[Résolu] Segurazo, antivirus / virus ?

[tomtom95]

Bonjour Dylav,

Ce n'est pas très grave pour MBAM en plus en mode normal l'antivirus Avira ne doit pas nous faciliter la tâche pour le scanne.
As-tu regardé si des fichiers ont été mis dans la quarantaine de MBAM ?

Pour la dernière version néfaste télécharger de FormatFactory peux-tu pour le moment la désinstaller ?

Puis de réinitialiser la pare-feu de windows.
Clique sur Démarrer >> panneau de configuration >> icône pare-feu de windows.
Puis sur la gauche clique sur Paramètres par défaut.

On va travailler en mode sans échec.

Avant en mode normal Copie la totalité du contenu de ce correctif hébergé ici >>> https://textup.fr/362179f9
Pour ce faire, sélectionne toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier
Crée un fichier texte sur ton bureau >>> Colle le script dans un fichier texte et enregistre le.

Ensuite redémarre l'ordinateur en mode sans échec.
Puis Ouvre l'outil >> Clique-droit sur FRST.exe > exécuter en tant qu'administrateur
Dans ton fichier texte surligne le script de Start:: jusqu'a End::

(le correctif est copié automatiquement dans le Presse-Papier)
>>>>Fermer toutes les applications ouverte.

Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.

Ensuite toujours en mode sans échec fait un scanne simple Analyse maintenant avec MBAM. post son rapport Merci.

[Dylav]

Bonjour Tomtom,

1. Je n'ai rien trouvé dans la quarantaine de MBAM,
2. J'ai désinstallé Format Factory,
3. J'ai réinitialisé le pare-feu de Windows,
4. Je suis passé en mode sans échec,
5. J'ai lancé FRST64 dont voici le rapport Fixlog.txt,
6. Le redémarrage a été refusé (système modifié), startup repair, restore,
7. Redémarrage en MSE, MBAM Analyse maintenant, rapport MBAM.txt,
8. Mise en quarantaine des 99 menaces - faut-il vider la quarantaine ?,
9. Redémarrage en mode normal pour poster ce message.

Plusieurs remarques complémentaires,

1. Ce matin, avant les manips ci-dessus, j'ai fait une MAJ importante de Windows Update, qui a automatiquement été précédée d'une prise de point de restauration. Compte tenu de l'infection en cours de traitement, ce point de restauration doit être mauvais et à supprimer ? D'autre part, tous mes autres points de restauration ont disparu : est-ce dû à nos manips d'hier ?
2. Dans le Gestionnaire des tâches, il n'y a plus de processus Segurazo. Est-ce à dire que c'est tout bon ?
3. Tout à l'heure, j'ai aperçu quelques instants un processus WerFault.exe (que je n'avais jamais vu auparavant) ?
4. L'étape 6 ci-dessus a dû détricoter le travail précédent (étapes 2 - 3 - 5) : dois-je les refaire ?
5. En effet, Format Factory est à nouveau présent, et la KB915597 m'a à nouveau été proposée par Windows Update (je l'ai repassée, et elle a été précédée d'une prise de point de restauration).
6. Maintenant que Segurazo semble éradiqué (?), est-il pertinent de retenter une analyse MBAM personnalisée ?

 

Modifié le 4 août 2019 par Dylav
Ajout des remarques 5 et 6

[tomtom95]

Re,

Très bien la correction a bien fonctionner en mode sans échec.
Ce qui a permis a MBAM de finir la suppression des fichiers et clés du registre de l'infection Segurazo.
Oui tu peux vider la quarantaine de Malwarebytes.

En ce qui concerne les points de restauration ce n'est pas grave.
D'ailleur on va les purger en fin d'intervention.

Pas grave non plus pour startup repair, restore c'est la réparation de démarrage de windows l'infection avais modifier celui-ci.

WerFault c'est un processus système de Windows qui fonctionne avec Windows Error Reporting.
Ce sont des processus qui enregistre les erreurs de Windows.
Pour le moment tu n'as pas de fenêtre d'erreurs ??

Rien d'inquiétant la KB915597 concerne la mise à jour de l'antispyware Windows Defender.

Oui tu peux refaire un scan avec MBAM.
Voir avant un scan avec Adwcleaner

• Télécharges Adwcleaner  sur ton Bureau
  Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur
  Clique sur oui pour Accepter la licence
  
  Clique sur Analyser Maintenant
  Lorsque le scan est terminé les éléments détectés s'affichent
  Choisir l'option Nettoyer/réparer
  Accepte l'avertissement en cliquant sur redémarrer maintenant l'ordinateur.
  Ensuite clique sur voir le rapport
  Héberge  le contenu du rapport
  sur le site ce site d'hébergement de fichiers
  Puis copie/colle le lien fourni dans votre prochaine réponse.

Modifié le 4 août 2019 par tomtom95

[Dylav]

1. J'ai vidé la quarantaine de MBAM.
2. Pour les points de restauration, je suis quand même un peu triste d'avoir perdu tous les anciens...
3. AdwCleaner : voir le rapport ci-dessous. Il me propose de virer 4 applis HP préinstallées (mon PC est effectivement un HP). J'ai laissé les choses en l'état. Qu'en penses-tu ?

# -------------------------------
# Malwarebytes AdwCleaner 7.4.0.0
# -------------------------------
# Build:    07-23-2019
# Database: 2019-08-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    08-04-2019
# Duration: 00:00:18
# OS:       Windows 7 Professional
# Scanned:  35815
# Detected: 22

***** [ Services ] *****
No malicious services found.

***** [ Folders ] *****
No malicious folders found.

***** [ Files ] *****
No malicious files found.

***** [ DLL ] *****
No malicious DLLs found.

***** [ WMI ] *****
No malicious WMI found.

***** [ Shortcuts ] *****
No malicious shortcuts found.

***** [ Tasks ] *****
No malicious tasks found.

***** [ Registry ] *****
No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries found.

***** [ Chromium URLs ] *****
No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries found.

***** [ Firefox URLs ] *****
No malicious Firefox URLs found.

***** [ Preinstalled Software ] *****

Preinstalled.HPHealthCheck      
Preinstalled.HPProductImprovementStudy
Preinstalled.HPSupportAssistant
Preinstalled.HPTouchSmart    

AdwCleaner[S00].txt - [1757 octets] - [30/04/2019 13:46:58]
AdwCleaner[C00].txt - [1869 octets] - [30/04/2019 13:48:15]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

 

[tomtom95]

N'importe comment on est obligé de purger la restauration système.
Ce qui évite en cas de problème de restaurer un point infecté.

AdwCleaner informe que tu as 4 logiciels pré-installés non qui veut les supprimer.
Par contre il Détecté 22 fichiers ils ont été supprimer ??
Bien dis moi comment se comporte le système maintenant ?
si c'est bon je te donne le reste des démarches pour terminé cette désinfection.

[Dylav]

J'ai bien vu le nombre 22 en cours d'analyse, mais voici ce qui s'affiche à la fin...

Ceci dit, le PC semble bien se porter. En particulier, la douzaine de svchost reste stable (moins de 10 Mo chacun, sauf deux respectivement à 30 et 40 Mo).

[tomtom95]

Re,

OK même s'il ne sont pas très utile laisse tomber.

Supprimer les outils et purger la restauration.
Télécharge KpRm sur ton Bureau
Coche les 3 cases.
Supprimer les outils.
Supprimer les points de restaurations.
Créer un point de restauration

Puis clique sur Exécuter
Héberge le rapport sur le site ce site d'hébergement de fichiers
Puis copier/coller le lien fourni dans votre prochaine réponse.

Je te conseille pour l'avenir pour éviter les convenu de faire avant l'installation d'un programme..
Un point de restauration système et un scan du setup d'installation avec MBAM.
Lorsque tu fait un clique droit sur le setup du doit avoir dans la liste Examiner avec Malwarebytes.

 

[Dylav]

Voici le rapport de KpRm.

 

# Run at 04/08/2019 20:05:54
# KpRm (Kernel-panik) version 1.7.3
# Website https://kernel-panik.me/tool/kprm/
# Run by DRJMLAPS from C:\Users\DRJMLAPS\Desktop
# Computer Name: DRJMLAPS-HP
# OS: Windows 7 X64 (7601) Service Pack 1

- Search Tools -

  ## AdwCleaner
     [OK] C:\Users\DRJMLAPS\Desktop\adwcleaner_7.4.exe deleted (1)
     [OK] C:\AdwCleaner deleted (1)

  ## FRST
     [OK] C:\Users\DRJMLAPS\Desktop\FRST64.exe deleted (1)
     [OK] C:\FRST deleted (1)

  ## RogueKiller
     [OK] C:\ProgramData\RogueKiller\quarantine\0B0DD54AF09EA880.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\0B0DD54AF09EA880.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\31B9CC81C63EAEC1.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\31B9CC81C63EAEC1.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\350F4F594AFC4A62.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\350F4F594AFC4A62.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\356175624BEDA2A6.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\356175624BEDA2A6.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\411E9EC68608EEEA.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\411E9EC68608EEEA.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\4DE361D4A7D9B675.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\4DE361D4A7D9B675.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\610AE3060778B485.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\610AE3060778B485.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\62C052CC3EFB780E.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\62C052CC3EFB780E.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\6B6B5E5DCE65512A.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\6B6B5E5DCE65512A.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\6D3FBC9B6F4B9A33.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\6D3FBC9B6F4B9A33.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\6DDD224BD64D11FB.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\6DDD224BD64D11FB.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\829395DB5286D321.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\829395DB5286D321.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\86FD736D993A9C93.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\86FD736D993A9C93.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\8F17958B4A53D430.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\8F17958B4A53D430.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\94F43BE16D847C8E.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\94F43BE16D847C8E.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\A16CB97355B10679.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\A16CB97355B10679.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\A874BEC336C60B4D.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\A874BEC336C60B4D.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\B4232DFDF63C8740.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\B4232DFDF63C8740.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\B64F8BF2DA74A257.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\B64F8BF2DA74A257.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\D9F7DAAD2C792A81.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\D9F7DAAD2C792A81.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\E73A21BA32736467.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\E73A21BA32736467.reg deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\F3EB890E904DFE21.meta deleted (1)
     [OK] C:\ProgramData\RogueKiller\quarantine\F3EB890E904DFE21.reg deleted (1)

  ## ZHP Tools
     [OK] C:\Users\DRJMLAPS\AppData\Local\ZHP deleted (1)
     [OK] HKCU\SOFTWARE\ZHP deleted (1)

- Clear All System Restore Points -

    ~ [OK] RP named Windows Update created at 08/04/2019 09:55:24 deleted
    ~ [OK] RP named Windows Update created at 08/04/2019 13:24:29 deleted

  [OK] All system restore points have been successfully deleted

- Create New System Restore Point -

  [OK] Enable System Restore
  [OK] System Restore Point created

- Display All System Restore Point -

    ~ RP named KpRm created at 08/04/2019 18:06:09 found

Merci pour ton assistance et pour tes conseils.

Merci pour ton assistance et tes conseils !

[tomtom95]

De rien c'était avec plaisir surtout que c'était une vrai Mer**.
Si tu veux en complément tu peux vérifier les fichiers système avec CMD(Admin) et la commande sfc /scannow

Voilà un petit tag Résolu.
Bon début de semaine.

[Dylav]

Oups ! Dire que c'est moi qui oublie de marquer mon sujet résolu...
Merci encore.

Modifié le 5 août 2019 par Dylav
Ortograf !