[Résolu] Grosse infection sur ordinateur portable

[ysaw]

Bonjour,

 

Mon ordi est sérieusement infecté : tâches automatiques que je n'ai jamais lancées sont programmées, fenêtres intempestives se lancent...

Merci de votre aide future.

 

Bonne journée à tous !

Sophie

Modifié le 2 juillet 2017 par ysaw

[tomtom95]

Bonjour ysaw,


Pour commencer vous allez faire un diagnostic de votre ordinateur avec l'outil FRST

Télécharger sur votre Bureau << IMPORTANT pas ailleurs
Selon votre système exploitation 32 Bit ou 64 Bits
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits
Farbar Recovery Scan Tool pour systèmes x32 (x86)
Farbar Recovery Scan Tool Pour systèmes x64

• Ferme toutes les applications en cours (notamment votre navigateur)
• Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
• puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
  Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Cochez les cases comme sur la capture
• Cliquez sur le bouton ANALYSE.
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
• Héberge les rapports sur le site ce service de rapport en ligne
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur ENVOI,
  Puis copie/colle les liens fourni ICI dans votre prochaine réponse.

 

[ysaw]

Bonjour et merci pour votre aide !

 

Voici le lien pour "Addition" : https://up.security-x.fr/file.php?h=R137051c5d2413403c6577a03781cecd1

Celui pour "FRST" : https://up.security-x.fr/file.php?h=R62c4fadb36db92128d59689dba2186c4

 

Encore merci pour l'aide !

Bonne journée

Sophie

[tomtom95]

Re,

Rien de très inquiétant en apparence sur tes rapports.

Le problème sur ton ordinateur c'est qu'il comporte des blocs défectueux.
Il est fort probable que ton disque dur commence a lâcher.
Je te conseille de faire sans tarder une sauvegarde de tes fichiers personnels sur un support externe (clé USB ou disque )


Ne passez qu'une seule fois les outils

• Vous allez faire une correction Farbar Recovery Scan Tool
• Ouvrez le Bloc-notes (notepad).
• Copiez le contenu de la zone code ci-dessous.
• Pour ce faire, sélectionnez toutes les lignes, de start jusqu'a end
• faites un clique droit et choisis Copier.
• Collez ceci dans la fenêtre ouverte du Bloc-notes.
• Dans la page du Bloc-notes Clique en haut sur Fichier >> puis enregistrer sous
• Sur la nouvelle page
• Fait le choix de bureau >> dans la fenêtre Nom du fichier
• Tape le nom fixlist.txt et clique sur Enregistrer le fichier.
• Le fichier ce trouve maintenant sur le bureau
  

  start
  CreateRestorePoint:
  CloseProcesses:
  Hosts:
  RemoveProxy:
  EmptyTemp:
  URLSearchHook: [s-1-5-21-3991131375-1551861091-2836107709-1001] ATTENTION => URLSearchHook par défaut est absent
  SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-21-3991131375-1551861091-2836107709-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-21-3991131375-1551861091-2836107709-1002 -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL =
  CHR Extension: (Chrome Media Router) - C:\Users\ysaw\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm
  2014-10-29 08:25 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
  2014-10-29 08:25 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
  2014-10-29 08:25 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
  Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Pas de fichier
  Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Pas de fichier
  Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Pas de fichier
  Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Pas de fichier
  Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Pas de fichier
  Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Pas de fichier
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
  cmd: ipconfig /flushdns
  end

  NOTE. Il est important que les deux ,L'outil FRST et le fichier fixlist.txt se trouvent dans le même emplacement, sur le bureau sinon la correction ne fonctionnera pas.
  
  NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
  pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
  
  Exécutez FRST,
• cliquez une seule fois sur le bouton Corriger et attendez.
  Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.
• Ensuite laissez l'outil terminer son travail.
  Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
• Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
  Puis copie/colle le lien fourni dans ta prochaine réponse.

• Télécharges Adwcleaner (de Xplode) sur ton Bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8/10 et Vista
• Cliquez sur oui pour Accepter la licence
  
• Choisir l'option Analyser
  Ensuite
• Choisir l'option Nettoyer
• Acceptez l'avertissement en cliquant sur OK
• Hébergez le contenu du rapport qui apparaît au redémarrage du PC
  sur le site ce site d'hébergement de fichiers
  Puis copie/colle le lien fourni dans votre prochaine réponse.

• Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  pour vista/W7/W8/10 clique-droit > exécuter en tant qu'administrateur
• A la fin de l'installation,
• Clique sur Terminer. Malwarebyte's s'ouvre
• Lancer l'examen >> Analyse Maintenant
• Quand l'examen est terminé, SI des éléments ont été Détectés,
• Appliquer les actions cliquez sur Quarantaine sélectionnée
  Pour laisser MBAM nettoyer ce qui a été détecté.
• Si un redémarrage est demandé, clique sur OUI.
• Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
• Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
• Cliquez sur l'onglet Comptes-rendus .
• Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
• Cliquez sur Afficher Exporter.
• Cliquez sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
• Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
• Cliquez sur OK
• Hébergez le contenu du rapport sur le site ce service de rapport en ligne
  Puis copie/colle le lien fourni dans votre prochaine réponse.
  Tutoriel Malwarebytes en images

 

A plus.

[ysaw]

Bonsoir !

 

Bien, à cause des bugs et ralentissements, ça m'a pris quasi 3h mais j'ai fait toute la procédure.

A noter, j'avais déjà installé Mbam que j'ai tenté de désinstaller pour réinstaller celui en suivant ton lien. Je n'ai pas pu aller jusqu'au bout de la désinstallation, le système me signale que le dossier ou l'un des fichiers est ouvert dans un autre programme.

J'ai cherché à le désinstaller via le panneau de config, il n'apparaît pas dans la liste de la rubrique "désinstaller un programme".

J'ai tout de même installer le nouveau mbam et suivi la procédure.

 

En tout cas, voici les rapports :

FRST : https://up.security-x.fr/file.php?h=R2cf35d207eb5ef50c4617958895a24d7

Adwleaner : https://up.security-x.fr/file.php?h=R31cf163aafb7b3a0f8bf6a4a21515fc0

Mbam : https://up.security-x.fr/file.php?h=R2130381fc090ff5d7f5a8e6949be4236

 

Encore merci pour l'aide apportée !

 

Bonne soirée

Sophie

[tomtom95]

Bonjour,

Bien comme je l'ai dit le problème n'est pas dû entièrement à une infection (J'espère que tu as sauvegardé tes fichiers perso sur un support externe.)
On va effectuer deux procédures pour voir si c'est réparable ou si le disque dur commence à être HS.

Pour essayer de rectifier les dysfonctionnements fais un CHKDSK.
Ouvre une invite de commandes
clique droit sur Démarrer
Clique droit sur Invite de commande ( CMD) et exécuter en tant qu'administrateur
Tape ou copie/colle cette commande chkdsk c: /F/R et appuie sur [Entrée]
il te seras proposé de lancer la vérification au prochain démarrage de ton PC,
le volume (ton disque) étant en cours d’utilisation.
Au message tape sur la lettre (O) oui et redémarre le pc
Un scanne afin de réparer le volume ,et de tenter une récupération des données dans les secteurs défectueux va ce faire c'est un peu long donc patience.

• Ensuite Télécharger Report_CHKDSK sur votre Bureau
• Clique droit exécuter en tant qu'administrateur
  Le scanne effectuer le rapport RapportCHK_ jour:mois ce trouve sur votre bureau
• Héberge le rapport sur le site ce site d'hébergement de fichiers
  puis copie/colle le lien fourni dans ta prochaine réponse.

Après pour vérifier ton disque,
Télécharge HDtune
Lance l'application par clique-droit >> exécuter en tant qu'administrateur
Une fois installé, lance le menu par l'onglet "Health", et fais une copie d'écran
De même avec l'onglet "Error scan", tu cliques sur "Start"
/!\ L'analyse peut être très longue /!\
Une fois terminé même chose, tu me fais une copie d'écran.
Tu postes le tout comme ceci :
Créer et héberger une copie d'écran
Aide Verifier la santé de votre disque dur

 

[ysaw]

Bonjour,

Je suis en train de copier les fichiers sur un DD externe mais cela prend des plombes à cause des ralentissements.

Mais je ne lâche pas l'affaire !

J'ai vu qu'au bout de 3 jours sans réponse vous supprimiez le post, j'essaye de copier les fichiers le plus vite possible mais je pense que j'en ai pour une grosse poignée d'heures réparties sur plusieurs jours.

Je fais la procédure dès que j'ai libéré l'espace.

 

Bonne journée à vous !

Sophie

[tomtom95]

Bonjour,

 

Le message, c'est pour tous ceux qui demandent une aide et ne donnent jamais suite

Aucun souci si je suis prévenu, je garde le sujet .

 

Bonne soirée.

[ysaw]

Bonjour,

 

On est bon !

 

Alors, voici le rapport CHKDSK : https://up.security-x.fr/file.php?h=R5d72ea330f630e11290832f243e3985c

 

HDTune Healt 1&2 :

 

HDTune Error scan :

 

Une excellente soirée et un bon week-end.

Sophie

[tomtom95]

Bonsoir,

Ton lien de RapportCHK ne point sur rien il manque une petite partie de l'adresse.

En ce qui concerne HDtune on peut voir qu'il y a deux secteurs endommagés dans l'onglet Error scan.(les petit points rouge)
On va dire que pour le moment, ce n'est pas encore trop grave, par contre on ne peut pas définir le temps que ça prendra.(un mois un ans...)
Je pense qu' il ne te faudra pas trop tarder quand même à remplacer ton disque dur avant qu'il rende l'âme.

Après avoir posté le le rapport CHKDSK.
Dis moi comment se comporte ton système ?
Si c'est bon je te donne le reste des démarches pour terminé.

A plus.