Aller au contenu
Ian Lo

[Résolu] Système knockout - infection possible

Messages recommandés

Bonjour,

Bon pour commencer je tiens à préciser que je ne suis pas persuadé qu'il s'agisse d'une infection. Mais comme je ne voyais pas où poster d'autre, et que le doute reste possible, je suis venu chercher de l'aide dans cette section.

J'espère ne pas avoir mal fait.


Description du problème

Le PC portable de ma grand-mère c'est mis, du jour au lendemain, à présenter des symptômes d'infection. Toolbar à la °°° dans Firefox qui viennent de nul part, soudaine impossibilité d'utiliser l'imprimante depuis le PC, sans raison apparente, PC très très lent nécessitant parfois d'être éteint brusquement pour le redémarrer.


J'ai immédiatement commencé à essayer de le nettoyer, j'ai fait la chasse aux logiciels qu'elle avait laissé s'installer un peu partout, principalement des mini jeux internet et des barres d'agrément pour navigateurs. Rien de bien méchant, mais ça représentait quand même près de sept gigas logiciels qui ne faisaient qu'encombrer.

Après ça j'ai utilisé son antivirus Avast, CCleaner et Malwarebytes pour essayer d'éliminer tout ce qui trainait hors de ma portée. J'ai d'ailleurs d'abord cru à un mieux, puis le système c'est mis à déconner de plus belle. Me forçant à retourner en mode sans échec pour venir ici et demander de l'aide.


Certains des problèmes apparus sont les suivants...

- Tentative de lancer un logiciel de nettoyage, apparition du message "Erreur du système de fichiers (-1073741819)"

- Apparition également du message suivant "Impossible d'accéder au service Windows Installer" lors de tentatives d'installation de logiciels d'analyse et autre.

- Et enfin, le Ctrl+Alt+Suppr n'aboutissant qu'à un message d'excuse recommandant une extinction brutale via bouton d'alimentation pour régler le problème.


Malwarebytes, Craps Cleaner et Avast affirment que l'ordinateur est sûr et propre malgré tout. Raison pour laquelle j'ai des doutes sur la possibilité d'une infection. Raison aussi pour laquelle je viens chercher l'aide de personnes compétentes, n'ayant moi-même aucune réelle connaissance en informatique.


Je vous joint ici le rapport de ZHPDIAG, le lien dans la description du sous-forum était mort, j'ai donc été télécharger le logiciel ailleurs, j'espère que c'est la bonne version.


Merci en tout cas pour le temps que vous consacrez à apporter votre aide avisée dans ce genre de situations.

Bien à vous, Ian Lo.

Modifié par Ian Lo

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Ian Lo, et bienvenue sur Zébulon !

 

Zébulon n'héberge pas de documents. Ainsi, les documents que tu désires joindre à ton message doivent être confiés à un hébergeur.

Si ce n'est déjà fait, tu enregistres ton document sur ton disque dur.
Ensuite, tu te rends sur le site d'un hébergeur, comme par exemple Cjoint 266847Cjoint.jpg
Tu cliques sur le bouton « Parcourir » pour localiser ton document, puis sur Créer le lien Cjoint.
Enfin, tu récupères l'adresse de ton document par Clic droit > Copier l'adresse du lien, que tu colles dans ton message sur le forum.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Ian Lo,


Pour commencer on va regarder si l'ordinateur est infecté.

Vous allez faire un diagnostic de votre ordinateur avec l'outil FRST

Télécharger sur votre Bureau << IMPORTANT pas ailleurs
Selon votre système exploitation 32 Bit ou 64 Bits Mon ordinateur exécute-t-il la version 32 ou 64 ?bits
Farbar Recovery Scan Tool pour systèmes x32 (x86)
Farbar Recovery Scan Tool Pour systèmes x64

  • Ferme toutes les applications en cours (notamment votre navigateur)
  • Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
  • puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
    Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
    834650Capture3.png
  • Cochez les cases comme sur la capture
  • Cliquez sur le bouton ANALYSE.
  • L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
  • La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
  • Héberge les rapports sur le site ce service de rapport en ligne
    Appuyez sur Parcourir et chercher les rapports sur le bureau
  • Cliquez sur Ouvrir
  • Cliquez sur ENVOI,
    Puis copie/colle les liens fourni ICI dans votre prochaine réponse.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Tomtom95,

 

Désolé pour mon délai de réponse lent, j'ai été très pris, ça ne devrait pas se reproduire.

 

Voici les différents rapports demandés, en vous remerciant pour votre temps.

 

Rapport

https://up.security-x.fr/file.php?h=R9656fd6f0f8ea17ac9dcb25bbb7cef7f

 

Addition

https://up.security-x.fr/file.php?h=Rd0ff5c2cb9f9d9e53670a0512d56fda0

Partager ce message


Lien à poster
Partager sur d’autres sites

Rien de très inquiétant en apparence sur tes rapports.

Désinstalle via Panneau de configuration >> programmes et fonctionnalités (si présents) :
Les Applications d'Apple ne sont plus mise à jour pour windows et sont devenue a risque je te conseille de les désinstaller du pc.
Apple Application Support
Apple Software Update
QuickTime

On va nettoyer quelques fichiers en Mode normal et non sans échec si possible.

Ne passez qu'une seule fois les outils

  • Vous allez faire une correction Farbar Recovery Scan Tool
  • Ouvrez le Bloc-notes (notepad).
  • Copiez le contenu de la zone code ci-dessous.
  • Pour ce faire, sélectionnez toutes les lignes, de start jusqu'a end
  • faites un clique droit et choisis Copier.
  • Collez ceci dans la fenêtre ouverte du Bloc-notes.
  • Dans la page du Bloc-notes Clique en haut sur Fichier >> puis enregistrer sous
  • Sur la nouvelle page
  • Fait le choix de bureau >> dans la fenêtre Nom du fichier
  • Tape le nom fixlist.txt et clique sur Enregistrer le fichier.
  • Le fichier ce trouve maintenant sur le bureau

    start
    CreateRestorePoint:
    CloseProcesses:
    Hosts:
    RemoveProxy:
    EmptyTemp:
    HKU\S-1-5-21-3459844062-1345120467-3120941066-1001\...\Run: [bitTorrent] => "C:\Program Files (x86)\BitTorrent\BitTorrent.exe" /MINIMIZED
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll => Pas de fichier
    BHO-x32: Java Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    Toolbar: HKU\S-1-5-21-3459844062-1345120467-3120941066-1001 -> Pas de nom - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - Pas de fichier
    Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Pas de fichier
    Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Pas de fichier
    Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll Pas de fichier
    Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Pas de fichier
    FF Extension: (Disable TLS Certificate Transparency) - C:\Users\Josiane Renault\AppData\Roaming\Mozilla\Firefox\Profiles\968q9qp7.default\features\{6f7ece33-5f1d-4a1e-a7e6-084f77316d44}
    FF SearchPlugin: C:\Users\Josiane Renault\AppData\Roaming\Mozilla\Firefox\Profiles\968q9qp7.default\searchplugins\search provided by bing.xml
    FF HKLM-x32\...\Firefox\Extensions: [FFToolbar@bitdefender.com] - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext => non trouvé(e)
    2017-03-30 19:35 - 2017-03-30 19:35 - 00000000 ___HD C:\$GetCurrent
    2017-03-30 19:34 - 2017-03-30 19:34 - 05741448 _____ (Microsoft Corporation) C:\Users\Josiane Renault\Downloads\Windows10Upgrade24074.exe
    2017-03-30 19:34 - 2017-03-30 19:34 - 00000698 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assistant Mise à niveau de Windows 10.lnk
    2017-03-30 19:34 - 2017-03-30 19:34 - 00000686 _____ C:\Users\Josiane Renault\Desktop\Assistant Mise à niveau de Windows 10.lnk
    2017-03-30 19:34 - 2017-03-30 19:34 - 00000000 ____D C:\Windows10Upgrade
    2017-03-29 16:16 - 2017-03-29 16:16 - 00000000 ____D C:\ProgramData\SWCUTemp
    2010-05-06 18:36 - 2010-05-06 18:36 - 0000025 _____ () C:\Users\Josiane Renault\AppData\Roaming\bdfvconp.ini
    Task: {624F5D6B-D301-4C0D-83EA-A5DEBD0BD39C} - System32\Tasks\{CF9D4125-9452-42BA-BB0A-ABC93A6B1EAA} =>
    AlternateDataStreams: C:\ProgramData\Temp:0B9176C0 [121]
    AlternateDataStreams: C:\ProgramData\Temp:93DE1838 [129]
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
    cmd: ipconfig /flushdns
    end

    NOTE. Il est important que les deux ,L'outil FRST et le fichier fixlist.txt se trouvent dans le même emplacement, sur le bureau sinon la correction ne fonctionnera pas.

    NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
    pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

    879117Capture.png
    Exécutez FRST,
  • cliquez une seule fois sur le bouton Corriger et attendez.
    Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.
  • Ensuite laissez l'outil terminer son travail.
    Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
  • Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
    Puis copie/colle le lien fourni dans ta prochaine réponse.


  • Télécharges Adwcleaner (de Xplode) sur ton Bureau
    Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
    Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8/10 et Vista
  • Cliquez sur oui pour Accepter la licence
    574475Capture1.png
  • Choisir l'option Analyser
    Ensuite
  • Choisir l'option Nettoyer
  • Acceptez l'avertissement en cliquant sur OK
  • Hébergez le contenu du rapport qui apparaît au redémarrage du PC
    sur le site ce site d'hébergement de fichiers
    Puis copie/colle le lien fourni dans votre prochaine réponse.

  • Télécharge ZHPCleaner de Nicolas Coolman sur votre bureau.
    Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
    Fais un double clique sur l'icône pour le lancer
    Sous Windows Vista / 7 / 8 /10(clique-droit > exécuter en tant qu'administrateur
    Accepte "les conditions d'utilisation"
    563513Capture.png
  • Cliquer sur scanner
    Lorsque le scan est terminé
  • Clique sur Nettoyer
    L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
  • Cliquer sur Nettoyer pour lancer la suppression des éléments détectés
    Si un redémarrage est nécessaire pour compléter le nettoyage, cliquer sur OK et redémarrer le système
    Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche.
    Héberge le rapport ZHPCleaner.txt sur le site ce service de rapport en ligne
    Puis copier/coller le lien fourni dans votre prochaine réponse.
    Tutoriel ZHPCleaner

 

A plus.

Modifié par tomtom95

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors voilà les résultats...

 

Impossible de supprimer les applications obsolètes y compris en mode sans échec.

Voici le message d'erreur en imprime écran : http://hpics.li/97fb868

 

Impossible de lancer les logiciels de nettoyage en mode normal.

Voici le message d'erreur en imprime écran : http://hpics.li/dbf2e2b

 

Rapport de FRST : https://up.security-x.fr/file.php?h=Ref420a57a389757ddb40ab4b120e8e95

 

Rapport de adwcleaner : https://up.security-x.fr/file.php?h=R340d69e75b0b95358dee9eaf42f4b949

 

Rapport de ZHPCleaner : https://up.security-x.fr/file.php?h=R701bfda43a0081a20c813fe2c21a0495

 

Voilà, merci encore pour votre attention.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le problème du système c'est d'avoir essayer la mise à niveau vers w10.

 

Après les outils tu as bien redémarrer le pc et en mode normal ?

Pour windows installer va dans le gestionnaire des services
Dans recherche tape services.msc et valide avec Entrée
Ou dans panneau de configuration >> outils d'administration >> services
Recherche le service windows installer double clique dessus
Mettre le service windows installer en Automatique et Démarrer
Clique sur Appliquer et OK >> redémarre le pc pour prendre en compte la modification.

Si c'est OK essai de Désinstalle assistant mise à niveau w10 >> si cela ne fonctionne pas

Ouvre une invite de commandes avec élévation de privilèges.
Pour ce faire, clique sur Démarrer >> Tous les programmes >> Accessoires
Clique droit sur Invite de commande ( CMD) et exécuter en tant qu'administrateur
À l'invite de commandes,copiez/collez la commande suivante >> sfc /scannow et validez avec Entrée
La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées.

  • pour le rapport
    Télécharge cbslog.bat (sur le site fspsa.free.fr) : cbslog.bat
    Enregistre-le sur le Bureau
  • Clique droit sur cbslog.bat / Exécuter en tant qu'administrateur
    Le rapport sfcdetailsrepair.txt s'affiche, le rapport sfcdetails.txt est minimisé dans la barre des tâches.
  • Ces 2 rapports sont enregistrés sur le Bureau.
  • Copie-colle le contenu de ces 2 rapports.
    Pour me les transmettre héberger les fichiesr contenant les rapports sur le site ce site d'hébergement de fichiers
    Puis copie/colle le lien fourni dans votre prochaine réponse.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×