Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] PC infecté lors d'une tentative de phishing


Messages recommandés

Bonsoir

Pulse fait de la résistance il y a encore un peu de travail

Pour que je puisse affiner ma correction

Je vois deux programmes de prise de contrôle a distance

  • Teamviewer (accès et contrôle a distance )
  • Splashtop  (bureau a distance , accès a distance)

Est ce qu'il sont volontairement installés et que tu t'en sers pour l'aider ?

Lien à poster
Partager sur d’autres sites

Bonjour,

Pour Pulse, il l'a désinstallé mais c'est un outil de travail donc je pense que ce n'est pas grave. Par contre les deux autres ne sont pas de notre fait.

Lien à poster
Partager sur d’autres sites

Bonjour

OK pour Pulse sécure , s'il s'en sers pour une entreprise (télétravail ou autre ) il peu le réinstaller .

on refait une petite correction avec FRST

copie le texte en vert ci dessous > colle le dans un fichier bloc note > enregistre le sous le nom de Fixlist.txt

CloseProcesses:
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
C:\ProgramData\GlarySoft
C:\Program Files (x86)\Glarysoft
C:\Users\treff\AppData\Roaming\GlarySoft
C:\Users\treff\AppData\Local\Splashtop
C:\ProgramData\Splashtop
C:\WINDOWS\system32\SRCredentialProvider.dll
C:\Users\treff\AppData\Local\TeamViewer
C:\Users\treff\AppData\Roaming\TeamViewer
C:\Program Files (x86)\TeamViewer
cmd: ipconfig /flushdns
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state on
cmd: netsh winsock reset
Emptytemp:

Ensuite : opère comme pour la première correction .

Modifié par ab-web
Lien à poster
Partager sur d’autres sites

Bonjour

Citation

D'après mon beau-père, seul FixLog a été généré.

C'est normal je n'attendais rien d'autre , le fixlog.txt , est le résultat de la dernière correction demandée .
On en a terminé avec ce PC , je te donnerais les instructions pour le PC2 dans un moment .

Modifié par ab-web
Lien à poster
Partager sur d’autres sites

Hello

C'est parti pour le PC2

Nous allons faire une correction avec FRST

Important avant de commencer : ta belle mère doit obligatoirement mettre FRST sur le bureau ( elle l'a lancé depuis le dossier téléchargement)
il lui suffit d'ouvrir le dossier , cliquer droit sur FRST >> copier >> puis le coller sur le bureau !

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF-FRST
Sélectionne a la souris le texte de Systemrestore: on a Emptytemp: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

copie le texte dans un fichier Bloc note , que tu enregistre sous le nom de FixList.txt

    envoie ce fichier a ta belle mère , en pièce jointe dans un mail !
    elle devra le télécharger a l'endroit ou est placé FRST c'est a dire sur le bureau
    quand le fichier est sur le bureau , elle lance FRST en tant qu'administrateur , clique une seule fois sur Corriger , elle doit bien attendre la fin , l'ordinateur devra être redémarré
    après redémarrage FRST termine son travail , et place un rapport sur le bureau nommé "FixLog.txt"
Héberge les rapports FRST.txt et Addition.txt met les liens dans la prochaine réponse .


Ensuite elle doit Télécharger ZHPCleaner ZHpCleaner

Cet outil ne nécessite aucune installation

Sous Windows / 7 / 8 / 10 - clic-droit > exécuter en tant qu'administrateur
- Accepte "les conditions d'utilisation"

Important >>  Avant de lancer le scan clic sur options
tout cocher Sauf les deux surlignées > clique sur le bouton fermer

rep5.jpg

- 1 Cliquer sur Scanner

kbgi.png

- 2 laisse travailler

héberge le rapport "ZHPCleaner(s).txt" sur cjoint  met le lien sur ta réponse.

J'attends trois rapports , FRST.txt - Addition.tx et le rapport de scan de ZHPcleaner .

Modifié par ab-web
Lien à poster
Partager sur d’autres sites

Bonjour et désolé pour le délai, c'est plus compliqué avec ma belle-mère.

Pour ZHPCleaner, ça s'est déroulé comme attendu et voici le rapport : https://cjoint.com/c/JKgiTFGwyFF

En revanche, pour FRST, elle me dit qu'il n'y a pas de rapport addition ou FRST.txt, uniquement le FixLog que voici : https://cjoint.com/c/JKgiVH1VVNF

J'espère que ce n'est pas un problème. Encore merci !

Lien à poster
Partager sur d’autres sites

Bonjour

Citation

En revanche, pour FRST, elle me dit qu'il n'y a pas de rapport addition ou FRST.txt, uniquement le FixLog

Normal je n'attendais rien d'autre ; c'est le résultat de la correction ( qui par ailleurs s'est bien déroulée )

Pour ZHpcleaner , elle peu faire le nettoyage , pour cela il faut relancer Zhpcleaner Faire le scan et dès qu'il est fini cliquer sur le bouton Nettoyer

lancer par clic-droit > exécuter en tant qu'administrateur
- Accepte "les conditions d'utilisation"

Important >>  Avant de lancer le scan clic sur options > tout cocher Sauf les deux surlignées > fermer

rep5.jpg

- 1 Cliquer sur Scanner

kbgi.png

- laisse travailler

- 2 Dans la fenêtre de Zhpcleaner : Clic sur nettoyer

3va3.png

L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
cliquer sur nettoyer pour lancer la suppression des éléments détectés

5txe.png

- Fermeture des navigateurs pour le nettoyage
- En cas de présence d'un proxy, un message apparaît avec la question suivante "Avez-vous installé ce proxy ?" suivi de l'adresse IP du proxy . Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.

- En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante "Avez-vous installé ce serveur ?" suivi du nom du serveur, si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation.

héberge le rapport sur cjoint  met le lien sur ta réponse.

 

Lien à poster
Partager sur d’autres sites

Bonjour

Merci du retour , nous allons pouvoir terminer .

Fait exécuter cette procédure sur les deux PC .

KpRm (de Kernel-panik)

Si l'antivirus râle : il faut le désactiver ! le temps du téléchargement et de l'exécution

Télécharge KPRM (de Kernel-panik) sur le bureau (obligatoire)
 
Téléchargement direct sur ToolsLib KPRM.EXE
OU informations + Téléchargement > KPRM.INFOS

Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
Accepte les conditions (Disclaimer of warranty!) en cochant Yes .

Coche les cases : comme sur l'image ci dessous.

o8il.png

Clique sur [Exécuter] ...laisse travailler jusqu'au bout : il est possible qu'un redémarrage soi demandé
    
rvzo.png

Un rapport kprm sera placé sur le bureau
héberge le sur CJOINT
Donne le lien créé dans ta réponse.

Modifié par ab-web
Lien à poster
Partager sur d’autres sites
  • Youngwipe changed the title to [Résolu] PC infecté lors d'une tentative de phishing

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...