Page 1 sur 1

soupçon d'infection

Posté : jeu. 8 oct. 2020 11:52
par YOM
Bonjour à tous,

Depuis peu le par feu mon antivirus bitdefender me signal que des fichiers ont changés et tentent de se connecter à Internet, au début j'en ais autorisé voyant qu'ils appartenaient à Windows.
vu la recrudescence de ses alertes je m'interroge.

Depuis peu, j'ai installé la mise à jour Windows 2004
Utilise un vpn qui utilise le protocole nordlynx

L'analyse système Bitdefender ne détecte rien
Par contre dans l'optimisation 72 fichiers système temporaire me refuse l'accès .

Exemple de fichiers se connectant à Internet signalé par le par feu

L'application cleanmgr.exe a essayé de se connecter à Internet :
Chemin : C:\Windows\System32\cleanmgr.exe
Destination : 51.11.168.232
Protocole : TCP (6)
Port : HTTPS (6)
Le pare-feu de Bitdefender a refusé cette application à la demande de l'utilisateur. Si vous souhaitez l'autoriser, cliquez sur le bouton ci-dessous ou allez dans Pare-feu - Règles.

L'application CCleaner64.exe a essayé de se connecter à Internet :
Chemin : C:\Program Files\CCleaner\CCleaner64.exe
Destination : 103.86.99.99
Protocole : UDP (17)
Port : DNS (17)
Le pare-feu de Bitdefender a refusé cette application à la demande de l'utilisateur. Si vous souhaitez l'autoriser, cliquez sur le bouton ci-dessous ou allez dans Pare-feu - Règles.

Exemple de fichiers temporaire bloquant l'accès
Image

merci pour votre aide,
cordialement

Re: soupçon d'infection

Posté : jeu. 8 oct. 2020 17:52
par yom
re : je viens de faire un scan avec l'outils Microsoft MSRT il as détecté et supprimé un ver du nom de

Tool:Win32/DefenderTamperingRestore

je me demande si cela suffit car à en voir la description sur la toile c'est pas terrible comme petite bête.
il désactive des applications et modifie les registres , se duplique et corrompt toutes sortes de fichiers .
dans le but de voler des données etc ...

Re: soupçon d'infection

Posté : jeu. 8 oct. 2020 20:58
par did80
salut

ceci pour commencer

Image Télécharges Zhpsuite sur ton bureau: Téléchargement ICI
  • [ Si l'outil n'est pas sur le bureau mais dans le dossier téléchargement fais un couper/coller
    Cliques sur le bouton Télécharger ici]
  • Cliques sur le fichier téléchargé pour éxécuter l'outil
  • Un raccourci sera crée sur le bureau, le logiciel s'ouvre
  • Accepte le Cluf
Image

Image

Dans les options decoche / coche comme indiqué ci-dessous puis ferme

Image

Lance ensuite l'outil en cliquant sur analyse
  • Ne pas interrompre l'outil
  • Quand fin de recherche s'affiche un rapport zhpdiag.txt apparait sur le bureau
  • Heberge le sur le site www.cjoint.com/
  • Donne moi le lien fourni dans ton prochain message
@+

Re: soupçon d'infection

Posté : jeu. 8 oct. 2020 21:41
par yom
voici le lien, merci pour l'aide :D

https://www.cjoint.com/c/JJitM3wuVU8

Re: soupçon d'infection

Posté : ven. 9 oct. 2020 17:58
par did80
:bonjour: yom

1/
Windows Defender W10 (Activate) (Protection)
Bitdefender Agent v23.0.8.134 (Protection)
tu as 2 antivirus
1 seul suffit

2/
Image

Cliques sur le bouton nettoyage

tu vas obtenir une fenetre zhpfix

Sélectionne et copies le script suivant



Script ZHPFix
EmptyCLSID
EmptyFlash
Emptytemp
C:\Users\guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\tzoktfhl.default\extensions\ffext_basicvideoext@startpage24.xpi



Image

COlle le script bouton1

Lance le nettoyage bouton2

puis tu genères le script

heberge moi le rapport sur cjoint

didier

Re: soupçon d'infection

Posté : ven. 9 oct. 2020 23:05
par yom
salut, Didier

d'habitude j'ai qu'un antivirus . j'ai désinstallé Bitdefender me disant qu'il était vérolé vu qu'il ne trouvait rien.
j'avais oublié de désinstaller l'agent web c'est fait.
je réinstallerai le tout une fois que mon système sera sain.

j'ai suivi le protocole et j'ai le rapport. le seul soucis c'est que le site cijoint est inaccessible.

utiliser vous d'autres moyens ?
faire un copier coller dans un message peut 'il fonctionner de votre coter ?

Re: soupçon d'infection

Posté : sam. 10 oct. 2020 14:59
par did80
salut yom

cjoint refonctionne c'est toujours temporaire

pour defender et bitdefender
1 et 1 seul=====> RISQUE DE CONFLIT

Re: soupçon d'infection

Posté : sam. 10 oct. 2020 19:36
par yom
voici le lien pour info je doit couper mon vpn pour aller sur le site.

https://www.cjoint.com/c/JJkrHHKjR18

Re: soupçon d'infection

Posté : dim. 11 oct. 2020 11:21
par did80
:bonjour: yom

on continue


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image

Image


Mode Scanner


Image


Image


Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+ bon dim

Re: soupçon d'infection

Posté : dim. 11 oct. 2020 11:59
par yom

Re: soupçon d'infection

Posté : dim. 11 oct. 2020 17:32
par did80
relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression

Re: soupçon d'infection

Posté : dim. 11 oct. 2020 20:31
par yom
j'ai fait deux fois la manip car au premier nettoyage le logiciel c'est arrêté à 90%.
le deuxième scan trouve moins de fichiers et cette fois ci le nettoyage à été à 100% (le premier nettoyage à du en nettoyer ou les fichiers se sont cachés au plantage ?)
je poste les deux rapports de scan et le seul rapport nettoyage que j'ai reçu au deuxième essai.

1er scan: https://www.cjoint.com/c/JJlspWTmrR8
2eme scan: https://www.cjoint.com/c/JJlsq383hb8
nettoyage: https://www.cjoint.com/c/JJlsrPK1Bm8

Re: soupçon d'infection

Posté : lun. 12 oct. 2020 17:49
par did80
:bonjour: yom

on continue l'


Image


Télécharger Malwarebytes

Malwarebyt'es ICI

Lancer L'analyse

Image


Image

A la fin du scan exporter au format txt


Image

Héberger sur cjoint

me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv

@+ did

Re: soupçon d'infection

Posté : lun. 12 oct. 2020 18:54
par yom
le lien malware bytes https://cjoint.com/c/JJmq0aN2Wz8

Re: soupçon d'infection

Posté : lun. 12 oct. 2020 19:12
par yom
2éme analyse avec rootkit activé https://cjoint.com/c/JJmrkTIiem8

Re: soupçon d'infection

Posté : lun. 12 oct. 2020 20:08
par did80
:super:

ceci maintenant

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue
  • Installer 32/64 bits

    Portable 32 bits

    Portable 64 bits
Lancer le scan

Image

Image


A la fin du scan cliquez sur résultats

Image

Image

héberge le rapport sur cjoint

Re: soupçon d'infection

Posté : lun. 12 oct. 2020 20:53
par yom

Re: soupçon d'infection

Posté : mar. 13 oct. 2020 17:41
par did80
salut yom

les PUM sont a mi chemin entre malware et légitime

on supprime?

Re: soupçon d'infection

Posté : mar. 13 oct. 2020 20:26
par yom
oui si ce programme n'est pas légitime et me sert à rien. comment fait t'on ?
j'ai d'autres question. mon disque dur externe et ma clef usb et les fichiers sur le cloud aurait t'il pu être infectés par les virus sur mon ordi ?
comment vérifier et ne pas me faire réinfecter si ils se trouvent dans mes autres fichiers ?

merci pour l'aide que tu m'apporte :super:

Re: soupçon d'infection

Posté : mar. 13 oct. 2020 20:56
par did80
re

Image

Cliques sur le bouton nettoyage

tu vas obtenir une fenetre zhpfix

Sélectionne et copies le script suivant



Script ZHPFix
EmptyCLSID
EmptyFlash
Emptytemp
C:\Users\guillaume\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences) -- qwant.com -



Image

COlle le script bouton1

Lance le nettoyage bouton2

puis tu genères le script

heberge moi le rapport sur cjoint

Re: soupçon d'infection

Posté : mer. 14 oct. 2020 00:53
par yom

Re: soupçon d'infection

Posté : mer. 14 oct. 2020 17:38
par did80
:bonjour: yom

passe cet outil

https://genhackmantools.wordpress.com/canned-adsfix/

on verra pour tes questions ensuite

didier

Re: soupçon d'infection

Posté : mer. 14 oct. 2020 22:00
par yom

Re: soupçon d'infection

Posté : jeu. 15 oct. 2020 17:49
par did80
salut yom

ceci maintenant

Brancher tes disques durs externes

Faire un scan ESET ON LINE
https://www.eset.com/fr/home/products/online-scanner/

@+

Re: soupçon d'infection

Posté : jeu. 15 oct. 2020 21:57
par yom
j'ai eu un résultat un fichiers du vpn c'est vraiment bien de le supprimer ? https://www.cjoint.com/c/JJpt2o8YA48

Re: soupçon d'infection

Posté : ven. 16 oct. 2020 16:38
par did80
salut yom

Comment se comporte le pc?

pour ton ver voleur de données change les mots de passe

didier

Re: soupçon d'infection

Posté : ven. 16 oct. 2020 19:41
par yom
salut didier

le pc est beaucoup plus fluide, j'utilise une base de donnée le ver à t'il pu récupérer les mots de passe dans celle ci ?
le week end va être long entre un changement de boite mail car corrompu et référencée dans un fichiers en libre service de hackers et plus ou moins 80 mots de passe à changer sur chaque site.

merci pour le coup de main.
ps les fichiers sur le cloud cela craint avec le ver aurait-il pu les corrompes ?

Re: soupçon d'infection

Posté : ven. 16 oct. 2020 19:57
par did80
re
Le problème est que chacun pense que son fournisseur de services cloud sécurise les informations personnelles, et lui fait donc naturellement confiance. Pourtant, le client n'a aucune visibilité sur l'infrastructure cloud qu'il utilise et ses paramètres de sécurité.

Mais posez-vous cette question : quelles mesures de sécurité sont en place pour protéger vos données dans le cloud ? Savez-vous réellement si votre fournisseur applique les pratiques d'excellence en matière de sécurité pour protéger vos informations importantes?
ceci pour finir

KpRm (de Kernel-panik)

· Téléchargez sur le bureau

KPRM ICI

ou

KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours


Image


· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

@+

Re: soupçon d'infection

Posté : sam. 17 oct. 2020 15:28
par yom
https://www.cjoint.com/c/JJrnz0yxF08

merci encore pour l'aide apporté :good:

Re: soupçon d'infection

Posté : dim. 18 oct. 2020 11:56
par did80
:bonjour:

c'etait avec plaisir

bonne suite
je ferme