Aller au contenu


Photo
- - - - -

[Résolu] PC sûrement infecté


  • Veuillez vous connecter pour répondre
19 réponses à ce sujet

#11 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 125 messages

Posté 17 décembre 2017 - 01:16

Bonjour,

Pas de problème, bon dimanche à toi aussi.

Merci. icon_wink.gif
  • 0

PUBLICITÉ

    Annonces Google

#12 auriane63

auriane63

    Junior Member

  • Membres
  • 9 messages

Posté 19 décembre 2017 - 06:42

Bonjour Apollo,

 

Toutes mes excuses pour notre rdv web manqué hier mais je n'ai pas touché terre au boulot.

Voici le rapport CTR

https://www.cjoint.com/c/GLtfRSaNLeG

 

Bonne journée


  • 1

#13 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 125 messages

Posté 19 décembre 2017 - 12:43

Bonjour,

Comment se comporte la machine? est-ce que ça va mieux?

Fais les vérifications de mises à jour de tes applications à l'aide de l'utilitaire Kaspersky Software Updater: http://forum.zebulon....html?p=1812832 Sauf si tu as Kaspersky installé, il a la même fonction dans ses modules.

Après avoir fait le nécessaire, refais un scan ZhpDiag et héberge son rapport sur Cjoint.com stp: http://www.cjoint.com/ Colle le lien obtenu dans ta réponse.

@++
  • 0

#14 auriane63

auriane63

    Junior Member

  • Membres
  • 9 messages

Posté 19 décembre 2017 - 07:58

Bonsoir Apollo,

 

Effectivement, merci beaucoup, j'ai l'impression que cela va bien bien mieux, si ce n'est que j'ai une alerte récurrente de site malveillant istatic.eshop.com avec différentes adresses IP.

 

J'ai passé l'utilitaire Kaspersky Software Updater qui n'a trouvé aucune mise à jour.

 

Voici le rapport zhpdiag : https://www.cjoint.com/c/GLts7zUc3jG

J'ai vu sur ce rapport que teamviewer apparaissait pourtant je pensais avoir tout desinstallé...

 

Merci encore et encore pour ton aide


  • 1

#15 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 125 messages

Posté 19 décembre 2017 - 08:35

Bonsoir,

La méthode de désinfection employée devrait t'avoir débarrassée de toute infection. C'est à mon avis une attaque de réseau, attaques très fréquentes mais qui bute contre ton pare -feu et MBAM. (MalwareBytes est très sévère là-dessus mais est envahissant avec ses pop up.) Réutilise CCleaner (à jour) pour supprimer les temporaires et autres inutiles; ne touche pas à l'outil registre, cela vaut mieux.

Si tu te débrouilles en anglais, tu peux demander assistance sur le forum officiel de MalwareBytes à propos de cette alerte répétitive; tu peux leur demander s'il y a moyen que leur logiciel fasse son travail mais "en silence" , c'est à dire qu'il n'affiche pas les pop up (ce serait bien de tomber sur S!RI qui est un français - du moins un francophone - travaillant chez eux). Perso, je l'ai fait sur Kaspersky pour les attaques réseau, sinon il m'en signale 36 part jour icon_wink.gif Je ne connais pas assez les paramètres de MalwareBytes pour dire comment faire avec ce programme qui m'est rarement utile, vu ma protection totale et très efficace. https://forums.malwa...malwarebytes-3/

En effet, il reste des traces, il y a cependant moyen de nettoyer cela efficacement: réinstaller TeamWiever et ensuite utiliser Revo Uninstaller pour le désinstaller; cet outil va nettoyer ce que les désinstalleurs d'origine "oublient" de supprimer. http://www.commentca...6359-teamviewer

La version portable de REVO: https://www.revounin...e_download.html

Pour Un tutoriel de RevoUninstaller (avec un exemple) ==>> http://www.ordi-netf...Uninstaller.php
Tu le fais en mode avancé, c'est la façon la plus efficace pour aller chercher tout fichier ou clé de registre qui subsisterait.

Mais avant de faire cela, fais ce qui suit, ce n'est rien de grave, juste des entrées orphelines.

ZHPFix :

Télécharger sur le BUREAU: http://www.nicolasco...ownload/zhpfix/ (provisoire).
Sauf si tu l'as déjà téléchargé.
  • Ferme toutes les applications ouvertes
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7/8/10 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  • Copie les lignes ci-dessous dans la fenêtre
sauf le mot citation.






Script ZhpFix
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk
HKLM\Software\Wow6432Node\Classes\CLSID\{CCA9EFD3-29ED-430A-BA6D-E6BBFF0A60C2}
HKLM\Software\Classes\lnkfile\shellex\ContextMenuHandlers\McCtxMenuFrmWrk
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk

EmptyClsid
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
EmptyPrefetch
emptytemp
emptyflash


Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.
  • Le script doit automatiquement apparaitre dans ZHPFix.

    Clique sur le bouton GO pour lancer le nettoyage
  • Valide par Oui la désinstallation des programmes si demandé.
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt
Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

@++

Modifié par Apollo, 20 décembre 2017 - 12:57 .

  • 0

#16 auriane63

auriane63

    Junior Member

  • Membres
  • 9 messages

Posté 19 décembre 2017 - 08:48

merci pour tous tes conseils, je devrais pouvoir me débrouiller en anglais.

 

voici le rapport zhpfix

Rapport de ZHPFix 2017.06.13.1 par Nicolas Coolman, Update du 13/06/2017
Fichier d'export Registre :
Run by Tauveron Auriane at 19/12/2017 20:47:16
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (16299)

Corbeille vidée (00mn 02s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}
SUPPRIMÉ: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk
SUPPRIMÉ: HKLM\Software\Classes\lnkfile\shellex\ContextMenuHandlers\McCtxMenuFrmWrk
SUPPRIMÉ: HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
SUPPRIMÉ: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (3)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (86) (4 183 231 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
6 : Clés du Registre
10 : Valeurs du Registre
3 : Dossiers
2 : Fichiers


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\Users\Tauveron Auriane\AppData\Roaming\ZHP\ZHPFix[R1].txt - 19/12/2017 20:47:20 [1818]
 

Je te souhaite une bonne soirée car il est temps pour moi de rentrer à la maison lol j'en ai marre du bureau


  • 1

#17 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 125 messages

Posté 19 décembre 2017 - 09:10

A cette heure! je veux bien te croire!!!
Bonne soirée à toi aussi.

Il faudra juste désinstaller les outils spéciaux et terminer le sujet comme suit::


Désinstaller les outils spéciaux.

Télécharge DelFix sur ton bureau. https://toolslib.net...nload/2-delfix/
Lance-le et coche "Supprimer les outils de désinfection" ET "purger la restauration système" ; >> Exécuter.

delfix-52a093e.jpg

Delfix s'autodétruira ensuite.
  • Pense à éditer ton premier post pour ajouter [Résolu] devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.
Utilise pour ça, l'éditeur complet icon_wink.gif

sans-titre-433c5e7.png

@++

PS: vérifie que le nouveau point de restauration soit bien créé car il arrive que l'outil ne fonctionne pas pour cela avec Windows 10; s'il n'y a pas de point nommé "fin de désinfection", il faudra que tu en crées un nouveau manuellement via Panneau de configuration ==>> récupération.

Je vais revenir placer deux captures d'écran.

@++

Modifié par Apollo, 19 décembre 2017 - 09:27 .

  • 1

#18 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 125 messages

Posté 19 décembre 2017 - 09:14

Voilà:

point-de-restauration-manuel-53a38e2.jpg

restaurartion-cr-er-un-point-53a38ea.jpg
  • 1

#19 auriane63

auriane63

    Junior Member

  • Membres
  • 9 messages

Posté 20 décembre 2017 - 08:03

Bonjour Apollo,

 

Voilà j'ai tout fait suivant tes instructions. Effectivement j'ai du créer un point de restauration

Je te remercie encore vivement pour le temps que tu m'as accordé et je te souhaite de très joyeuses fêtes de fin d'année.

 

Joyeux Noël


  • 1

#20 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 125 messages

Posté 20 décembre 2017 - 02:33

Bonjour,

je te remercie; c'est un plaisir de travailler avec quelqu'un qui a confiance (ici bien placée icon_biggrin.gif ) et qui suit les instructions sans rechigner.

A propos des points de restauration, vérifie de temps en temps, disons une fois par semaine, et crée-en un manuellement pour en avoir plusieurs "sous le coude" en cas de besoin.
Conserve l'outil de mises à jour Kaspersky, il est très important d'avoir toujours ses applications à jour.

Joyeux Noël à toi également!

Apo.

5-50a1c.gif

Modifié par Apollo, 20 décembre 2017 - 02:59 .

  • 1









Sujets similaires :     x