Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour je viens vers vous afin de débarrasser l'ordinateur de mon père d'un cheval de Troie nommé boxclone. il est signalé avec redondance lorsque mozilla est ouvert, redondance tellement fréquente que cela ralentit l'activité complète du pc.

 

J'ai fait un scan avec FRST afin que vous puissiez m'aider.

voici les liens de l'addition : https://up.security-x.fr/file.php?h=R3a8fdbbf890ba2881d4979a61fd584bb

et le fichier FRST : https://up.security-x.fr/file.php?h=R98d30128d9c456d77b22914b47aa0cc2.

 

Je resterai vigilent sur vos réponses mais ne pourrais intervenir sur le pc que lorsque j'irais donc possible quelques jours d'attente.

 

Je vous remercie d'avance.

Restant a votre disposition, votre serviteur angesansaile.

  • Dylav a modifié le titre en Cheval de Troie « boxclone »

Posté(e) (modifié)

Hello

Pour commencer désinstalle Adobe Flash player , il est abandonné par adobe , et n'est de toute façon plus utile .

Ensuite nous faisons une correction avec FRST

Pour la correction

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF FRST
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur
    
ATTENTION: R7MmRxVg Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton  Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

Ensuite Zhpcleaner

Télécharge ZHPcleaner

BlogNicolasCoolmanZHPcleaner

 Cet outil ne nécessite aucune installation

Sous Windows / 7 / 8 / 10 - clic-droit > exécuter en tant qu'administrateur
- Accepte "les conditions d'utilisation"

Important >>  Avant de lancer le scan clic sur options > tout cocher Sauf les trois surlignées > clique sur le bouton fermer

6yxl.png

- 1 Cliquer sur Scanner

kbgi.png

- laisse travailler

- 2 Quand le scan est fini : dans la fenêtre de Zhpcleaner : Clic sur nettoyer

3va3.png

L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
cliquer sur nettoyer pour lancer la suppression des éléments détectés

5txe.png

- Fermeture des navigateurs pour le nettoyage
- En cas de présence d'un proxy, un message apparaît avec la question suivante "Avez-vous installé ce proxy ?" suivi de l'adresse IP du proxy . Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.

- En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante "Avez-vous installé ce serveur ?" suivi du nom du serveur, si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation.

héberge le rapport sur cjoint  met le lien sur ta réponse.

Refait une analyse avec FRST

Sont attendus les rapports

  • Fixlog.txt
  • ZhpCleaner[R].txt
  • les deux rapports FRST

 

Modifié par ab-web
  • 2 semaines après...
Posté(e)

Bonjour, toutes les étapes ont été réalisées. Merci pour ces explications claires et précises.

Voici les liens vers les rapports :
addition : https://cjoint.com/c/KDkn7G8ZEYV
FRST : https://cjoint.com/c/KDkobcjpGvV
ZHPcleaner R : https://cjoint.com/c/KDkobU6rdDV
Fixlog : https://cjoint.com/c/KDkoclXRAGV

Merci d'avance pour votre analyse.
Votre serviteur.

Posté(e)

Bonjour

Merci du retour ,

Citation

'un cheval de Troie nommé boxclone. il est signalé avec redondance lorsque mozilla est ouvert, redondance tellement fréquente que cela ralentit l'activité complète du pc.

 

Est ce que le souci initial est toujours présent

On continu avec une analyse Malwarebytes

Lance malwarebytes Clique sur Analyse

h9nx.png

laisse tourner l'analyse jusqu'à la fin

lwux.png

Si des éléments sont trouvés clique sur quarantaine
Clique ensuite sur afficher le compte rendu

db28.png

[*]Une autre fenêtre s'ouvre... tu cliques sur Exporter puis sur Exporter au format .

gnba.png
klnb.png

[*]Nomme le rapport MBAM.txt

[*]Enregistre le rapport sur le bureau.

[*]Héberge ce rapport sur cjoint > https://cjoint.com
Copie/Colle le lien généré dans ta réponse.[/list]

Posté(e)

bonsoir, alors un point positif mais beaucoup d'autres négatifs.

les messages boxclone n'apparaissent plus, mais c'est le seul côté positif, car depuis le nettoyage au fur et à mesure des jours tout part en vrille.

ça commence avec chrome qui ne veut plus s'ouvrir, mon père passe par mozilla, qui rame toujours lorsqu'il ouvre youtube mais sans message boxclone mais avec un bandeau jaune une page ralentit ... puis bandeau rouge dans firefox qui signale ne plus pouvoir se mettre à jour, historique reste vierge malgré des pages consulté, mettre des marques page est impossible... il m'est même impossible de répondre au message de ce forum car l'encart réponse n'apparait pas ou mal.

et ce n'est pas tout il m'est même impossible d'enregistrer le fichier txt du rapport MBAM sur le PC il indique que le fichier ou le repertoire est endommagé et illisible.

idem sur la boite mail, impossible d'écrire un nouveau mail...

bref le nettoyage à laisser des traces.

j'ai réussi à exporté le txt via mon tel branché en usb et vous répond via mon pc perso.

MBAM.txt : https://cjoint.com/c/KDprInmREWK

j'y retourne samedi pour la suite

Posté(e)

Bonsoir

Merci du retour

Tu a pu constater que le PC était vérolé , malwarebytes n'a rien trouvé d'autre c'est une bonne chose .

IL faut réinitialiser firefox :   https://www.clubic.com/tutoriels/article-858072-1-comment-reinitialiser-firefox.html

Et chrome  :                         https://support.google.com/pixelslate/answer/3296214?hl=fr-CA

Posté(e)

Bonjour

Avant la réinitialisation de Firefox et désinstallation de Chrome , fait la petite correction suivante avec FRST.

Pour la correction

Sélectionne a la souris le texte en rouge ci dessous de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur
    
ATTENTION: R7MmRxVg Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton  Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

Start::
CloseProcesses:
CreateRestorePoint:
Removeproxy:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
ShortcutWithArgument: C:\Users\rené\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\YouTube.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) ->  --profile-directory=Default --app-id=agimnkijcaahngcdmfeangaknmldooml
HKU\S-1-5-21-3706135539-436373825-2087619660-1001\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = hxxp://search.autocompletepro.com/?si=7148&bi=400
cmd: ipconfig /flushdns
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state on
cmd: netsh winsock reset
Emptytemp:
End::

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...