FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Pierrot60
#191363
Bonjour,

Je viens de recevoir un mail dans lequel il est dit que l'expéditeur a introduit un virus dans mon PC (Trojan), et que si dans les 50 heures à venir je n'ai pas versé une certaine somme il va diffuser le contenu de tous mes documents, photos, vidéo etc...
Je ne sais pas quoi faire pour éviter cela. C'est peut être de l'intox, mais comme je ne peux pas en être sur, je voudrai pouvoir faire quelque chose pour l'éviter.
Avez vous déjà traiter ce genre de problème et peut avez vous une solution à me proposer.
Merci de votre réponse.

Pierrot60

je peux vous communiquer le mail traduit si besoin
Avatar du membre
par did80
#191365
salut Pierrot60

ceci stp



Télécharge zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/



Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher

http://zupimages.net/up/17/24/ih6p.png

http://zupimages.net/up/17/24/zaku.png


cliques sur scanner

http://zupimages.net/up/15/29/v2ib.png

cliques sur rapport


zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur http://www.cjoint.com

http://img11.hostingpics.net/pics/15694 ... ijoint.png

1 parcourir : zhpdiag.txt sur le bureau

2 déposer

3 me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4
Avatar du membre
par Pierrot60
#191366
Merci pour la rapidité de la réponse.
je suis en train de passer ZHP DIAG, et en attendant j'essaie d'aller sur le site CJoint, mais Malwarebytes me le bloque car il me dit qu'il y a un Trojan. Dois je passer outre?
Pierrot60
Avatar du membre
par did80
#191369
tu as scanné avec malwarebytes?

si non fait le et héberge moi le rapport

2/
Télécharger FARBAR et l' enregistrer-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser


http://pimg.imagesia.com/fichiers/1fs/f ... _small.png


L'outil va créer 3 rapports sur le bureau:
  • Frst.txt
    Addition.txt
    Shortcut.txt

Mettre les 3 rapports
Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+
Avatar du membre
par did80
#191372
re

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
Hosts:
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
HKU\S-1-5-21-230802521-4203339372-4208356331-1002\...\MountPoints2: {77ed3252-6fe7-11e8-83ca-8019347c2030} - "H:\vs_community.exe"
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Pas de fichier
GroupPolicy: Restriction ? <==== ATTENTION
SearchScopes: HKU\S-1-5-21-230802521-4203339372-4208356331-1002 -> {FD7E8A53-2AEE-480B-9002-0F9E953948FB} URL =
Toolbar: HKU\S-1-5-21-230802521-4203339372-4208356331-1002 -> Pas de nom - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {200635EF-E46B-43D2-A3B9-ED12EB097359} - \Microsoft\Windows\Setup\gwx\rundetector -> Pas de fichier <==== ATTENTION
Task: {2A174D83-056B-4E95-A49C-632A2837605F} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Pas de fichier <==== ATTENTION
Task: {3779D5F8-546A-4DA8-8956-A59424574369} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: {3E68D863-F7E0-4656-988C-D5CF0304946E} - \2BrightSparks\SyncBackFree\PC-MAISON-Pierrot\SyncBackFree Sauvegarde Bureau -> Pas de fichier <==== ATTENTION
Task: {3F9CBE5E-0D3E-4E40-A7E0-5D0591E527CF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
Task: {55D30816-A120-42F3-859C-4D40157D7B32} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {EA6B5EA9-632E-4495-AB1E-4BB4F34C3BFB} - \2BrightSparks\SyncBackFree\PC-MAISON-Pierrot\SyncBackFree Sauvegarde Documents -> Pas de fichier <==== ATTENTION
Task: {ED9EEAFB-7C65-4F05-9938-D228FA435945} - \2BrightSparks\SyncBackFree\PC-MAISON-Pierrot\SyncBackFree Sauvegarde Musiques -> Pas de fichier <==== ATTENTION
Task: {F1A29C1C-FEB7-4F51-A607-B5A9DA3EB83D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: {F1B8E061-1E1C-42F3-974A-EF0235D6C59E} - \2BrightSparks\SyncBackFree\PC-MAISON-Pierrot\SyncBackFree Sauvegarde Téléchargements -> Pas de fichier <==== ATTENTION
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}
DeleteKey: HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip
cmd: ipconfig /flushdns
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par did80
#191375
ceci

Télécharger kapersky removal tool


https://www.sosvirus.net/telecharger/kaspersky-virus-removal-tool/



mettre sur le bureau KVRT.exe



désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation


parametrer


Image




lancer le scan

Image



Scanner

Image




Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.


il n'y a pas de rapport si l'outil ne trouve pas d'infection
Image


Delete : Supprimer le fichier
Quarantine : place le fichier en quarantaine.
Clique sur le bouton Continue




Kaspersky Virus Removal Tool propose ensuite de désinfecter l’ordinateur en redémarrant ce dernier : Disinfect and restart the computer
Note que tu as un bouton « Try to desinfect without computer restart » afin de tenter de supprimer les virus sans redémarrer l’ordinateur

Image


L’ordinateur va alors redémarrer, si tu obtient le message, ci-dessous, clique sur Exécuter

Image


didier
Avatar du membre
par Pierrot60
#191385
Bonjour,
Après 4 heures de scan, 8 objet ont été trouvés, et seulement pour seulement 3, il est proposé comma action "Delete".
Pour les 5 autres, l'action proposée est "skip"
Que dois je faire? laisser comme cela ou changer pour mettre" delete", sachant qu'il est indiqué cela:
Legal software that can be used by criminals to damage your computer or personal data
Merci pour ta réponse.
Je serai absent cet aprés midi
Avatar du membre
par Pierrot60
#191390
Salut Didier,

Ma capture d’écran fonctionne mal, aussi je te fait du copier coller de chaque objet:

not-a-virus:NetTool.Win64.RPCHook.a
File: C:\Users\Pierrot\AppData\Roaming\ZHP\Quarantine\SECOH-QAD.dll
Legal software that can be used by criminals to damage your computer or personal data
MD5: 6D7FDBF9CEAC51A76750FD38CF801F30
SHA256: 0398221231CFF97E1FDC03D357AC4610AFB8F3CDDE4C90A9EC4D7823B405699E

HackTool.Win32.KMSAuto.m
File: C:\Users\Pierrot\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\KMSpico\kmspico final\KMSpico 10.2.0 Final\KMSpico_setup.exe
Malicious program
MD5: FB7569D1C2C1FA36A97FDC732F51A637
SHA256: 0BE6BFDA2DEEB7607C9DA6E00B5D4849BECE939D6A0C75F822596D6D4436ACB0

HackTool.Win32.KMSAuto.m
File: C:\Users\Pierrot\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\KMSpico\kms\KMSpico 10.2.0 Final\KMSpico_setup.exe
Malicious program
MD5: FB7569D1C2C1FA36A97FDC732F51A637
SHA256: 0BE6BFDA2DEEB7607C9DA6E00B5D4849BECE939D6A0C75F822596D6D4436ACB0

HackTool.Win32.KMSAuto.m
File: C:\Users\Pierrot\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\KMSpico\kmspico final.zip
Malicious program
MD5: 1C7B412226BA240F77C3F93AE4E85E26
SHA256: 53F45600AFB4021CE208076ABA698B774465FAEFD6131967F4C272E7F8ED3605

not-a-virus:NetTool.Win64.RPCHook.a
File: C:\Users\Pierrot\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\SECOH-QAD.dll
Legal software that can be used by criminals to damage your computer or personal data
MD5: 6D7FDBF9CEAC51A76750FD38CF801F30
SHA256: 0398221231CFF97E1FDC03D357AC4610AFB8F3CDDE4C90A9EC4D7823B405699E

not-a-virus:HEUR:Downloader.Win32.Funshion.gen
File: C:\Users\Pierrot\Downloads\pw10-free.exe
Legal software that can be used by criminals to damage your computer or personal data
MD5: 48130F8E37C382F912FCDED12679C7B8
SHA256: FCC0B0E1B78B1364CDD78CE7FDB1E0F97A4D727E8F7DC7E3C932C39D87563B74

not-a-virus:NetTool.Win32.RemoteExec.a
File: C:\Users\Pierrot\Downloads\[Guru3D.com]-DDU\DDU v15.7.4.1.exe
Legal software that can be used by criminals to damage your computer or personal data
MD5: B7AB280C44D485C4756D78F024EFAA36
SHA256: DC0BD9062BDC47B72CC8CB20CD7BEE57B362ED57188F2763499DEBFEC9AAD61F

not-a-virus:NetTool.Win32.RemoteExec.a
File: C:\Users\Pierrot\Downloads\[Guru3D.com]-DDU\Display Driver Uninstaller.exe
Legal software that can be used by criminals to damage your computer or personal data
MD5: 104532EFF0F24D412AD51D9AEACDAACE
SHA256: 6990430F88625D0733B9997E5C324FE7B867895C80317B07DD4B93C8B00473F1.

Voila, j'espère que cela te sera utile.
Avatar du membre
par did80
#191391
re

tu peux supprimer

ensuite fais ceci çà peut etre assez long



Tu peux brancher tes disques durs externes.
Tu vas faire un scan ESET ON LINE

http://www.eset.com/fr/home/products/online-scanner/

aide: https://forum.pcastuces.com/sujet.asp?f=25&s=73761

il n'y a pas de rapport si rien n'est trouvé

dans le cas contraire postes le rapport

nb fait attention de bien décocher la case "Supprimer les menaces détectées".

@+
Avatar du membre
par Pierrot60
#191392
Comme tu m 'a dit de tout supprimer, j'ai sélectionné "delete" pour tous les objets et cliqué sur continue.
KVRT a neutralisé ou mis en quarantaine les objets, mais il ne m'a pas proposé de désinfecter le PC en redémarrant.
Est ce normal?
J'attend ta réponse avant de faire ce que tu viens de me conseiller
Avatar du membre
par did80
#191399
salut


rends toi sur virustotal

>> Virustotal ici <<

Clique sur “ choisir un fichier ” et indique le chemin du fichier

C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe



en te déplacant dans l'arborescence de Windows, puis sur " ouvrir "

Clique enfin sur “ analyser! ”

Au bout de quelques minutes, un rapport est généré. Si on te dit que le fichier a été analysé clique sur réanalyser

Fais un copié -collé de l'URL de la réponse (ce qui est encadré en rouge ci dessous) que tu postes dans ta réponse

http://zupimages.net/up/17/30/amtx.png


2/ celui ci aussi

H:\Téléchargements\screen.zip
Avatar du membre
par did80
#191402
re

tu analyses les fichiers (post precedent

2/ peux tu me les envoyer en MP pour transmettre a nicolas coolman

3/ tu supprimes ensuite

4/ tu me dis si la demande de rançon est toujours présent

et si les fichiers sont crytpés

@++
Avatar du membre
par Pierrot60
#191406
J'ai besoin de précisions suite à ton dernier post:

- Les fichiers à envoyer en MP sont-ils les deux rapports générés par virus total?

- La demande de rançon a été faite lundi par mail en anglais et je n'ai pas de nouvelles depuis. J'ai fait une traduction et je peux te la communiquer.

- Quels sont les fichiers qui sont susceptibles d'être cryptés et où les trouver?

Concernant cette demande de rançon, je dois préciser qu'elle a été faite sur une adresse mail de redirection que j'utilisais il y a 3 ans.
J'ai arrêté parce que le prestataire ne donnait plus signe de vie, mais la liaison entre cette adresse mail de redirection et mon adresse mail actuelle est restée, ce qui fait que je continu à recevoir des mails par l'intermédiaire de cette adresse de redirection.
Ces précisions ont peut être de l'importance.
Avatar du membre
par did80
#191407
les 2 fichiers sont

H:\Téléchargements\screen.zip

C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe

oui fait moi voir la demande de rançon

@+
Avatar du membre
par Pierrot60
#191423
Bonjour,

Pour répondre à ta question, le PC va bien. En fait, avant, il avait l’air de fonctionner normalement, hormis peut être une certaine lenteur.

En fait, si tu as lu la demande de rançon, le hacker me menaçait de divulguer le contenu de mon PC à tous mes contacts,
alors je ne sais pas si il est passé à l'action. Peut être que c'était de l'intox !!

Peux-tu me dire ce qu'il y avait comme virus dans mon PC?

Après cet incident, je me pose quand même des questions sur l'efficacité des anti virus et autres programmes de nettoyage.
En effet, je fais régulièrement toutes les mises à jours qui me sont proposées, j'ai l'anti virus Avast, et je passe au minimum 1 fois par mois ADWcleaner, Malwarebytes et ZHP Cleaner, et malgré cela, je suis surpris par tous les objets malveillants qui ont été détectés au cours des opérations de nettoyage que tu m'as fait faire.

Faut-il que je passe également KVRT et esetonline régulièrement?

Que faut-il faire pour éviter ce genre de problèmes?

D'autre part, que me conseilles-tu pour éviter de nouveaux problèmes à cause de de mon ancienne adresse mail de redirection.

Enfin, je possède un autre PC avec la même messagerie IMAP, donc le même message est arrivé dessus. Faut-il faire les mêmes vérifications?
Comme c'est une messagerie IMAP, tous les mails arrivent également sur mon smartphone et ma tablette.
Risquent-ils d'être infectés?

J'ai également plusieurs clés USB que je branche souvent sur le PC. Est-ce qu'il y a un risque qu'elles soient infectées également?
Même questions pour les cartes SD que j'utilise.

Je suis conscient que cela fait beaucoup de questions, et ce serait vraiment sympa de ta part de bien vouloir y répondre afin de me rassurer.

je t'en remercie par avance
Avatar du membre
par did80
#191426
bonjour pierrot

je vais essayer de ne pas en oublier

deja eset a trouvé 2 beux trojans ce qui prouve qu'il y a une faille de securité

le meilleur antivirus c'est toi on reflechis puis on clique

les outils sont mis a jour regulièrement on va donc les desinstaller

2/
tu peux installer marmiton a telecharger sur le site de malekal

unchecky sur unckecky.com

3/désinstallation

supprime manuellement ce qui est en bleu si présents

après avoir afficher les dossiers cachés

C:\ FRST
C:\ Adwcleaner
C:\Users\***\AppData\Roaming\ ZHP
C:\ KVRT_Data


Télécharges delfix pour désinstaller les outils de désinfection qui ne vont plus te
Servir puisque mis a jour régulièrement

DELFIX ICI


DelFix va supprimer les outils utilisés pour cette désinfection.

Téléchargez et enregistrez DelFix

Note: Le téléchargement démarre 5 secondes après avoir cliquer sur le lien.

Cliquez sur Delfix pour le lancer.

Vérifiez et cochez les cases : "Supprimer les outils de désinfections" et "Purger la restaurations système".

Cliquez ensuite sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
Postez par copier/coller le contenu du rapport qui s'est ouvert.

Image

4/
un peu de lecture

a/pourquoi comment je me fais infectér

https://forum.malekal.com/viewtopic.php?t=3259&start=

b/ toolbars

https://forum.malekal.com/viewtopic.php?t=6173&start=


c/ risque du p2p

http://www.libellules.ch/phpBB2/les-ris ... 28947.html

d/ cracks

https://forum.malekal.com/viewtopic.php?t=893&start=

e/ les pups

http://forums.cnetfrance.fr/topic/19329 ... esirables/

bon week

didier
Avatar du membre
par did80
#191427
bonjour pierrot

je vais essayer de ne pas en oublier

deja eset a trouvé 2 beux trojans ce qui prouve qu'il y a une faille de securité

le meilleur antivirus c'est toi on reflechis puis on clique

les outils sont mis a jour regulièrement on va donc les desinstaller

2/
tu peux installer marmiton a telecharger sur le site de malekal

unchecky sur unckecky.com

3/désinstallation

supprime manuellement ce qui est en bleu si présents

après avoir afficher les dossiers cachés

C:\ FRST
C:\ Adwcleaner
C:\Users\***\AppData\Roaming\ ZHP
C:\ KVRT_Data


Télécharges delfix pour désinstaller les outils de désinfection qui ne vont plus te
Servir puisque mis a jour régulièrement

DELFIX ICI


DelFix va supprimer les outils utilisés pour cette désinfection.

Téléchargez et enregistrez DelFix

Note: Le téléchargement démarre 5 secondes après avoir cliquer sur le lien.

Cliquez sur Delfix pour le lancer.

Vérifiez et cochez les cases : "Supprimer les outils de désinfections" et "Purger la restaurations système".

Cliquez ensuite sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
Postez par copier/coller le contenu du rapport qui s'est ouvert.

Image

4/
un peu de lecture

a/pourquoi comment je me fais infectér

https://forum.malekal.com/viewtopic.php?t=3259&start=

b/ toolbars

https://forum.malekal.com/viewtopic.php?t=6173&start=


c/ risque du p2p

http://www.libellules.ch/phpBB2/les-ris ... 28947.html

d/ cracks

https://forum.malekal.com/viewtopic.php?t=893&start=

e/ les pups

http://forums.cnetfrance.fr/topic/19329 ... esirables/

bon week

didier
Avatar du membre
par Pierrot60
#191433
Bonjour didier,

je te remercie pour ton dernier Post,
J'ai téléchargé et installé marmiton et Unchecky

J'ai désinstallé manuellement C:\FRST, C:\ADWcleaner et C:\ KRVT_data.
C:\Users\***\AppData\Roaming\ ZHP n'était plus présent

J'ai passé Delfix et voici le rapport:
Lien delfix: https://www.cjoint.com/c/HJul7QK74iS

Donc après avoir fait tout cela, mon PC a été désinfecté, et je vais me plonger dans la lecture que tu me recommandes.

Par contre, tu n'as pas répondu aux questions concernant mon autre PC, Smartphone, tablette, clés USB et carte SD
faut-il que je les vérifie tous, et si oui, comment je fais?
Merci pour ta réponse

Pierrot
Avatar du membre
par Pierrot60
#191437
OK, je passe les 2 et je te joint les rapports.

En attendant, je reviens sur mes problèmes dus à mon ancienne adresse de redirection.
Peut être que le meilleur moyen d'y remédier est de remplacer mon adresse mail actuelle. quand penses-tu?
désinstaller sophos

bonjour, ci joint les fichiers d'analyse https://w[…]

Bug PC

Bonjour, Essaye de voir si une application du Mic[…]

Channel effortless cool with the Lana Del Rey Fer[…]

Bonjour, J’ai un laptop Asus récent[…]