FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[enolola]

Bon,jour

je n arriva pas a me débarrasser d un Trojan détecter par Microsoft Security
merci pour votre aide

[did80]

salut enolola

Je m'appelle Didier et je vais tenter de résoudre votre problème.
Pourriez vous suivre les consignes du lien ci dessous.

Télécharger CKScanner (de askey127)

CKScanner

Faites un double-clic sur CKScanner.exe pour lancer le programme.

(Sous Vista et ultérieur, faites un clic droit et choisissez "Exécuter en tant qu'administrateur")

Sur l'écran principal, cliquez sur le bouton "Search For Files".

Après un court laps de temps, une liste s'affiche dans la partie droite de l'image.
Cliquez sur le bouton "Save List to File", un message annonce que le fichier a été enregistré, cliquez sur "OK"

Cliquez sur le bouton "Exit" pour fermer le programme.
Le rapport CKFiles.txt est sur le bureau

Envoie le nous en l’hébergeant sur www.cjoint.com/


2/ ceci stp



télécharges WINCHK stp

WINCHK ICI

Tu double cliques dessus pour l'ouvrir
Tu cliques sur " exécuter "

3/
Télécharge zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/



Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher






cliques sur scanner



cliques sur rapport


zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur www.cjoint.com



1 parcourir : zhpdiag.txt sur le bureau

2 déposer

3 me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4


4/

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan






L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens


Dans l'attente de tes 6 rapports

Didier

[enolola]

bonjour
merci pour ton aide
voici la piece jointe
http://www.cjoint.com/c/GLlpkHYx6NQ

[enolola]

: http://www.cjoint.com/c/GLlpvD1YBzQ

[did80]

salut

manque zhpdiag

et les 3 liens farbar

@+

[Invité]

http://www.cjoint.com/c/GLlscqysl4Q

[Invité]

http://www.cjoint.com/c/GLlssZC6IkQ

[Invité]

http://www.cjoint.com/c/GLlsyLi2OAQ
http://www.cjoint.com/c/GLlszd51TUQ
: http://www.cjoint.com/c/GLlsAq1cviQ

[did80]

Sandrine

Lance Farbar



Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: L - L:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {09d1f273-f6cf-11e6-a93e-806e6f6e6963} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {36779e38-43c6-11e7-bffc-806e6f6e6963} - L:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {7c8b4bcc-bd9d-11e7-89b3-00262d2c38fb} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {eafa5811-d181-11e6-9edd-00262d2c38fb} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\...\MountPoints2: {eddda1b7-a3f3-11e6-a176-00262d2c38fb} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000 -> Pas de nom - {D3028143-6145-4318-99D3-3EDCE54A95A9} - Pas de fichier
Toolbar: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000 -> Pas de nom - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Pas de fichier
FF Extension: (Pas de nom) - C:\Users\sandrine\AppData\Roaming\Mozilla\Firefox\Profiles\zelx8m4s.default\extensions\searchffv2@gmail.com [non trouvé(e)]
FF Extension: (Pas de nom) - C:\Users\sandrine\AppData\Roaming\Mozilla\Firefox\Profiles\zelx8m4s.default\extensions\d4db60df25f14dae9dd18@185c395f9e794c9ab86be3eb.com [non trouvé(e)]
FF Extension: (Pas de nom) - C:\Users\sandrine\AppData\Roaming\Mozilla\Firefox\Profiles\zelx8m4s.default\extensions\f8783004-c434-4bd0-9f81-9a39dd64baaa@08ad07c4-3f21-451d-9045-9e0d5dc8aa9e.com [non trouvé(e)]
FF HKLM\...\Firefox\Extensions: [{3C2C21F7-FDB6-4b10-B605-FA4A281E3016}] - C:\Program Files\shopper-z\Firefox => non trouvé(e)
FF HKLM-x32\...\Firefox\Extensions: [{7BA52691-1876-45ce-9EE6-54BCB3B04BBC}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn => non trouvé(e)
FF HKLM-x32\...\Firefox\Extensions: [{3C2C21F7-FDB6-4b10-B605-FA4A281E3016}] - C:\Program Files\shopper-z\Firefox => non trouvé(e)
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=14313427 ... 4_98720009"
CHR NewTab: Default -> Not-active:"chrome-extension://bhfondfdmhknofinbkoalnghalnfilcc/stubby.html"
CHR Extension: (Search People) - C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\Extensions\papbadoldddalgcjcicnikcfenodpghp [2016-04-27]
S3 cpuz134; \??\C:\Users\sandrine\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] <==== ATTENTION
Task: {20E36C8B-0997-4D4B-923B-EC339A821E10} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-7 -> Pas de fichier <==== ATTENTION
Task: {21E0E133-970F-423C-98F1-D9DE81F33982} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-5_user -> Pas de fichier <==== ATTENTION
Task: {26D77AF9-54BB-49D1-BD61-EF48111C9922} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-2 -> Pas de fichier <==== ATTENTION
Task: {2DF9262A-1DDB-492A-8593-AAEA88A74C7B} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-4 -> Pas de fichier <==== ATTENTION
Task: {415B96F6-8A12-44B0-B202-7DE920C47DF3} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-1 -> Pas de fichier <==== ATTENTION
Task: {49544817-8101-48FB-9CD9-9738A9A7D64D} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-11 -> Pas de fichier <==== ATTENTION
Task: {67B6D031-53D7-4240-B96D-8054F744011E} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-6 -> Pas de fichier <==== ATTENTION
Task: {6BC0C24D-1134-4C2D-A8D1-F404F86B715B} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-3 -> Pas de fichier <==== ATTENTION
Task: {96483E1D-FDFE-4EC4-BF51-B6A4094970F0} - \DealPlyUpdate -> Pas de fichier <==== ATTENTION
Task: {A12EDC6E-1B9A-455B-817B-5B3C440211DC} - \74e6fb13-c9c1-48ce-b60e-850833cf7395-5 -> Pas de fichier <==== ATTENTION
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1ADA6FF4-2473-4F1A-BB57-5655D5805547}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1ADA6FF4-2473-4F1A-BB57-5655D5805547}
C:\Windows\System32\Tasks\{A9A8742C-FA1C-4F79-A205-57146747F101}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{26766A3B-6DD4-49B5-A08A-B2E4DCC6BF20}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{26766A3B-6DD4-49B5-A08A-B2E4DCC6BF20}
C:\Windows\System32\Tasks\{0608B75B-9EB6-4F0C-A4CA-10D02C20D7E7}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44A14E1C-0F6E-450A-ADE6-A7FD771B9A4C}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{44A14E1C-0F6E-450A-ADE6-A7FD771B9A4C}
C:\Windows\System32\Tasks\{5B40F3AB-8363-4A50-95DD-2E726A241A0A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4E194111-979D-4840-8CC5-930C4582E581}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4E194111-979D-4840-8CC5-930C4582E581}
C:\Windows\System32\Tasks\{37A31C8F-D23F-41B3-BDF7-C85CA9450063}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{59EEDFED-5CA1-496C-AF43-AF4C24DEDA1B}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{59EEDFED-5CA1-496C-AF43-AF4C24DEDA1B}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D5A271A-139B-4ABE-81D5-D20369D66123}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5D5A271A-139B-4ABE-81D5-D20369D66123}
C:\Windows\System32\Tasks\{2B443677-FED4-4249-80C2-DE1CDDC93D48}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6FA0A374-7EB9-4CFC-BD90-B612ADF88925}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{6FA0A374-7EB9-4CFC-BD90-B612ADF88925}
C:\Windows\System32\Tasks\{6E719042-63A1-449F-A9CC-A8E0059920A6}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{79CB8BE5-1850-4CCE-B2EA-1C85146C03D9}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{79CB8BE5-1850-4CCE-B2EA-1C85146C03D9}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8F868A88-D9DB-4457-9484-4C9A0873BB9D}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8F868A88-D9DB-4457-9484-4C9A0873BB9D}
C:\Windows\System32\Tasks\{35FFB5E5-22A6-4FE8-B28F-89D04DA75FC1}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B04CD95A-C944-4FBC-A242-A0CAE32FB3A6}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B04CD95A-C944-4FBC-A242-A0CAE32FB3A6}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C281C0CC-70B3-4C3B-B4AC-9FC44A034536}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C281C0CC-70B3-4C3B-B4AC-9FC44A034536}
C:\Windows\System32\Tasks\{466C938E-2D6E-4582-8578-BF82C49216FE}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E3EF3D2A-5437-436F-85CE-2ABE461B960F}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E3EF3D2A-5437-436F-85CE-2ABE461B960F}
C:\Windows\System32\Tasks\{B8ED1E2B-4379-4929-9110-689D4ADAF45A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E5D273C8-C12F-44E7-B457-7C2C444DDE61}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E5D273C8-C12F-44E7-B457-7C2C444DDE61}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EA448D5E-8C4F-40DC-8064-9924F768D5EA}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EA448D5E-8C4F-40DC-8064-9924F768D5EA}
C:\Windows\System32\Tasks\{715FA5E3-EF04-4E2F-B1A6-E0B7A2CBF020}
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\bhfondfdmhknofinbkoalnghalnfilcc
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\jlincbpgbkpbjepghokdnhnnpphmegig
DeleteKey: HKLM\Software\Classes\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKLM\Software\Classes\Installer\Futures\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKCU\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKCU\Software\Microsoft\Installer\Futures\363FB0CBBA367FF4E81FEAD0F717B142
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\bhfondfdmhknofinbkoalnghalnfilcc
C:\Users\sandrine\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\jlincbpgbkpbjepghokdnhnnpphmegig
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Glary Utilities
DeleteKey: HKLM\Software\Classes\CLSID\{B3C418F8-922B-4faf-915E-59BC14448CF7}
DeleteKey: HKLM\Software\Classes\CLSID\{B3C418F8-922B-4faf-915E-59BC14448CF7}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\Glary Utilities
DeleteKey: HKLM\Software\Classes\Drive\shellex\ContextMenuHandlers\Glary Utilities
DeleteKey: HKCU\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKCU\Software\Microsoft\Installer\Features\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142
DeleteKey: HKU\S-1-5-21-3351261300-4181084472-2533536350-1000\Software\Microsoft\Installer\Features\363FB0CBBA367FF4E81FEAD0F717B142
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
end::


Corrige et heberge le rapport fixlog

Didier

[enolola]

bonjour

voici le rapport
https://www.cjoint.com/c/HAodgQN18MQ

merci d avance pour ton aide
mes meilleurs vœux 2018

[did80]

bonjour sandrine

Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


executer en tant qu'administrateur


Scanner
puis cliques sur nettoyer

http://zupimages.net/up/15/20/t6f1.png



Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

Didier

[enolola]

bonjour
voici le rapport
https://www.cjoint.com/c/HAplRubEjRQ

bonne journée

[did80]

tu as supprime les infections avec le bouton nettoyer

copies le rapport après suppression

@+

[enolola]

Bonjour

je ne sais pas , si c est le bon rapport car mon mari a lancer deux fois le ccleaner
https://www.cjoint.com/c/HArjh4VOZ6Q

[did80]

Sandrine

ce n'est pas le rapport zhpcleaner

pour ton mari tu n'as pas une vaisselle qui trai^ne

[enolola]

https://www.cjoint.com/c/HArrDvtxD6Q

[did80]

Sandrine

Télécharger kapersky removal tool


https://www.sosvirus.net/telecharger/kaspersky-virus-removal-tool/



mettre sur le bureau KVRT.exe



désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation


parametrer


http://zupimages.net/viewer.php?id=17/44/idpz.png

http://zupimages.net/up/17/44/idpz.png


lancer le scan


http://zupimages.net/up/15/31/59zq.png


Scanner


http://zupimages.net/up/15/31/zl4d.png



Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.

il n'y a pas de rapport si l'outil ne trouve pas d'infection

http://zupimages.net/viewer.php?id=17/45/j85v.png

http://zupimages.net/up/17/45/j85v.png


Delete : Supprimer le fichier
Quarantine : place le fichier en quarantaine.
Clique sur le bouton Continue



Kaspersky Virus Removal Tool propose ensuite de désinfecter l’ordinateur en redémarrant ce dernier : Disinfect and restart the computer
Note que tu as un bouton « Try to desinfect without computer restart » afin de tenter de supprimer les virus sans redémarrer l’ordinateur


]https://zupimages.net/up/17/51/a7s3.png

https://zupimages.net/up/17/51/n710.png


L’ordinateur va alors redémarrer, si tu obtient le message, ci-dessous, clique sur Exécuter

Didier