-496C-AF43-AF4C24DEDA1B}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{59EEDFED-5CA1-496C-AF43-AF4C24DEDA1B}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D5A271A-139B-4ABE-81D5-D20369D66123}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5D5A271A-139B-4ABE-81D5-D20369D66123}
C:\Windows\System32\Tasks\{2B443677-FED4-4249-80C2-DE1CDDC93D48}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6FA0A374-7EB9-4CFC-BD90-B612ADF88925}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{6FA0A374-7EB9-4CFC-BD90-B612ADF88925}
C:\Windows\System32\Tasks\{6E719042-63A1-449F-A9CC-A8E0059920A6}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{79CB8BE5-1850-4CCE-B2EA-1C85146C03D9}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{79CB8BE5-1850-4CCE-B2EA-1C85146C03D9}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8F868A88-D9DB-4457-9484-4C9A0873BB9D}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8F868A88-D9DB-4457-9484-4C9A0873BB9D}
C:\Windows\System32\Tasks\{35FFB5E5-22A6-4FE8-B28F-89D04DA75FC1}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B04CD95A-C944-4FBC-A242-A0CAE32FB3A6}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B04CD95A-C944-4FBC-A242-A0CAE32FB3A6}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C281C0CC-70B3-4C3B-B4AC-9FC44A034536}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C281C0CC-70B3-4C3B-B4AC-9FC44A034536}
C:\Windows\System32\Tasks\{466C938E-2D6E-4582-8578-BF82C49216FE}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E3EF3D2A-5437-436F-85CE-2ABE461B960F}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E3EF3D2A-5437-436F-85CE-2ABE461B960F}
C:\Windows\System32\Tasks\{B8ED1E2B-4379-4929-9110-689D4ADAF45A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E5D273C8-C12F-44E7-B457-7C2C444DDE61}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E5D273C8-C12F-44E7-B457-7C2C444DDE61}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EA448D5E-8C4F-40DC-8064-9924F768D5EA}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EA448D5E-8C4F-40DC-8064-9924F768D5EA}
C:\Windows\System32\Tasks\{715FA5E3-EF04-4E2F-B1A6-E0B7A2CBF020}
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\bhfondfdmhknofinbkoalnghalnfilcc
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\jlincbpgbkpbjepghokdnhnnpphmegig
DeleteKey: HKLM\Software\Classes\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKLM\Software\Classes\Installer\Futures\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKCU\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKCU\Software\Microsoft\Installer\Futures\363FB0CBBA367FF4E81FEAD0F717B142
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\bhfondfdmhknofinbkoalnghalnfilcc
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\jlincbpgbkpbjepghokdnhnnpphmegig
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Glary Utilities
DeleteKey: HKLM\Software\Classes\CLSID\{B3C418F8-922B-4faf-915E-59BC14448CF7}
DeleteKey: HKLM\Software\Classes\CLSID\{B3C418F8-922B-4faf-915E-59BC14448CF7}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\Glary Utilities
DeleteKey: HKLM\Software\Classes\Drive\shellex\ContextMenuHandlers\Glary Utilities
DeleteKey: HKCU\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKCU\Software\Microsoft\Installer\Features\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\Software\Microsoft\Installer\Features\363FB0CBBA367FF4E81FEAD0F717B142
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
end::


Corrige et heberge le rapport fixlog

Didier
Image

Re: trojan

Posté : dim. 14 janv. 2018 04:08
par enolola
bonjour

voici le rapport
https://www.cjoint.com/c/HAodgQN18MQ

merci d avance pour ton aide
mes meilleurs vœux 2018

Re: trojan

Posté : dim. 14 janv. 2018 21:05
par did80
bonjour sandrine

Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


executer en tant qu'administrateur


Scanner
puis cliques sur nettoyer

http://zupimages.net/up/15/20/t6f1.png



Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

Didier

Re: trojan

Posté : lun. 15 janv. 2018 12:44
par enolola
bonjour
voici le rapport
https://www.cjoint.com/c/HAplRubEjRQ

bonne journée

Re: trojan

Posté : lun. 15 janv. 2018 14:26
par did80
Image

tu as supprime les infections avec le bouton nettoyer

copies le rapport après suppression

@+

Re: trojan

Posté : mer. 17 janv. 2018 10:08
par enolola
Bonjour

je ne sais pas , si c est le bon rapport car mon mari a lancer deux fois le ccleaner
https://www.cjoint.com/c/HArjh4VOZ6Q

Re: trojan

Posté : mer. 17 janv. 2018 12:22
par did80
Image Sandrine

ce n'est pas le rapport zhpcleaner

pour ton mari tu n'as pas une vaisselle qui trai^ne :lol:

Re: trojan

Posté : mer. 17 janv. 2018 18:29
par enolola
https://www.cjoint.com/c/HArrDvtxD6Q

Re: trojan

Posté : jeu. 18 janv. 2018 11:25
par did80
Image

Sandrine

Télécharger kapersky removal tool


https://www.sosvirus.net/telecharger/kaspersky-virus-removal-tool/



mettre sur le bureau KVRT.exe



désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation


parametrer


http://zupimages.net/viewer.php?id=17/44/idpz.png

http://zupimages.net/up/17/44/idpz.png


lancer le scan


http://zupimages.net/up/15/31/59zq.png


Scanner


http://zupimages.net/up/15/31/zl4d.png



Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.

il n'y a pas de rapport si l'outil ne trouve pas d'infection

http://zupimages.net/viewer.php?id=17/45/j85v.png

http://zupimages.net/up/17/45/j85v.png


Delete : Supprimer le fichier
Quarantine : place le fichier en quarantaine.
Clique sur le bouton Continue



Kaspersky Virus Removal Tool propose ensuite de désinfecter l’ordinateur en redémarrant ce dernier : Disinfect and restart the computer
Note que tu as un bouton « Try to desinfect without computer restart » afin de tenter de supprimer les virus sans redémarrer l’ordinateur


]https://zupimages.net/up/17/51/a7s3.png

https://zupimages.net/up/17/51/n710.png


L’ordinateur va alors redémarrer, si tu obtient le message, ci-dessous, clique sur Exécuter

Didier
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/