FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Ballu13]

Bonjour à tous,
Je suis en train d'essayer de remettre en état le PC d'une amie dont le problème essentiel est un détournement des pages d'accueil du navigateur.
Un ZHP diag signale dans son rapport la présence du malware Hack Tool . AutoKMS. Sa présence serait peut-être due à l'installation d'une version Office 2010 illégale???
Face à cette situation, je préfère suivre les conseils de spécialistes qualifiés qui m'ont déjà apporté une aide précieuse dans d'autres circonstances.
Voici le lien de ce rapport:
https://www.cjoint.com/c/HLprsqfRrBu
D'avance un grand merci.
Cordialement

[did80]

salut Ballu13

je vais te prendre en charge car tu es honn^te en l'avouant

ceci

Télécharger FARBAR et l' enregistrer-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser




L'outil va créer 3 rapports sur le bureau:

• Frst.txt
  Addition.txt
  Shortcut.txt

Mettre les 3 rapports Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+

[Ballu13]

Bonsoir Didier,
Merci pour cette prise en charge . Je précise cependant que le PC malade ne m'appartient pas et que je ne cautionne jamais ces pratiques.
Comme il se fait tard, je préfère continuer demain à tête reposée.
Bonne fin de soirée et à demain.

[Ballu13]

Bonjour Didier,
Comme promis voici les liens concernant FARBAR.
FRST: https://www.cjoint.com/c/HLqhUOOT67u
Addition: https://www.cjoint.com/c/HLqhWsfLY3u
Shortcut: https://www.cjoint.com/c/HLqhXUMbzLu

Bonne journée.
Cordialement.

[did80]

salut ballu13

je regarde tout çà rt je reviens vers toi

didier

[Ballu13]

Bonsoir Didier,
Je reste à ta disposition , en fonction de ta disponibilité bien sur, pour la suite des opérations. Bonne soirée.
Cordialement.

[did80]

salut ballu13

je regarde tes rapports et je reviens vers toi

[did80]

re


Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
FF NewTabOverride: Mozilla\Firefox\Profiles\34h48tgt.default -> Enabled: _j5Members_@ext.ask.com
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{F74FA29E-A520-445C-95CB-A42A110DEBC1}C:\windows\kmsemulator.exe
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{E7B72E98-376E-4526-BC8D-49C11CD35793}C:\windows\kmsemulator.exe
DeleteValue: HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules|UDP Query User{F74FA29E-A520-445C-95CB-A42A110DEBC1}C:\windows\kmsemulator.exe
DeleteValue: HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules|TCP Query User{E7B72E98-376E-4526-BC8D-49C11CD35793}C:\windows\kmsemulator.exe
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|HP ENVY 5540 series (NET)
DeleteValue: HKU\S-1-5-21-3160024576-4141349203-2915242125-1001\Software\Microsoft\Windows\CurrentVersion\Run|HP ENVY 5540 series (NET)
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{E5BA70B0-CCE8-48A8-8831-0D3B7984FEBD}
DeleteValue: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{B75BCB8A-C9E9-47A4-A14B-CE270D4487AB}
EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+

[Ballu13]

Bonsoir Didier,
Voici le lien concernant Fixlog:
https://www.cjoint.com/c/HLtvJn6UXku
Bonne fin de soirée.
Amicalement.

[did80]

salut ballu13

ceci maintenant

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

dernière version 7.25


>> ADWCLEANER <<



Pour Windows 7,Windows 8 : il faut lancer le fichier par clic-droit " Exécuter en tant qu'administrateur "

Accepter la licence



lancer l'analyse





Poste le contenu de ce rapport.

Note
Le rapport est également sauvegardé sous C:\AdwCleaner\logs [s0].txt

[Ballu13]

Bonsoir Didier,
Voici le lien du rapport ADWCleaner.

https://www.cjoint.com/c/HLuslqe4tyU
Cordialement

[did80]

salut Ballu13

ceci stp

Téléchargez Junkware Removal Tool et enregistrez le sur votre ordinateur :

Junkware Ici

Note: Le téléchargement démarre 5 secondes après avoir cliquer sur le lien.

Quittez tous les programmes ouverts et veuillez penser à  sauvegarder vos travaux en cours

Avec Windows Vista et ultérieur, faites un clic droit -> lancez le programme en tant qu'administrateur.

L'outil de suppression va maintenant commencer son travail, appuyer sur une touche de votre clavier pour confirmer cette action.

Veuillez être patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Votre bureau va disparaitre provisoirement lors du travail de l'outil, ne paniquez pas car c'est normal et attendu.

Junkware Removal Tool fait un nettoyage automatique

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, un copie se trouve aussi au coté de Junkware Removal Tool.

[Ballu13]

voici le lien du rapport JRT:

https://www.cjoint.com/c/HLuwmjllE7U

Rapport vierge.
Bonne fin de soirée.

[did80]

salut ballut


erreur 504 arrive pas a poster correctement

[Invité]

Bonjour Didier,
Même problème: impossible de répondre.
J'essaie quand même.
Amicalement.

[Ballu13]

Bonsoir Didier,
De mon côté, les problèmes du forum semblent réglés.
Cordialement

[did80]

salut ballu

fait un resetbrowser

https://www.sosvirus.net/telecharger/resetbrowser/

@+

[Ballu13]

Bonjour Didier ,
Le lien fourni ne fonctionnant pas, j'ai téléchargé "resetbrowser" sur le site suivant:
https://nicolascoolman.eu/2017/01/24/resetbrowser/
Firefox a été réinstallé et Chrome réinitialisé.
Cette opération a réinstallé Firefox x86 en plus de la x64 qui n'a pas été supprimée. (constaté dans Programmes et fonctionnalités).
Bon Dimanche

[did80]

Comment se comporte la machine?

[Ballu13]

Des soucis avec Firefox:
Malgré la définition de nouvelles pages d'accueil, le navigateur s'ouvre toujours sur une page plus ou moins détournée (publicité H.P.). Serait-il judicieux de désinstaller les deux versions de Firefox pour ne réinstaller que celle qui convient?
Cordialement.

[did80]

une page plus ou moins détournée (publicité H.P.

tu peux faire une capture

@+

[Ballu13]

Voici le lien de la capture d'écran:
http://zupimages.net/viewer.php?id=18/51/q3dx.png
https://zupimages.net/up/18/51/q3dx.png
Les pages d'accueil demandées étaient : 1. le portail Orange 2. Google
Elles ont été remplacées par cette adresse dans les options Firefox Page d'accueil- Adresses web personnalisées.

[did80]

avec orange

la page de démarrage est https://www.orange.fr/portail

c'est la barre d'adresse qui te pose problème?

[Ballu13]

Oui, ce n'est pas l'adresse habituelle d'orange et en plus la seconde page ( google) n'est plus là alors qu'elle a été renotée dans le paramétrage firefox.

[did80]

tu l'as remise?

https://support.mozilla.org/fr/kb/comme ... ge-accueil?

çà le fait encore?

[Ballu13]

Je viens de le refaire encore une fois en respectant la procédure indiquée mais la situation est toujours la même: changement de l'adresse d'orange et disparition de la page d'accueil "Google" alors qu'avant le Resetbrowser le PC conservait ces deux pages.

[did80]

reinstalle firefox

https://www.mozilla.org/fr/firefox/new/

[Ballu13]

Après désinstallation des deux versions, j'ai réinstallé Firefox. Après reparamétrage , la situation n'a pas changé.
Toujours la même adresse qui revient et toujours pas de Google en seconde page d'accueil.
Désolé.
Bonne fin de soirée quand même.

[did80]

salut

refais moi un farbar et un zhpdiag

@+

[Ballu13]

Bonjour Didier,
Voici les différents liés demandés.
Addition2: https://www.cjoint.com/c/HLymNQfvrxU
FRST2: https://www.cjoint.com/c/HLymPFVlQuU
Shortcut2: https://www.cjoint.com/c/HLymRdrJ8IU
ZHPDiag2: https://www.cjoint.com/c/HLymSPcqyEU
Par contre, je serai absent jusqu'à mercredi midi.
Joyeux Noël et Bon réveillon.
Cordialement

[did80]

re


Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
FF Homepage: Mozilla\Firefox\Profiles\h9rruf5p.default-1545602510140 -> hxxps://r.orange.fr/r/Oodc_oi_promoHP?ref=O_OI_defaultPage_FFe64_w10e64_promoHP
EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+

[Ballu13]

Bonjour Didier,
De retour à la maison après cette parenthèse, je reprends la suite des opérations.
Voici le lien FRSTlog:
https://www.cjoint.com/c/HLAm3ng88fU
Bien sincèrement

[did80]

salut ballu

problème réglé je pense

[Ballu13]

Bonsoir Didier,
Malheureusement non: Toujours la même page d'accueil et absence de Google en seconde page.Même situation avec Google Chrome que je viens de tester.
Cordialement

[did80]

firefox fermé


+R

tapes firefox.exe -P respecte l'espace

crée nouveau profil avec page d'accueil orange

[Ballu13]

Même situation avec le nouveau profil. Il s'agit même d'une autre adresse pour le portail Orange et toujours pas de Google.

[did80]

re

https://genhackmantools.wordpress.com/canned-adsfix/

[Ballu13]

J'ai bien exécuté ADSFix( durée environ une heure trente) environ 9 suppressions, mais je ne trouve pas le fichier texte dans le dossier C:\AdsFix. L'ai pourtant exploré tous les dossiers et sous dossiers.
Seul AdsFix Donate!!!! apparait sur le bureau.

[did80]

re


Copies les lignes suivantes dans le cadre rouge


Adsfix






cliques sur chercher fichier


copies/colles le rapport search.txt

[Ballu13]

Farbar Recovery Scan Tool (x64) Version: 24.12.2018
Exécuté par annick (26-12-2018 22:19:53)
Exécuté depuis C:\Users\chopi\Desktop
Mode d'amorçage: Normal

================== Chercher Fichiers: "Adsfix" =============


====== Fin de Chercher ======