FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par carinepapahua
#189475
bonjour,

ma fille a voulu cracké un logiciel vidéo, et me voici infectée
antimalware
adware wajam
adware tuto4PC
trojan fake google
....
ZHPDiag
trojan proxy agent
pup optionnal wajam
......
je n arrive pas a nettoyer ni enregistrer un rapport
ZHp cleaner effectuer

merci d votre aide car des fenetres s ouvrent intempestivement et ma connexion internet et destabilisée

cordialememnt

papahua
Avatar du membre
par did80
#189481
bonjour, carine

ceci stp

Image Télécharger zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/

Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher

Image

Image




cliquer sur scanner

Image


cliques sur rapport


Le rapport zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur http://www.cjoint.com

Image

Me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4

2/
Image Télécharger FARBAR et l' enregistrer-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser


Image


L'outil va créer 3 rapports sur le bureau:
  • Frst.txt
    Addition.txt
    Shortcut.txt

Mettre les 3 rapports
Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

Didier
Avatar du membre
par papahua
#189548
bonjour,

voici les fichiers demandés, je les envoie avec un autre ordi, car hier je l'ai fait avec l'ordi infecté et rien n'est passé, de plus je ne peux me connecter avec l'ordi infecté!!

https://www.cjoint.com/c/HChtzlohg82
https://www.cjoint.com/c/HChtAou0dc2
https://www.cjoint.com/c/HChtA5ANUP2
https://www.cjoint.com/c/HChtB5frl42
https://www.cjoint.com/c/HChtDl4Ndg2

merci beaucoup de ton aide
carine
Avatar du membre
par did80
#189551
Bonjour Carine

les liens concernent bien le pc infecté??

pour internet essaye ceci

Réinitialisation des paramètres de connexion :


Ouvre une invite de commande en tant qu'administrateur


demarrer executer cmd

cmd


ipconfig /flushdns
netsh winsock reset
netsh winhttp reset proxy
netsh winhttp reset tracing
netsh winsock reset catalog
netsh int ipv4 reset catalog
netsh int ipv6 reset catalog

valides ok aprés chaque commande

Tu redémarres le PC.

Didier
Avatar du membre
par papahua
#189599
bonjour,

oui les liens correspondent bien au pc infecté

j'ai effectué les manip que tu m'as demandé, mais il y a toujours des fenetres intempestives qui s'ouvrent, et je ne peux me connecter sur le site de forum d'entraide sur ce pc.
je suis obligé d'en utiliser un autre

merci d eton aide

carine
Avatar du membre
par did80
#189600
Bonjour carine

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
Hosts:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-3121653835-709416453-2940897799-1001\...\Run: [dergda] => rundll32.exe "C:\Users\fabien\AppData\Local\dergda.dll",dergda <==== ATTENTION
HKU\S-1-5-21-3121653835-709416453-2940897799-1001\...\MountPoints2: {5a48f869-c85b-11e5-8279-18cf5e21c068} - "F:\Setup.exe"
HKU\S-1-5-21-3121653835-709416453-2940897799-1001\...\MountPoints2: {a9067a56-b46d-11e5-8273-18cf5e21c068} - "D:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-3121653835-709416453-2940897799-1001\...\MountPoints2: {b4e4a290-d033-11e7-82b2-6002923ae6ac} - "D:\HiSuiteDownLoader.exe"
SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Pas de fichier
SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Pas de fichier
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3121653835-709416453-2940897799-1001 -> DefaultScope {A14E9399-840D-4D1E-B928-4AD3D9BEC459} URL =
SearchScopes: HKU\S-1-5-21-3121653835-709416453-2940897799-1001 -> {A14E9399-840D-4D1E-B928-4AD3D9BEC459} URL =
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\96445843.js [2018-03-05] <==== ATTENTION (Pointe vers un fichier *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\secure_cert.js [2018-03-07]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2018-03-05]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\96445843.cfg [2018-03-05] <==== ATTENTION
R2 svchost64; C:\Program Files\System Native\Main Services\winreg64.exe [3795968 2018-03-05] () [Fichier non signé] <==== ATTENTION
S3 updater; C:\Program Files\System Native\Main Services\updater.exe [662528 2018-03-05] (System Native) [Fichier non signé] <==== ATTENTION
S3 McODS; "C:\ProgramData\McAfee\Update\Installs\pkg_default\Download_Files\default\vso\vso_li_cat\%VSINSTALL_DIR64%\mcods.exe" [X]
S3 Fdcsvcunsvc; pas de ImagePath
Task: {0F1D06CC-7176-4693-9B27-925A9ACE5DB8} - System32\Tasks\GoogleUpdateSecurityTaskMachine_YP => C:\ProgramData\1a4d76136ca34e4b98409f7eb4867823\HandlerExecution.exe [2018-03-05] () <==== ATTENTION
Task: {2C677CD3-77E2-4653-9E7E-A1CE8589F3C3} - System32\Tasks\updater => C:\Program Files\System Native\Main Services\updater.exe [2018-03-05] (System Native) <==== ATTENTION
Task: {30D75FD4-A059-4BDD-8DEE-3D4EBE68108C} - System32\Tasks\GoogleUpdateSecurityTaskMachine_PX => C:\ProgramData\c8b2cc8a0da547dcaef84305a34f2b12\HandlerExecution.exe [2018-03-05] () <==== ATTENTION
Task: {563F7B30-EE14-4BCE-8CA3-019A539A5AEA} - System32\Tasks\GoogleUpdateSecurityTaskMachine_IV => C:\ProgramData\723d9cb2290d42eea45d0a20ba0e6bd6\HandlerExecution.exe [2018-03-05] () <==== ATTENTION
Task: {6D1657E1-17A6-4838-9506-C4D317F899C5} - System32\Tasks\4b239e5d416839e27891e257f57f8890 => sc start 4b239e5d416839e27891e257f57f8890 <==== ATTENTION
Task: {A3FFEA74-B445-4842-9898-7824635EBAAF} - System32\Tasks\GoogleUpdateSecurityTaskMachine_SW => C:\Users\fabien\AppData\Roaming\47427c4816254474ac6c2287f884a793\HandlerExecution.exe [2018-03-05] () <==== ATTENTION
Task: {C6B54363-9616-437B-B363-2DFFC698FB7B} - System32\Tasks\GoogleUpdateSecurityTaskMachine_KA => C:\Users\fabien\AppData\Local\05d4075f13174f40b64bc2e6587bc46a\HandlerExecution.exe [2018-03-05] () <==== ATTENTION
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\4b239e5d416839e27891e257f57f8890
C:\Program Files\4b239e5d416839e27891e257f57f8890\90561a05b598f3ba938861b744cc2c1c.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\93c3f0c1982bd396721f2234f5d6c9d6
C:\Windows\93c3f0c1982bd396721f2234f5d6c9d6.dll
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|CV5IF5GBB83UIWT
C:\Program Files\H8PXOWJGLA\847KW2HL8.exe
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|CMO8U2QPZABFK3P
C:\Program Files (x86)\jjmkswymv0v\1MIDF.exe
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4B4OKAG64DRYC1H
C:\Program Files\42AUQUMKLZ\42AUQUMKL.exe
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dergda
C:\Users\fabien\AppData\Local\dergda.dll
DeleteValue: HKU\S-1-5-21-3121653835-709416453-2940897799-1001\Software\Microsoft\Windows\CurrentVersion\Run|CV5IF5GBB83UIWT
DeleteValue: HKU\S-1-5-21-3121653835-709416453-2940897799-1001\Software\Microsoft\Windows\CurrentVersion\Run|CMO8U2QPZABFK3P
DeleteValue: HKU\S-1-5-21-3121653835-709416453-2940897799-1001\Software\Microsoft\Windows\CurrentVersion\Run|4B4OKAG64DRYC1H
DeleteValue: HKU\S-1-5-21-3121653835-709416453-2940897799-1001\Software\Microsoft\Windows\CurrentVersion\Run|dergda
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bestDownloader_is1
DeleteKey: HKCU\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HardNet
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\4b239e5d416839e27891e257f57f8890
DeleteKey: HKLM\SOFTWARE\ShmAddon
DeleteKey: HKLM\SOFTWARE\SrcAAAesom Browser Enhancer
DeleteKey: HKLM\SOFTWARE\WOW6432Node\ShmAddon
DeleteKey: HKLM\SOFTWARE\WOW6432Node\SrcAAAesom Browser Enhancer
DeleteKey: HKCU\SOFTWARE\SpeeDownloader
DeleteKey: HKCU\SOFTWARE\WajIEnhance
C:\Program Files\42AUQUMKLZ
C:\Program Files\H8PXOWJGLA
C:\Program Files (x86)\bestDownloader
C:\Program Files (x86)\texttotalk
C:\ProgramData\1a4d76136ca34e4b98409f7eb4867823
C:\ProgramData\723d9cb2290d42eea45d0a20ba0e6bd6
C:\ProgramData\c57b316fc85c4eca82eecfba740cbba0
C:\ProgramData\c8b2cc8a0da547dcaef84305a34f2b12
C:\Users\fabien\AppData\Roaming\Browsers
C:\Users\fabien\AppData\Roaming\n4azehhqblk
C:\Users\fabien\AppData\Roaming\SPI
C:\Users\fabien\AppData\Roaming\zbtxug2ze2h
C:\WINDOWS\Prefetch\SPEEDOWNLOADER.TMP-C23F7B11.pf
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bestDownloader_is1
DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HardNet
C:\Program Files\42AUQUMKLZ\uninstaller.exe
C:\Program Files\H8PXOWJGLA\uninstaller.exe
C:\Users\fabien\AppData\Roaming\n4azehhqblk\u0n52mxwcl3.exe
C:\Users\fabien\AppData\Roaming\zbtxug2ze2h\stqqai4x31g.exe
C:\WINDOWS\System32\Drivers\dfcf3709fb7500a035fcee5056e8ff12.sys
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F41F4EBB-7372-4C25-8A18-94A0AA619F3F}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F41F4EBB-7372-4C25-8A18-94A0AA619F3F}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F41F4EBB-7372-4C25-8A18-94A0AA619F3F}
C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WindowsDefender
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Gsj'ZGdmE4.exe
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MldPuyOyQXLJ.exe
DeleteValue: HKU\S-1-5-21-3121653835-709416453-2940897799-1001\Software\Microsoft\Windows\CurrentVersion\Run|Gsj'ZGdmE4.exe
DeleteValue: HKU\S-1-5-21-3121653835-709416453-2940897799-1001\Software\Microsoft\Windows\CurrentVersion\Run|MldPuyOyQXLJ.exe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{40369812-21FB-4BE0-8508-387636F329D1}_is1
C:\Program Files\Plumbytes Software
C:\Program Files (x86)\Up Pro
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Up Pro
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
DeleteKey: HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
DeleteKey: HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
C:\WINDOWS\Installer\1be07601.msp
C:\WINDOWS\Installer\227b2226.msp
C:\WINDOWS\Installer\26a5ec40.msp
C:\WINDOWS\Installer\46f2251.msp
C:\WINDOWS\Installer\5750ca4.msp
C:\WINDOWS\Installer\5c8a3db.msp
C:\WINDOWS\Installer\731921.msp
C:\WINDOWS\Installer\ea816.msp
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
DeleteKey: HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
cmd: ipconfig /flushdns
EmptyTemp:
end::

Corrige et heberge le rapport fixlog

Didier
Avatar du membre
par papahua
#189615
bonjour,
voici l'adresse du lien https://www.cjoint.com/c/HCmjaJaMdyV

j 'ai un truc qui s'est installé tout seul : launch system healer ?? et il me demande si je veux desinfecter mon ordi?? que faire
sur cet ordi infecté:protection antivirus windows defendeur est desactivé par l administrateur
id pour logiciel espions
maintenance me me dit que l'on peut rechercher des solutions microsoft pour des problemes!!

les pages internet s'ouvrent encore toutes seules meme si le navigateur est fermé, mais j'ai pu me connecter sur le forum, mais impossible d'avoir la page cjoint !!!

merci beaucoup

carine
Avatar du membre
par did80
#189616
salut carine

le pc est pas mal infécté

system healer est une infection

on continue le nettoyage ceci stp



Image Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image

Image

Scanner

puis cliques sur nettoyer

Image



Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

héberger le rapport sur www.cjoint.com/ si volumineux

Didier
Avatar du membre
par did80
#189659
Bonjour Carine

ok ceci stp

Image Télécharger Malwarebytes

https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/
ou
https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/


Pour windowsVista/7/8/8.1/10 cliquer droit sur « Exécuter en temps qu’administrateur 

Paramétrer comme ceci


Image


Mettre a jour les bases virales

« Lancer le scan »

Rapport
  1. Compte rendus
  2. Compte rendu d'analyse
  3. Afficher le compte rendu


Exporter Fichier.txt


Si le rapport (compte rendu) est important, Héberger le rapport ici http://cjoint.com/

Image


1 parcourir : Malwarebytes..txt sur le bureau

2 déposer
3 me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv
Avatar du membre
par papahua
#189678
re

j avais malwares anti malware, j ai fait la mise a jour je suis passé en malware byte, mais je ne peux pas l’ouvrir en tant qu'administrateur : ce programme a été bloqué par votre administrateur !!!!,
et si j'essaye de l'ouvrir juste en cliquent dessus ça ne fonctionne pas
quand j eteinds mon PC, il y a un ecran bleu qui dit qu il y a des erreurs critiques et qu il faut attendre, puis l'ordi s'eteind mais ça dure longtemps !!!
merci beaucoup

carine
Avatar du membre
par did80
#189684
salut carine

en invites de commande admin

tapes sfc /scannow

donne moi la réponse de l'outil

Didier
Avatar du membre
par did80
#189700
Salut carine

on va réparer windows ceci stp


Télécharge Windows Repair

http://www.tweaking.com/content/page/wi ... n_one.html

Prend la version portable, Direct Download.

Décompresse le fichier téléchargé.

Ferme toutes tes applications en cours.

clic droit - Exécuter en tant qu'administrateursur Repair_Windows

Accept the disclamer

Clique sur Jump to Repairs

https://zupimages.net/up/17/51/ljf8.png

Clique sur Preset all Repairs

https://zupimages.net/up/17/51/9pj6.png

Clique sur Start Repairs.

Si le programme demande le redémarrage, redémarre.

Didier
Avatar du membre
par papahua
#189706
bonjour,
c'est fait
je ne peux toujours pas ouvrir malware byte, ce programme a été bloqué pour votre securité, votre administrateur vous refuse le droit.
pourtant je l execute en tant qu'administrateur!!!
merci de ton aide

carine
Avatar du membre
par papahua
#189718
salut,
je l'ai désinstallé comme tu me l'as dit, l'ordi a redemmarré, mais il y a tjrs le sigle malwareb sur le bureau :!!! et impossible de reinstaller le nouveau, il me dit le meme message d erreur que windows bloque le programme !!!

aieaieaie ::!!!!!
merci de ta patience et de ton aide
j'attends un petit message ......

hier quand j'ai reparé win, ca a duré tres tres longtemps, il me demandait de fermer ts les programmes en cours, mais des pages internet s'ouvraien toutes seules, jusqu'a 180, une fois:!!!

carine
Avatar du membre
par did80
#189729
bonjour carine

ceci maintenant on avance :-)

Télécharger MBAR

Malwarebytes antirootkit beta

MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur


Image
https://www.malwarebytes.com/antirootkit/

Après décompression

Image


Image


cliquez sur update pour mettre a jour

Cochez les 3 cases – Drivers-Sectors-System

puis sur next


Image


lancer le scan

a la fin du scan il faut faire un cleanup si l'outil a trouvé des infections et Redémarrez votre ordinateur


Uniquement si des malveillants ont été détectés >> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "System-log.txt" et collez le contenu des fichiers suivants dans votre prochaine réponse: "Mbar-log- {date} (xx-xx-xx) .txt

Uniquement si des malveillants ont été détectés >>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure


Vérifiez que votre système fonctionne désormais normalement
  1. Accès à Internet
  2. Mise à jour de Windows
  3. Pare-feu Windows


Didier
Avatar du membre
par papahua
#189730
après avoir telecharger le logiciel, je l installe avec les droits admin, l'ordi me mets le même message:
l’exécution des programmes de cet éditeur a été bloqué sur votre ordinateur !!!!

merci de m’éclairer !!!
carine
Avatar du membre
par did80
#189738
essaye ceci carine

Pour activer mode compatibilité :

1 _ Clique droit sur mbar.exe pour afficher le menu déroulant.

2 _ Clique gauche sur Propriété en bas du menu.

3 _ Clique gauche sur l'onglet Compatibilité.

4 _ Cocher la case Exécuter ce programme en mode compatibilité pour... et sélectionner Windows 7.

Didier
Avatar du membre
par papahua
#189756
salut,
quand je clique sur comment debloquer cet ... l'aide ne me donne rien, l'aide est introuveable, en tout cas chez moi .... désolée mais je n'y arrive pas, aurais tu une solution ?
merci

carine
Avatar du membre
par did80
#189757
essaye ceci carine

Appuyez sur Windows Key + R pour afficher la boîte de dialogue d’exécution, tapez certmgr.msc et cliquez sur OK
Dans la fenêtre qui apparaît, double-cliquez sur Certificats non autorisés. Si un dossier de certificat existe, cliquez dessus
Supprimez tous les certificats sur le côté droit de la fenêtre qui ont Malwarebytes au nom
Redémarrez et essayez une réinstallation de Malwarebytes Anti-Malware

Didier

Re Pour verifier si votre PC est espionné […]

Hello Ça me semble complexe, avez vous e[…]

hey Eh beh tu vas bien te faire balader par tes co[…]