[Résolu] PC infecté lors d'une tentative de phishing

[ab-web]

Bonsoir

Pulse fait de la résistance il y a encore un peu de travail

Pour que je puisse affiner ma correction

Je vois deux programmes de prise de contrôle a distance

• Teamviewer (accès et contrôle a distance )
• Splashtop  (bureau a distance , accès a distance)

Est ce qu'il sont volontairement installés et que tu t'en sers pour l'aider ?

[Youngwipe]

Bonjour,

Pour Pulse, il l'a désinstallé mais c'est un outil de travail donc je pense que ce n'est pas grave. Par contre les deux autres ne sont pas de notre fait.

[ab-web]

Bonjour

OK pour Pulse sécure , s'il s'en sers pour une entreprise (télétravail ou autre ) il peu le réinstaller .

on refait une petite correction avec FRST

copie le texte en vert ci dessous > colle le dans un fichier bloc note > enregistre le sous le nom de Fixlist.txt

CloseProcesses:
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
C:\ProgramData\GlarySoft
C:\Program Files (x86)\Glarysoft
C:\Users\treff\AppData\Roaming\GlarySoft
C:\Users\treff\AppData\Local\Splashtop
C:\ProgramData\Splashtop
C:\WINDOWS\system32\SRCredentialProvider.dll
C:\Users\treff\AppData\Local\TeamViewer
C:\Users\treff\AppData\Roaming\TeamViewer
C:\Program Files (x86)\TeamViewer
cmd: ipconfig /flushdns
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state on
cmd: netsh winsock reset
Emptytemp:

Ensuite : opère comme pour la première correction .

Modifié le 2 novembre 2020 par ab-web

[Youngwipe]

Bonjour,

 

D'après mon beau-père, seul FixLog a été généré. Le voici :

https://www.cjoint.com/c/JKdi1cVvmFF

 

Merci.

[ab-web]

Bonjour

Citation

D'après mon beau-père, seul FixLog a été généré.

C'est normal je n'attendais rien d'autre , le fixlog.txt , est le résultat de la dernière correction demandée .
On en a terminé avec ce PC , je te donnerais les instructions pour le PC2 dans un moment .

Modifié le 3 novembre 2020 par ab-web

[ab-web]

Hello

C'est parti pour le PC2

Nous allons faire une correction avec FRST

Important avant de commencer : ta belle mère doit obligatoirement mettre FRST sur le bureau ( elle l'a lancé depuis le dossier téléchargement)
il lui suffit d'ouvrir le dossier , cliquer droit sur FRST >> copier >> puis le coller sur le bureau !

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF-FRST
Sélectionne a la souris le texte de Systemrestore: on a Emptytemp: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

copie le texte dans un fichier Bloc note , que tu enregistre sous le nom de FixList.txt

    envoie ce fichier a ta belle mère , en pièce jointe dans un mail !
    elle devra le télécharger a l'endroit ou est placé FRST c'est a dire sur le bureau
    quand le fichier est sur le bureau , elle lance FRST en tant qu'administrateur , clique une seule fois sur Corriger , elle doit bien attendre la fin , l'ordinateur devra être redémarré
    après redémarrage FRST termine son travail , et place un rapport sur le bureau nommé "FixLog.txt"
Héberge les rapports FRST.txt et Addition.txt met les liens dans la prochaine réponse .

Ensuite elle doit Télécharger ZHPCleaner ZHpCleaner

Cet outil ne nécessite aucune installation

Sous Windows / 7 / 8 / 10 - clic-droit > exécuter en tant qu'administrateur
- Accepte "les conditions d'utilisation"

Important >>  Avant de lancer le scan clic sur options
tout cocher Sauf les deux surlignées > clique sur le bouton fermer

- 1 Cliquer sur Scanner

- 2 laisse travailler

héberge le rapport "ZHPCleaner(s).txt" sur cjoint  met le lien sur ta réponse.

J'attends trois rapports , FRST.txt - Addition.tx et le rapport de scan de ZHPcleaner .

Modifié le 3 novembre 2020 par ab-web

[Youngwipe]

Bonjour et désolé pour le délai, c'est plus compliqué avec ma belle-mère.

Pour ZHPCleaner, ça s'est déroulé comme attendu et voici le rapport : https://cjoint.com/c/JKgiTFGwyFF

En revanche, pour FRST, elle me dit qu'il n'y a pas de rapport addition ou FRST.txt, uniquement le FixLog que voici : https://cjoint.com/c/JKgiVH1VVNF

J'espère que ce n'est pas un problème. Encore merci !

[ab-web]

Bonjour

Citation

En revanche, pour FRST, elle me dit qu'il n'y a pas de rapport addition ou FRST.txt, uniquement le FixLog

Normal je n'attendais rien d'autre ; c'est le résultat de la correction ( qui par ailleurs s'est bien déroulée )

Pour ZHpcleaner , elle peu faire le nettoyage , pour cela il faut relancer Zhpcleaner Faire le scan et dès qu'il est fini cliquer sur le bouton Nettoyer

lancer par clic-droit > exécuter en tant qu'administrateur
- Accepte "les conditions d'utilisation"

Important >>  Avant de lancer le scan clic sur options > tout cocher Sauf les deux surlignées > fermer

- 1 Cliquer sur Scanner

- laisse travailler

- 2 Dans la fenêtre de Zhpcleaner : Clic sur nettoyer

L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
cliquer sur nettoyer pour lancer la suppression des éléments détectés

- Fermeture des navigateurs pour le nettoyage
- En cas de présence d'un proxy, un message apparaît avec la question suivante "Avez-vous installé ce proxy ?" suivi de l'adresse IP du proxy . Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.

- En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante "Avez-vous installé ce serveur ?" suivi du nom du serveur, si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation.

héberge le rapport sur cjoint  met le lien sur ta réponse.

 

[Youngwipe]

Bonjour,

Voici le lien du rapport ZHPCleaner : https://cjoint.com/c/JKhk21kwBUF

Merci encore.

[ab-web]

Bonjour

Merci du retour , nous allons pouvoir terminer .

Fait exécuter cette procédure sur les deux PC .

KpRm (de Kernel-panik)

Si l'antivirus râle : il faut le désactiver ! le temps du téléchargement et de l'exécution

Télécharge KPRM (de Kernel-panik) sur le bureau (obligatoire)
 
Téléchargement direct sur ToolsLib KPRM.EXE
OU informations + Téléchargement > KPRM.INFOS

Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
Accepte les conditions (Disclaimer of warranty!) en cochant Yes .

Coche les cases : comme sur l'image ci dessous.

Clique sur [Exécuter] ...laisse travailler jusqu'au bout : il est possible qu'un redémarrage soi demandé
    

Un rapport kprm sera placé sur le bureau
héberge le sur CJOINT
Donne le lien créé dans ta réponse.

Modifié le 7 novembre 2020 par ab-web