FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[papyjack]

Bonjour. J'ai été envahi par un gros arrivage de saletés qui m'ont pourri mon ordi.
J'ai pu exécuter maleware bytes qui m'a débarrassé de 270 véroles diverses et adw cleaner qui en a trouvé un peu plus d'une trentaine.
Mes 3 navigateurs ont été désinstallés (Chrome,Mozzila et Internet explorer)
Belle infection!!!
Mais il y a encore des agents infiltrés : je n'ai plus accès au windows store, la réinstallation de IE me signale que ce dernier est déjà installé (je ne le trouve pas) et d'autres petits problèmes dont je n'ai pas entièrement fait le tour.
Je pense qu'un examen sérieux s'impose.
Merci pour vos conseils.
Ordi Dell xps et w10.
A bientôt.

[did80]

salut papyjack

Je m'appelle Didier et je vais tenter de résoudre votre problème.
Pourriez vous suivre les consignes du lien ci dessous.

Télécharger CKScanner (de askey127)

CKScanner

Faites un double-clic sur CKScanner.exe pour lancer le programme.

(Sous Vista et ultérieur, faites un clic droit et choisissez "Exécuter en tant qu'administrateur")

Sur l'écran principal, cliquez sur le bouton "Search For Files".




Après un court laps de temps, une liste s'affiche dans la partie droite de l'image.
Cliquez sur le bouton "Save List to File", un message annonce que le fichier a été enregistré, cliquez sur "OK"

Cliquez sur le bouton "Exit" pour fermer le programme.
Le rapport CKFiles.txt est sur le bureau

Envoie le nous en l’hébergeant sur www.cjoint.com/


2/ ceci stp



télécharges WINCHK stp

WINCHK ICI

Tu double cliques dessus pour l'ouvrir
Tu cliques sur " exécuter "

3/
Télécharge zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/



Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher










cliques sur scanner




cliques sur rapport


zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur www.cjoint.com



1 parcourir : zhpdiag.txt sur le bureau

2 déposer

3 me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4


4/

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan







L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens


Dans l'attente de tes 6 rapports

Didier

[papyjack]

Bonsoir Didier et merci pour ta prise en charge.
Etape 1 CKS Scanner : https://www.cjoint.com/c/HAjuG5VOJOk

[papyjack]

Etape 2 : Winchk : https://www.cjoint.com/c/HAjuIecDnGk

[did80]

re

ok pour les 2 premiers

attendus: zhpdiag
frst
addition
shortcut

@+

[papyjack]

Etape 3 ZHP Diag : https://www.cjoint.com/c/HAjuX64Edjk

[papyjack]

Etape 4 FRST : FRST .txt : https://www.cjoint.com/c/HAjvhqbufWk
Addition .txt : https://www.cjoint.com/c/HAjvhR16GHk
Shortcut.txt : https://www.cjoint.com/c/HAjvjRPHdCk

[papyjack]

Je m'aperçois que j'ai fini ...
A bientôt. Prend ton temps, il n'y a pas d'urgence.
Je reste en ligne encore 1 heure, sinon, demain il fera jour...

[did80]

salut papyjack

je regarde tes rapports et reviens vers toi

[did80]

re

Lance Farbar

http://zupimages.net/up/17/31/cqay.png

Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-1832879478-2515121904-386043235-1001 -> Pas de nom - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Pas de fichier
FF NewTab: Mozilla\Firefox\Profiles\kvy3yy74.default -> about:newtab
CHR NewTab: Default -> Not-active:"chrome-extension://jepibmfmhopgkplegmkjgifmhabbjadg/newtab/newtab.html"
CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms}
CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
Task: {9430BE76-2CBA-4F08-8E6D-E47B59AFDE57} - System32\Tasks\{60767AAF-A62E-08C8-ABAB-428F9D35EF23} => C:\Users\JACQUES\AppData\Local\60767A~1\SYNHEL~1.EXE <==== ATTENTION
Task: C:\WINDOWS\Tasks\{60767AAF-A62E-08C8-ABAB-428F9D35EF23}.job => C:\Users\JACQUES\AppData\Local\60767A~1\SYNHEL~1.EXE <==== ATTENTION
Shortcut: C:\Users\JACQUES\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\G?ogle ?hrom?.lnk -> C:\Users\JACQUES\AppData\Roaming\Browsers\exe.emorhc.bat (Pas de fichier) <==== Cyrillic
Shortcut: C:\Users\JACQUES\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G??gle ?hr?m?.lnk -> C:\Users\JACQUES\AppData\Roaming\Browsers\exe.emorhc.bat (Pas de fichier) <==== Cyrillic
Shortcut: C:\Users\JACQUES\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Int?rn?t Ex?lor?r.lnk -> C:\Users\JACQUES\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier) <==== Cyrillic
Shortcut: C:\Users\JACQUES\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\?ozill? Firef??.lnk -> C:\Users\JACQUES\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier) <==== Cyrillic
DeleteKey: HKCU\SOFTWARE\webservice
C:\WINDOWS\Prefetch\ONESYSTEMCARE.TMP-8C9039E2.pf
C:\WINDOWS\Prefetch\ONESYSTEMCARE.TMP-A60FB1C2.pf
C:\WINDOWS\Prefetch\ONESYSTEMCARE.TMP-BC7000B7.pf
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D31354B-DA2A-4988-AD21-03F193117BC0}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3D31354B-DA2A-4988-AD21-03F193117BC0}
C:\Windows\System32\Tasks\NCH Software\RecordpadSevenDays
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A78ACAB-DC79-4DA0-A776-6A0F624EF8FB}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{7A78ACAB-DC79-4DA0-A776-6A0F624EF8FB}
C:\Windows\System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9430BE76-2CBA-4F08-8E6D-E47B59AFDE57}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{9430BE76-2CBA-4F08-8E6D-E47B59AFDE57}
C:\Windows\System32\Tasks\{60767AAF-A62E-08C8-ABAB-428F9D35EF23}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B5FB9C6C-7FA2-46F2-81C5-3BF8A7045C0A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B5FB9C6C-7FA2-46F2-81C5-3BF8A7045C0A}
C:\Windows\System32\Tasks\NkDiPyfqWSj8
C:\WINDOWS\Prefetch\HDWALLPAPER.TMP-9F49D818.pf
DeleteKey: HKLM\SOFTWARE\Microsoft\Tracing\ByteFenceService_RASAPI32
DeleteKey: HKLM\SOFTWARE\Microsoft\Tracing\ByteFenceService_RASMANCS
DeleteKey: HKLM\SOFTWARE\Microsoft\Tracing\ByteFence_RASAPI32
DeleteKey: HKLM\SOFTWARE\Microsoft\Tracing\ByteFence_RASMANCS
DeleteKey: HKLM\Software\Microsoft\Tracing\ByteFenceService_RASAPI32
DeleteKey: HKLM\Software\Microsoft\Tracing\ByteFenceService_RASMANCS
DeleteKey: HKLM\Software\Microsoft\Tracing\ByteFence_RASAPI32
DeleteKey: HKLM\Software\Microsoft\Tracing\ByteFence_RASMANCS




EmptyTemp:
end::


Corrige et heberge le rapport fixlog

@+

[papyjack]

Bonjour ,
Voici le rapport : https://www.cjoint.com/c/HAkpAFVSftk

[did80]

ceci maintenant

Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


executer en tant qu'administrateur


Scanner
puis cliques sur nettoyer

http://zupimages.net/up/15/20/t6f1.png



Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

héberge le rapport sur http://www.cjoint.com/ si volumineux

@+

[papyjack]

Voici le dossier ZHP Cleaner : https://www.cjoint.com/c/HAkrKaPuxUk
Je n'ai pas utilisé zupimage...

[did80]

ouille

DEPLACÉ fichier: C:\Windows\SECOH-QAD.dll =>HackTool.KMSpico
DEPLACÉ fichier: C:\Windows\SECOH-QAD.exe =>HackTool.KMSpico
DEPLACÉ fichier: C:\Windows\AutoKMS\AutoKMS.log =>HackTool.AutoKMS
DEPLACÉ dossier*: C:\ProgramData\Microsoft Toolkit =>HackTool.AutoKMS
DEPLACÉ dossier*: C:\WINDOWS\AutoKMS =>HackTool.AutoKMS

je ne prends pas en charge des machines qui utilisent cet utilitaire qui sert a cracker les produits microsoft

Bonne continuation

[papyjack]

Tous mes voeux pour cette nouvelle année.

[did80]

a toi aussi