Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

T'as pas à t'excuser pour avoir une vie privée icon_wink.gif

 

Le premier des 4 (YouTubeAdBlock) est une extension de FF visant à virer les commerciaux au début des vidéos. Faudrait me convaincre que c'est un cheval de Troi pour m'en défaire mais, autrement, je le trouve utile. À mois que tu aies une autre suggestion pour faire celà.

 

Les autre, je sais pas ce qu'ils font. On peut les virer.

 

Va rester finalement le problème des icônes de bureau inbougeables. Mais on continuera cela dans l'autre fil parent du présent fil.

 

Bonne nuit...

 

iBenny

Modifié par iBenny

Posté(e) (modifié)

Si on utilise les outils pour virer les intrus, tout ce qui est sur la liste sera viré.

Faut savoir qu'il y a des clé de BDR, des fichiers, et autres..Pas si simple de faire le tri sans l'outil.

 

Après, si tu souhaites garder ces intrus que ZHPDiag a trouvé, libre à toi...ce n'est pas mon PC.

Mais sache que c'est risqué..ce n'est pas par hasard qu'ils sont reconnus comme tels.

 

Autre remarque: Tu as un PC avec XP..Pareil, c'est un énorme risque d'infection vu que XP n'est plus mis à jour des failles de sécurité depuis longtemps.

 

Donc, je vais poster les procédures et tu pourras les exécuter quand tu voudras.

 

Ne passer les outils qu'une seule fois.

  • Télécharger ZHPCleaner de Nicolas Coolman sur le bureau.
  • Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)

    16102602074422119714584245.jpg
  • Cliquer sur 1 Scanner
  • Patienter jusqu'à la fin (100%)
  • Cliquer sur 2 Nettoyer
  • Confirmer le nettoyage si demandé.
  • Patienter jusqu'à la fin (100%)
  • Cliquer sur 3 Rapport
  • Poster le rapport sur Cjoint.com
  • Redémarrer le PC si demandé.

  • Le rapport est sur le bureau.
  • Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
  • Me donner le lien vers ce rapport.

 

 

 

  • Ne passer les outils qu'une seule fois.
    • Télécharger Junkware Removal Tool sur le bureau.
    • Fermer toutes les applications en cours.
    • Désactiver l'antivirus.
    • Lancer JRT.exe et appuyer sur une touche.

    Note Importante:
  • Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)

    16100501200022119714535819.jpg
    • À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir.
    • Héberger le rapport sur Cjoint et poster le lien obtenu dans la prochaine réponse.
  • Le rapport se trouve sur le bureau (JRT.txt)
  • Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
  • Me donner le lien vers ce rapport.

 

 

 

Ne passer les outils qu'une seule fois.

  • Télécharger AdwCleaner (de Xplode) sur ton bureau.
  • Lancer ADWCleaner : Clic droit => Exécuter en tant qu'administrateur (sauf sous XP =>> Double cliquer sur le fichier)


    16100501493122119714535830.jpg
  • Cliquer sur J'accepte.

    16100501493222119714535836.jpg
  • Cliquer sur Analyser.

    16100501493322119714535837.jpg
  • Patienter le temps de l'analyse.

    Si ADWCleaner a trouvé des adwares :

    16100501493522119714535838.jpg
  • Cliquer sur Ok.

    Note:

    Pour nettoyer, ADWCleaner va fermer tous les processus en cours et redémarrer le PC.
  • Cliquer sur Nettoyer

    16100501493622119714535839.jpg
  • Patienter le temps du nettoyage.
  • Cliquer sur Ok aux messages suivants et laisser le PC redémarrer.
  • Après le redémarrage, poster le rapport qui s'est ouvert.

    Si ADWCleaner n'a rien trouvé:

    16100501493922119714535841.jpg
  • Cliquer sur Ok.

    16100501493822119714535840.jpg
  • Cliquer sur Rapport.
  • Poster le rapport qui apparaît.

    **************************
    Pour poster des rapports:
    **************************
    Rapport Analyse:
  • Après avoir cliqué sur le bouton Rapport, on a ceci:

    16100501494122119714535843.jpg
  • Onglet Analyser.
  • Double cliquer sur le 1er en haut de la liste (le plus récent)
  • Le rapport va s'ouvrir.


    Rapport Nettoyage
  • Onglet Nettoyage

    16100501494022119714535842.jpg
  • Double cliquer sur le 1er en haut de la liste (le plus récent)
  • Le rapport va s'ouvrir.
  • Heberger le rapport sur le site Cjoint.com


Les rapports se trouvent dans : C:\AdwCleaner

Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
Me donner le lien vers ce rapport.

 

 

Et:

 

Télécharger MBAM sur le bureau.
Faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur pour lancer l'installation.

Décocher la case concernant l'essai gratuit.

Après l'installation, lancer MBAM (clic droit sur l'icône et choisir Exécuter en tant qu'administrateur.)

Patienter le temps de la mise à jour des bases.

16100101353022119714528022.jpg

  • Si le PC n'a pas de connexion internet pour la mise à jour des bases:
  • Télécharger ce fichier et le mettre sur le PC "malade".
  • Lancer ce fichier avec un clic droit dessus et Exécuter en tant qu'administrateur.
  • Après installation de ce fichier, les bases seront à jour.


Examen "Menaces" + Recherche de Rootkits:

Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits.

16100101353422119714528024.jpg

Cliquez sur l'onglet Analyse, sélectionner si besoin Analyse des menaces puis cliquez sur Lancer l'analyse >>. Si une mise à jour est disponible, cliquez sur le bouton Mettre à jour maintenant.
Un Examen "Menaces" va démarrer.

16100101353222119714528023.jpg

Patienter le temps de l'analyse...cela peut demander du temps fonction du nombre de fichiers sur le PC.

16100512530522119714535794.jpg

Avec certaines infections, vous pouvez voir l'affichage de ce message:

'Malwarebytes n'a pas pu charger le pilote Anti-Rootkit DDA'

Cliquez sur 'Oui' sur ce message, pour permettre le chargement du pilote après un redémarrage.
Laissez l'ordinateur redémarrer. Continuez avec le reste de ces instructions.

Si MBAM a trouvé des malwares :

Quand l'examen est terminé, cliquer sur Supprimer la sélection ==>> A ne pas oublier !!
Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)
•Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
•Cliquez sur l'onglet Historique > Journaux de l'application. (Scan log)

16100406580022119714534820.jpg

•Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
•Cliquez sur Exporter.
•Cliquez sur Fichier texte (*.txt)

16100406580222119714534821.jpg

•Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
•Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

16100406580422119714534822.jpg

•Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

16100406581922119714534824.jpg
•Cliquez sur OK
•Attachez ce fichier dans votre prochaine réponse.


Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
Me donner le lien vers ce rapport.

 

 

Merci de me poster les rapports une fois l'outil passé..ce sera un moyen simple pour ne pas en oublier un.

 

Je vais aller au lit...

Bonne nuit.

 

@+

Modifié par Pierre13
Posté(e)

Rebonjour

 

~ ZHPCleaner v2016.11.6.187 by Nicolas Coolman (2016/11/06)
~ Run by iBenny (Administrator) (06/11/2016 21:14:30)
~ Web: https://www.nicolascoolman.com
~ Blog: https://www.anti-malware.top
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Type : Nettoyer
~ Report : C:\Documents and Settings\iBenny\Bureau\\ZHPCleaner.txt
~ Quarantine : C:\Documents and Settings\iBenny\Application Data\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Deactivate
~ Boot Mode : Normal (Normal boot)
Windows XP, 32-bit Service Pack 3 (Build 2600)


---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Navigateur internet. (1)
SUPPRIMÉ: [2r743wre.default] - user_pref("network.http.request.max-start-delay", 0); =>.Superfluous.MaxStart


---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (19)


---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Explorateur ( Dossiers, Fichiers ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Récapitulatif des éléments trouvés sur votre station. (1)



---\\ Nettoyage Additionnel. (1)
~ Suppression des Clés de registre Tracing. (0)
~ Suppression des anciens rapports ZHPCleaner. (1)


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Google Chrome)


---\\ Statistiques
~ Items scannés : 2335
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 1


~ End of clean in 00h01mn22s
~====================
ZHPCleaner-[R]-05112016-18_29_37.txt
ZHPCleaner-[R]-06112016-21_15_52.txt
ZHPCleaner-[R]-21062015-17_15_12.txt
ZHPCleaner--01112016-09_20_51.txt
ZHPCleaner--05112016-18_23_33.txt
ZHPCleaner--06112016-21_07_11.txt

===========================================================

 

JRT n'a pas voulu s'installer pour cause de dossier Temp barré !? Je me demande s'il y a un rapport avec l'exécution de ZHPCleaner ?

 

J'ai débarré le dossier barré et JRT s'exécute mais seulement 2 sec donc, rien fait !

 

===========================================================

 

AdwCleaner n'exécute que 5% de barre de progression et affiche :

 

---------------------------
AdwCleaner - Erreur
---------------------------
*sqlite3.dll is corrupted or has been replaced.
---------------------------
OK
---------------------------

Le DLL était absent donc je l'ai téléchargé et placé dans system32 sans meilleurs résultats !

 

===========================================================

 

Ne sachant pas si l'ordre d'exécution des outils avaient une importance, je n'ai pas exécuté mbam. Il a seulement été installé !

 

===========================================================

 

iBenny

Posté(e) (modifié)

Bonjour iBenny,

 

 

 

Le DLL était absent donc je l'ai téléchargé et placé dans system32 sans meilleurs résultats !

 

Téléchargé sur quel site ?

Si tu as un lien, ce serait bien de le poster.

C'est la meilleure façon de s'infecter gravement...

Il est bien plus prudent de signaler ce problème sans aller plus loin.

 

Cette erreur s'est semble t-il déjà produite il y a quelques mois.

La solution avait été de supprimer tous les outils, vider le dossier TEMP et de re télécharger les versions les plus récentes des outils.

 

On va donc commencer par nettoyer tous les outils utilisés jusqu'à maintenant:

 

 

  • Rappel : ==>> Ne passer les outils qu'une seule fois.
    • Désinstaller les outils spéciaux.
    • La désinstallation des outils spéciaux est nécéssaire car ils ne seront plus à jour très rapidement et donc inefficaces.
    • La purge des points de restauration permet de supprimer les anciens points infectés et de gagner de la place, un nouveau point propre sera créé.
  • Copier le contenu du rapport de Delfix avant de fermer la fenêtre !
  • Télécharger Delfix sur le bureau.
  • Le lancer et cocher "Supprimer les outils de désinfection" ET "Purger la restauration système" ; >> Exécuter.

16102501454422119714581236.jpg



  • Delfix s'autodétruira ensuite.
  • Le rapport se trouve dans : C:\DelFix.txt
  • Poster le contenu du rapport dans la réponse.
  • S'il reste des rapports ou autres outils utilisés, les mettre à la corbeille et la vider.
  • Penser aussi à vider le dossier TEMP (celui qui a posé souci avec le partage et celui dans Windows\Temp)

 

 

Ensuite, il faudra faire une vérification complète du système avec MBAM puisqu'il est installé.

Suivre les indications dans la procédure que j'ai postée.

 

Tu peux aussi faire une analyse complète du PC avec KTS mais en ayant fait la mise à jour des bases avant.

 

J'attends donc des nouvelles de ces analyses.

Si MBAM a été utilisé, merci de poster le rapport.

Surtout, ne rien faire de plus..s'il y a un souci, le signaler tout simplement.

 

@ + tard..

Modifié par Pierre13
  • Upvote 1
Posté(e) (modifié)

Bonjour

Désolé pour mon initiative...icon_Minus.gif

Sqlite3.dll téléchargé sur Télécharger-dll.fr

FF refuse de télécharger Delfix ( de même que 2-3 des outils précédents ) même avec l'AV suspendu,
mais pas avec Pale Moon bigok.gif

FKhqt6iggDn_T%C3%A9l%C3%A9Ko.gif

Pour l'analyse KTS, je suppose que vous voulez :

FKhqAa6fNQn_KNivo.gif

mais vraiment TOUS les fichiers ?

FKhqBJ2MZqn_KParam.gif

et vraiment partout partout ? La dernière fois que j'avais fait l'analyse complète il y a 4 mois j'avais circonscrit la zone comme indiqué ici, J'avais exclus plusieurs autres partitions système XP installé en parallèle...

FKhqPxrOd1n_KZone.gif

Merci beaucoup...

 

PS : C:\windows\temp ne contiens que des fichiers KTS et 1 fichier utilisé pas SystemExplorer :

 

FKhqYLYxeqn_CTemp.gif

Modifié par iBenny
Posté(e) (modifié)

Bonjour iBenny,

 

Une erreur est vite arrivée..Espérons que ça ne va pas avoir de conséquences.

 

Au sujet du fichier sqlite3.dll, il est inclus dans ADWCleaner et au moment de son exécution, ce fichier est "installé" dans le dossier temp.

Donc, il est inutile d'en ajouter un dans C:\Windows\Système32

Il faut donc supprimer ce fichier sqlite3.dll inutile.

 

Pour ce qui est du refus de téléchargement des navigateurs, faut bien lire les instructions données sur ce post.

Tout est indiqué suivant le navigateur pour qu'il accepte le téléchargement.

 

pour Firefox : dans Options > Sécurité, décochez Bloquer les téléchargements dangereux

 

16101104390222119714550912.jpg

 

Pour les analyses, oui il faut analyser tous les fichiers..ça prend du temps, mais c'est nécessaire.

 

Dans KTS, laisser le curseur sur Recommandé..on est pas dans une centrale nucléaire...

 

Voilà...En attente des résultats des analyses..

 

@+

Modifié par Pierre13
Posté(e) (modifié)

Bonjour,

 

# DelFix v1.013 - Rapport créé le 07/11/2016 à 11:53:21
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : iBenny - IBENNY
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\Documents and Settings\iBenny\Bureau\\RogueKiller.exe
Supprimé : C:\Documents and Settings\iBenny\Bureau\\ZHPCleaner.lnk
Supprimé : C:\Documents and Settings\iBenny\Bureau\\ZHPCleaner.txt
Supprimé : C:\Documents and Settings\iBenny\Mes documents\Téléchargements\catchme.exe
Supprimé : C:\Documents and Settings\iBenny\Mes documents\Téléchargements\catchme.htm
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #102 [Point de vérification système | 10/11/2016 10:02:42]
Supprimé : RP #103 [Point de vérification système | 10/11/2016 23:15:45]
Supprimé : RP #104 [Removed NASAEyes | 10/13/2016 01:07:01]
Supprimé : RP #105 [Point de vérification système | 10/14/2016 18:38:23]
Supprimé : RP #106 [Point de vérification système | 10/16/2016 15:42:29]
Supprimé : RP #107 [Point de vérification système | 10/17/2016 21:56:40]
Supprimé : RP #108 [Point de vérification système | 10/18/2016 22:23:32]
Supprimé : RP #109 [Point de vérification système | 10/20/2016 14:15:32]
Supprimé : RP #110 [Point de vérification système | 10/21/2016 14:16:24]
Supprimé : RP #111 [Point de vérification système | 10/22/2016 21:21:47]
Supprimé : RP #112 [Point de vérification système | 10/25/2016 13:24:15]
Supprimé : RP #113 [Point de vérification système | 10/26/2016 18:23:40]
Supprimé : RP #114 [Point de vérification système | 10/27/2016 21:24:45]
Supprimé : RP #115 [Point de vérification système | 10/28/2016 21:45:56]
Supprimé : RP #116 [Point de vérification système | 10/29/2016 22:08:00]
Supprimé : RP #117 [Point de vérification système | 10/30/2016 22:28:36]
Supprimé : RP #118 [Pré Traitement Zébulon | 10/31/2016 00:58:05]
Supprimé : RP #119 [Point de vérification système | 11/01/2016 01:38:50]
Supprimé : RP #120 [Mettre à jour vers un pilote non signé | 11/01/2016 16:55:09]
Supprimé : RP #121 [Point de vérification système | 11/02/2016 17:50:04]
Supprimé : RP #122 [Point de vérification système | 11/03/2016 20:37:03]
Supprimé : RP #123 [Point de vérification système | 11/04/2016 21:14:06]
Supprimé : RP #124 [Point de vérification système | 11/06/2016 00:15:37]
Supprimé : RP #125 [Point de vérification système | 11/07/2016 00:53:15]

Nouveau point de restauration créé !

########## - EOF - ##########

 

 

C:\Documents and Settings\iBenny\Local Settings\Temp vidé !

 

C:\Windows\Temps pas vidé;

 

Mbam étant installé hier, il a exécuté sa routine d'inspection au démarrage et trouvé ce que je considère comme un faux positif :

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 07-11-2016
Heure de l'analyse: 10h02 AM
Fichier journal: mbam.txt
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2016.11.07.06
Base de données de rootkits: v2016.10.31.01
Licence: Essai
Protection contre les programmes malveillants: Activé
Protection contre les sites Web malveillants: Activé
Autoprotection: Désactivé

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: iBenny

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 374395
Temps écoulé: 34 min, 38 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 1
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FIREFOX.EXE, , [bab80db0bbdfd95dcf8cdaf20201b64a],

Valeurs du Registre: 1
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FIREFOX.EXE|Debugger, StripMyRights.exe /D, , [bab80db0bbdfd95dcf8cdaf20201b64a]

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

 

 

Ces deux clés ont pour objectif de démarrer FF en lui enlevant les privilèges administrateur afin de prévenir qu'un malware | hacker ne télécharge et exécute un... malware | virus sur le pc avec les privilèges admin car tout ce qui est téléchargé par un navigateur acquiert les privilèges du navigateur. Cette astuce a été longtemps prisée il y a une dizaine d'années.

 

J'exécute maintenant MBAM in extenso...

 

PS : J'avais effectué une recherche de sqlite3.dll sur C sans résultat...

PPS : la seule différence pratique entre l'analyse 'Recommandé' et 'Élevé' de KTS est le niveau Heuristique 'Moyen' et 'Minutieux'

 

Merci

Modifié par iBenny
Posté(e)

Ok..C'est un faux positif..il ne date pas d'hier..

Bizarre quand même qu'aucun utilisateur n'a fait de demande d'annulation auprès de MBAM.

 

Pour l'exclure de l'analyse de MBAM:

 

  • Pour exclure un fichier de l'analyse avec MBAM:

    • Ouvrir MBAM
    • 1 - Cliquer sur l'onglet Paramètres.
    • 2 - Cliquer sur Exclusions des programmes malveillants.
    • 3 - Cliquer sur Ajouter un fichier.
    • Dans l'explorateur qui va s'ouvrir, cliquer sur le fichier à exclure.
    • Fermer MBAM



16110211485522119714600981.jpg


  • Pour supprimer une exclusion:

    • Il suffit de refaire la procédure sans ajouter de fichier.
    • cliquer sur la ligne du fichier à exclure.
    • La ligne sélectionnée devient bleue.
    • Cliquer ensuite sur Supprimer.
    • Fermer MBAM.

 

@+

Posté(e)

J'exécute l'analyse KTS en mode 'Élevé' sur TOUT le DD. On se revoit probablement demain !?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...