[Résolu] PC sûrement infecté

[Apollo]

Bonjour,

 

Pas de problème, bon dimanche à toi aussi.

 

Merci.

[auriane63]

Bonjour Apollo,

 

Toutes mes excuses pour notre rdv web manqué hier mais je n'ai pas touché terre au boulot.

Voici le rapport CTR

https://www.cjoint.com/c/GLtfRSaNLeG

 

Bonne journée

[Apollo]

Bonjour,

 

Comment se comporte la machine? est-ce que ça va mieux?

 

Fais les vérifications de mises à jour de tes applications à l'aide de l'utilitaire Kaspersky Software Updater: http://forum.zebulon.fr/kaspersky-software-updater-t217191.html?p=1812832 Sauf si tu as Kaspersky installé, il a la même fonction dans ses modules.

 

Après avoir fait le nécessaire, refais un scan ZhpDiag et héberge son rapport sur Cjoint.com stp: http://www.cjoint.com/ Colle le lien obtenu dans ta réponse.

 

@++

[auriane63]

Bonsoir Apollo,

 

Effectivement, merci beaucoup, j'ai l'impression que cela va bien bien mieux, si ce n'est que j'ai une alerte récurrente de site malveillant istatic.eshop.com avec différentes adresses IP.

 

J'ai passé l'utilitaire Kaspersky Software Updater qui n'a trouvé aucune mise à jour.

 

Voici le rapport zhpdiag : https://www.cjoint.com/c/GLts7zUc3jG

J'ai vu sur ce rapport que teamviewer apparaissait pourtant je pensais avoir tout desinstallé...

 

Merci encore et encore pour ton aide

[Apollo]

Bonsoir,

 

La méthode de désinfection employée devrait t'avoir débarrassée de toute infection. C'est à mon avis une attaque de réseau, attaques très fréquentes mais qui bute contre ton pare -feu et MBAM. (MalwareBytes est très sévère là-dessus mais est envahissant avec ses pop up.) Réutilise CCleaner (à jour) pour supprimer les temporaires et autres inutiles; ne touche pas à l'outil registre, cela vaut mieux.

 

Si tu te débrouilles en anglais, tu peux demander assistance sur le forum officiel de MalwareBytes à propos de cette alerte répétitive; tu peux leur demander s'il y a moyen que leur logiciel fasse son travail mais "en silence" , c'est à dire qu'il n'affiche pas les pop up (ce serait bien de tomber sur S!RI qui est un français - du moins un francophone - travaillant chez eux). Perso, je l'ai fait sur Kaspersky pour les attaques réseau, sinon il m'en signale 36 part jour Je ne connais pas assez les paramètres de MalwareBytes pour dire comment faire avec ce programme qui m'est rarement utile, vu ma protection totale et très efficace. https://forums.malwarebytes.com/forum/41-malwarebytes-3/

 

En effet, il reste des traces, il y a cependant moyen de nettoyer cela efficacement: réinstaller TeamWiever et ensuite utiliser Revo Uninstaller pour le désinstaller; cet outil va nettoyer ce que les désinstalleurs d'origine "oublient" de supprimer. http://www.commentcamarche.net/download/telecharger-34056359-teamviewer

 

La version portable de REVO: https://www.revouninstaller.com/revo_uninstaller_free_download.html

 

Pour Un tutoriel de RevoUninstaller (avec un exemple) ==>> http://www.ordi-netfr.com/tutorialRevoUninstaller.php

Tu le fais en mode avancé, c'est la façon la plus efficace pour aller chercher tout fichier ou clé de registre qui subsisterait.

 

Mais avant de faire cela, fais ce qui suit, ce n'est rien de grave, juste des entrées orphelines.

 

ZHPFix :

 

Télécharger sur le BUREAU: http://www.nicolascoolman.fr/download/zhpfix/ (provisoire).

Sauf si tu l'as déjà téléchargé.

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8/10 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

 

 

 

 

 

Script ZhpFix

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk

HKLM\Software\Wow6432Node\Classes\CLSID\{CCA9EFD3-29ED-430A-BA6D-E6BBFF0A60C2}

HKLM\Software\Classes\lnkfile\shellex\ContextMenuHandlers\McCtxMenuFrmWrk

HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui

HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@++

Modifié le 19 décembre 2017 par Apollo

[auriane63]

merci pour tous tes conseils, je devrais pouvoir me débrouiller en anglais.

 

voici le rapport zhpfix

Rapport de ZHPFix 2017.06.13.1 par Nicolas Coolman, Update du 13/06/2017
Fichier d'export Registre :
Run by Tauveron Auriane at 19/12/2017 20:47:16
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (16299)

Corbeille vidée (00mn 02s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}
SUPPRIMÉ: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk
SUPPRIMÉ: HKLM\Software\Classes\lnkfile\shellex\ContextMenuHandlers\McCtxMenuFrmWrk
SUPPRIMÉ: HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui
SUPPRIMÉ: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\McCtxMenuFrmWrk
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (3)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (86) (4 183 231 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
6 : Clés du Registre
10 : Valeurs du Registre
3 : Dossiers
2 : Fichiers


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\Users\Tauveron Auriane\AppData\Roaming\ZHP\ZHPFix[R1].txt - 19/12/2017 20:47:20 [1818]

Je te souhaite une bonne soirée car il est temps pour moi de rentrer à la maison lol j'en ai marre du bureau

[Apollo]

A cette heure! je veux bien te croire!!!

Bonne soirée à toi aussi.

 

Il faudra juste désinstaller les outils spéciaux et terminer le sujet comme suit::

 

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. https://toolslib.net/downloads/viewdownload/2-delfix/

Lance-le et coche "Supprimer les outils de désinfection" ET "purger la restauration système" ; >> Exécuter.

 

 

Delfix s'autodétruira ensuite.

• Pense à éditer ton premier post pour ajouter [Résolu] devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

Utilise pour ça, l'éditeur complet

 

 

@++

 

PS: vérifie que le nouveau point de restauration soit bien créé car il arrive que l'outil ne fonctionne pas pour cela avec Windows 10; s'il n'y a pas de point nommé "fin de désinfection", il faudra que tu en crées un nouveau manuellement via Panneau de configuration ==>> récupération.

 

Je vais revenir placer deux captures d'écran.

 

@++

Modifié le 19 décembre 2017 par Apollo

[Apollo]

Voilà:

 

 

[auriane63]

Bonjour Apollo,

 

Voilà j'ai tout fait suivant tes instructions. Effectivement j'ai du créer un point de restauration

Je te remercie encore vivement pour le temps que tu m'as accordé et je te souhaite de très joyeuses fêtes de fin d'année.

 

Joyeux Noël

[Apollo]

Bonjour,

 

je te remercie; c'est un plaisir de travailler avec quelqu'un qui a confiance (ici bien placée ) et qui suit les instructions sans rechigner.

 

A propos des points de restauration, vérifie de temps en temps, disons une fois par semaine, et crée-en un manuellement pour en avoir plusieurs "sous le coude" en cas de besoin.

Conserve l'outil de mises à jour Kaspersky, il est très important d'avoir toujours ses applications à jour.

 

Joyeux Noël à toi également!

 

Apo.

 

Modifié le 20 décembre 2017 par Apollo