FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Adaron
#200556
Bonjour,

Quelqu'un m'a confié un PC à désinfecter, et même si je suis actuellement en formation, je n'ai pas l'impression de connaître les infections actuellement présentes sur la machine. AdwCleaner (une clé Legacy) et MBAM (2 exécutables de setup de type PC_Optimiser.exe) n'ont pas vraiment été efficaces et les infections sont toujours présentes.

J'ai donc généré ce rapport ZHPDiag, est-ce que vous pouvez m'aider à désinfecter s'il vous plaît ?

Je crois bien que la personne a été sur des sites porno et suis pratiquement certain que ça vient de là...

Des notifications de W10 sont affichées de manière intempestives en bas à droite, même en l'absence d'un navigateur qui tourne.

Voilà le rapport :
https://www.cjoint.com/c/IKmlEJgStNb

Adaron
Avatar du membre
par rubised
#200558
Bonjour,

On va te sortir de là,j'analyse ton rapport de ZhpDiag,et reviens vers toi avec un scdipt de désinfection

A +
Avatar du membre
par rubised
#200559
Re...,

Fais ce qui suit


Télécharger
Zhpfix Script Manager

sur votre bureau

Image


Copie le tout le texte présent dans le lien ci-dessous:

https://www.cjoint.com/c/IKmtsCea0dR

Tu le sélectionnes avec ta souris Cliques droit dessus et choisis "Copier"
Ou fait Ctrl+C.
Tu le dépose dans le cadre blanc.
Image



Puis Lancer l'outil en cliquant sur le balai

L'outil va fournir un fichier rapport zhpfix.txt sur votre bureau

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.

Il y aura un écran noir pendant un petit temps , pas de stress!!

redémarrer la machine
Si durant le traitement , tu as un message te disant qu'un reboot est nécessaire clique sur " oui"
Image

Puis

Désactive tes protections](antivirus , etc..) car cet outil peut être détecté comme une menace , hors il n'en ai rien !
Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/

Tu auras ceci
Image

1) Faire un click droit sur zhpcleaner
Il ne nécessite aucune installation.
Ferme ton Navigateur et autres applications

* Accepte les termes du contrat


2) Exécuter en tant qu'administrateur

Image
Si windows SmartScreen t’affiche une alerte cliques sur « Information complémentaires »
Puis clique sur « Exécuter quand même »
Image
Tu auras ceci.
Image

Ferme cette fenêtre
Execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher
Image
2) Cliques sur Scanner ,attend la fin du scan
Image
3) Accepte de créer un point de restauration au cas ou…
Image

4) Puis cliques sur nettoyer
Image


Le rapport se trouve aussi dans ton dossier utilisateur « %AppData% /ZHP » et sur ton bureau

copies/colles le rapport ou héberge le sur http://www.cjoint.com/ si volumineux
regarde la video: [colo=blue] http://blog.security-helpzone.com/cjoin ... s-109.html[/color]
Note: Durant le nettoyage, si l'outil te demande "Avez-vous installé ce proxy ?" et que tu n'en as pas installé, clique sur "Non" ou "[clor=red]Voulez-vous remplacer la page d'accueil ?[/color], clique sur "Oui"

J'attend donc deux Rapports

A te lire
Avatar du membre
par Invité
#200567
Salut !

Un grand merci pour ton aide.

J'ai suivi les étapes et récupéré les rapports après chaque traitement, les voici :

Rapport après ton script : https://cjoint.com/c/IKntAzPstVu
Rapport ZHPCleaner après analyse : https://cjoint.com/c/IKntzjqnHCu
Rapport ZHPCleaner après nettoyage : https://cjoint.com/c/IKntAbFE0yu

Niveau symptômes, j'ai l'impression que ça s'est calmé un peu, et pourtant je ne pense pas que ça ait disparu totalement.
Est-ce qu'on connaît cette infection ?
Je vais devoir sensibiliser la personne au sujet de ce genre de choses..

Je reste dans l'attente de la suite :)
Avatar du membre
par rubised
#200569
Bonjour,

Bon travail
Pour controle fais ce qui suit

) 1) Télécharger [https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/] Malwarebytes 3.8.3[/url]
Ou icu >>> https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/mwb-download/
Sur votre bureau
Vous aurez ceci :
Image

2) Cliquer sur Télécharger gratuitement pour l’installer
Pour windowsVista/7/8/8.1/10 clic droit sur « Exécuter en temps qu’administrateur » puis double clic sur le fichier »mb3.Setup.consu……exe]/b]
Qui se trouve à gauche en bas de votre écran
Image


Vous aurez à l’écran la fenêtre d’avertissement de sécurité
Cliquer sur « exécuter »
Ensuite sur la demande de la langue
Image


Choisir votre langue et cliquer sur « OK »
Puis sur cette fenêtre
Image

Cliquer sur « Suivant »
Cocher la case « Je comprend et accepte les termes du contrat de licence »

Image


Cliquer sur suivant et vous aurez cette fenêtre
URL=https://www.casimages. [com/i/190808104435734254.jpg.html]Image[/url
Cliquer sur « Suivant »
Sur cette fenêtre cliquer sur « suivant »

Image


Puis sur cette image « cliquer sur « suivant »


Image


Ensuite sur cette fenêtre laisser « cocher » Créer une icône sur le bureau

Image


Cliquer sur « suivant »

Sur cette fenêtre cliquer sur « Installer »

Image


Vous aurez la progression du téléchargement
Image


Et une fois celle- ci terminée
Une fois MBAM affiché à l'écran ,fais ce qui suit avant de le lancer:
1) Cliquer sur Onglet Paramètres
2) Cliquer sur Onglet Protection
3)Activer Recherche des Rootkits en plus d'analyser les archives

Image


Puis cliquer sur « Analyser maintenant »

Image


L’analyse se lance

Image


Après l’analyse terminée, cliquer sur « Oui » pour finaliser le « nettoyage »

Image


Pour Finir : cliquer sur « afficher le compte rendu » et le poster sur le forum
Si le rapport (compte rendu) est important, Héberger le rapport ici http://cjoint.com/

1 parcourir : Malwarebytes..txt sur le bureau
2 déposer
3 me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv
A vous lire

PS Suivant résultat on passera un autre outil,de plus en fin de désinfection je te donnerais quelques conseil si tu le veut bien
Avatar du membre
par Adaron
#200580
Bonjour,

Merci !

Je m'occupe donc de passer MBAM ce soir et je posterai le rapport.
Le problème c'est que les notifications intempestives à caractère porno continuent actuellement.. Et que la première fois que j'avais passé MBAM sur la machine, il n'avait rien trouvé à part quelques PUP. Mais je repasserai poster ici ce soir.

Petit détail mais ton canned speech de MBAM ne semble plus à jour vu que l'interface a changé.

Bonne après-midi et à plus tard pour le rapport de Malwarebytes !

Adaron
Avatar du membre
par rubised
#200587
Bonjour,

Pour mon canned de MBAM tu as raison pour ma version prémium je n'avais pas encore eu la mise à jour toute récente merci

J'attend donc ton rapport

J'aimerais que tu passe aussi cet outil

Désactive ton antivirus le temps du téléchargement et de l’utilisation, le mieux étant jusqu’au prochain redémarrage..
Le scan étant un peu long , si c’est un portable pense à brancher le secteur et à désactiver la veille prolongée afin que le PC ne s’éteigne pas pendant le scan
Télécharge [color= darkblue]AdsFix[/color] sur ton bureau.
Note : Enregistrer votre travail avant de continuer !
Lance AdsFix ( clic droit “executer en tant qu’administrateur” pour Vista/7/8/8.1/10 )
Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
Laisse-toi guider pour installer le certificat de sécurité puis à l’issue , l’outil va se fermer
relance-le
Clique sur Options , puis Autoriser la suppression , puis enfin sur Nettoyer.
Ne touche pas l’ordinateur le temps du scan !!
Inscris ton pays
Image


Note : Patiente le temps du scan,
Laisse travailler l’outil même s’il te parait bloqué
Héberge le rapport C:\AdsFix_date_heure.txt sur cjoint puis donne le lien obtenu.

A te lire
Avatar du membre
par Adaron
#200591
Salut !

Il y a eu un souci avec MBAM, l'utilisateur a dû le fermer à al fin et en le réouvrant je n'ai pas trouvé de rapport...
Il faudra sûrement que je le repasse...

Pour le moment j'ai lancé AdsFix qui est en train de tourner, je posterai le rapport tout à l'heure dès que c'est fini.

Sinon, voici quelques infos supplémentaires.
J'ai découvert que les pop-ups venaient de Chrom. Qu'il tournait en tâche de fond même quand il est fermé, et que le processus chrom.exe se relance en boucle même si on essaie de le shooter. Je ne pouvais pas non plus le désinstaller ("Fermer toutes les fenêtres de Chrom avant de le désinstaller). J'ai donc renommé le chrom.exe dans le répertoire d'install qui était relancé X fois, j'ai pu shooter les processus et j'ai désinstallé Chrom, suite à quoi les pop-ups ont disparu.

Les pop-ups en question indiquaient les sites suivants :

upornia.com
hotmovs.com
thegay.porn

Si jamais ça te parler et que ça t'aide à identifier ce qui s'était mis dessus ?

Je repasse avec les deux rapports dans la journée ou soirée.

Merci :)
Avatar du membre
par rubised
#200592
Bonjour,

Concernant ceci:
upornia.com
hotmovs.com
thegay.porn
= sites Porno pas étonnant d'être infecté
En fin de désinfection je te donnerais quelques conseils.

J'attend les rapports de MBAM et de AdsFix.
Si possible essaie de ne pas répondre tous les 3 ou 4 jours ,merci
Avatar du membre
par Adaron
#200593
Bonjour !

Désolé, je n'ai pu trouver un créneau qu'hier mais j'ai suivi toutes les instructions. Voilà les rapports :

AdsFix : https://www.cjoint.com/c/IKviSRojuOb
MBAM : https://www.cjoint.com/c/IKviToULAVb

AdsFix a supprimé plein de trucs en rapport avec les popups j'ai l'impression, je te laisse voir :)

Et je veux bien quelques conseils oui, je les transmettrai à la personne en question et à tous ceux qui pourraient en avoir besoin.

Merci beaucoup.

J'attends ta conclusion,

Adaron
Avatar du membre
par rubised
#200596
Bonjour,

Après ce travail, Comment se comporte ton PC ??
concisdéres-tu que ton problème est résolu ?? si oui je le mettrais comùme tel

En attente de ta réponse

Puis on supprimera les outils utilisés ,car très souvent mis à jour,sauf pour MBAM qu'il faut conserver,et je te donnerais quelques conseils.

A te lre

Pour information
Object Browser est un programme qui s'installe à votre insu en téléchargeant des logiciels gratuits. Il se propage via certains sites de téléchargement qui modifient la configuration de l'installation. L'objectif de ce programme est de gagner de l'argent en générant du trafic Web. Elle fait la promotion de ses produits (publicité) et du classement des sites sponsorisés par bouste. identifié le 09/07/2014.

Les caractéristiques :
- Il appartient à une famille de programmes potentiellement indésirables (PUP / LPI).
- Vendeur: PUP.Optional.

Actions principales Object Browser:
- Il installe un programme d'extension pour le navigateur Google Chrome (G2),
- C’est très s'installe en tant que navigateur Internet (O2), navigateur assistant objet (BHO),
- il lance une tâche automatique planifiée (O39),
- C’est très installe en tant que programme (O42),
- Il crée plusieurs clés de registre «Software»,
- Il crée des dossiers supplémentaires (O43),
- Il est installé dans le prefetcher de dossier Windows (O45),
- Il pollue les registres de base avec de nombreuses clés et valeurs (O88),
- Il crée plusieurs fichiers et dossiers (O88)
Avatar du membre
par Adaron
#200598
Bonsoir rubised.

Le PC se comporte de nouveau normalement et les symptômes ont disparu !
Un grand merci pour ton temps et pour ton aide. Oui, j'attendais ton feu vert avant d'enlever les outils de diagnostic et de nettoyage.

J'ai expliqué à la personne qu'il faudra être vigilant s'il ne souhaite pas que ça revienne, vu les sites fréquentés... J'espère qu'il fera attention.

Je repasserai pour voir tes conseils, même si ces infos sont déjà pas mal, et je te souhaite un très bon weekend ! :)

Adaron
Avatar du membre
par rubised
#200600
Bonsoir,.

Ok je mets ton sujet comme résolu

Pour supptimer les outil utilisés fais ce qui suit

Désactiver temporairement votre Antivirus
Télécharger KPRM (de Kernel-panik) Impérativement sur le bureau > >>
KPRM


Pour plus d’informations et le Téléchargement >>>> KPRM.exe

Lancer l'exécution en mode Administrateur par clic droit Cocher les cases : comme représenté sur cette image ci-dessous
Cocher en + ( a la demande de l'appréciation du helper)

Image


Cliquer sur (Exécuter).....laisser travailler jusqu'au message indiquant la fin des opérations.
Image

Un rapport kprm.txt se trouve sur le bureau
héberge le sur CJOINT

Donner le lien créé dans votre réponse.

Voici quelques conseil

A lire avec attention
1) pourquoi comment je me fais infectér

https://forum.malekal.com/viewtopic.php?t=3259&start=

2) toolbars

https://forum.malekal.com/viewtopic.php?t=6173&start=


3) les risques du p2p

https://forum.malekal.com/viewtopic.php?t=893&start=

Je te donne quelques consignes de sécurité :

Windows Update parfaitement à jour : http://www.windowsupdate.com/

Vista/Seven/10 -- le parefeu de Windows est suffisant
Windows defender suffisant comme antivirus
https://www.google.com/search?q=windows ... e&ie=UTF-8

Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (2 fois / mois)

Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe, etc...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Attention au nettoyeur optimiseur
registre (Wise Registry Cleaner) qui lave plus blanc que blanc
Il supprime sur des clés ou valeurs ( dites utile) ce qui n'est pas forcement le cas.

Même chose pour Advanced SystemCare (IObit) optimiseur nettoyeur
qui n'apporte rien de plus dans les performances et qui occupe les ressources du disque dur.


Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc...)

Le danger des cracks :
http://forum.malekal.com/danger-des-cra ... -t893.html

Les risques sécuritaires du peer-to-peer :
http://forum.malekal.com/les-dangers-pe ... t3208.html


Attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

Nettoyage hebdomadaire du système :

Suppression des fichiers inutiles :
http://www.commentcamarche.net/download ... 8-ccleaner

Concernant Malwarebytes’ Anti-Malware, vous pouvez le garder et faire un examen une fois par semaine en prenant soin de bien le mettre à jour avant de lancer chaque scan.
Pour Java si tu l’as sur ton PC
Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour : http://www.java.com/en/download/help/testvm.xml
Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soient à jour sans failles de sécurité :
Utilise « Ucheck » Choisir la Version gratuite
https://www.adlice.com/fr/download/ucheck/
Sous Windows ,il faut savoir rester vigilant. En effet, certains programmes d’install proposent durant l’installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système.

En général, on est prudent ,on décoche les cases qui sont présentes et cochées d’avance, mais il suffit d’un oublis, et on laisse passer la toolbar fatale.

Pense également à défragmenter ton disque dur si nécessaire avec « Defraggler »
Ou ici avec tutoriel [color= brown] »Defraggler »[/color]
Enfin Pour éviter ce genre de désagrément
http://forum.telecharger.01net.com/foru ... 2724_1.htm
Il faut toujours télécharger sur le site de l'éditeur, et surtout ne pas télécharger sur:
downloadastro.com
Download.com / Cnet (Version US)
itwiss.com
Malavida.com
01.NET
Portalux.com
Softonic
SourceForge
Soft32.fr
Soft-Box.net
sur-telecharger.com
telecharger.logiciel.net
top-logiciels.com
top-logicielsSoftbian.com et consorts
Par ailleurs, si vous utilisez AVG ou Avast!, pensez à activer la détection des PUPs.

- Pour les extensions tu peut installer Adblock plus / Traffic lght (de bitDefender / uBlock Pro

Voici les liens

Traffic Light pour Google ici >> https://www.bitdefender.fr/solutions/trafficlight.html

uBlock Origin pour firefox ici: >> https://www.clubic.com/telecharger-fich ... rigin.html

uBlock Origin pour Google ici:>> https://www.commentcamarche.net/downloa ... our-chrome
Bon courage , bon surf et prudence sur le net

Si tu considère ton problème comme résolu dis le moi ,je le mettrais comme tel
Attention
Si ton Disque Dur est un SSD ne pas le défragmenter
Pour information à ce sujet : https://www.fnac.com/Disque-dur-SSD-on- ... p18816/w-4
Je met ton sujet comme résolu
A te lire.
Avatar du membre
par Adaron
#200628
Hello :)

Merci.
Je n'ai plus accès au PC, j'avais simplement supprimé / désinstallé les outils manuellement.. Il faudrait soit que j'y retourne soit que je tente une prise de main à distance.. Je n'ai pas de rapport.

Un grand merci pour les conseils et les liens : je connaissais une bonne partie déjà, mais c'est toujours bien à lire / relire. Et surtout, je ferai suivre, en espérant que l'internaute changera ses habitudes (je lui en avais déjà parlé).

La dernière fois que j'avais regardé, plus aucun symptôme n'était présent sur la machine et tout semblait ok.

Merci encore pour ton aide. En espérant que je n'en aurai pas besoin à nouveau :)

Adaron
Avatar du membre
par rubised
#200630
Bonjour,
Heureux d'avoir pu t'aider.

Pour information

L'outil de désinstallation KpRm a évolué, ainsi que son interface

Canned KPRM (merci à Kernel Panik)
• Désactive temporairement ton antivirus
• Télécharge KPRM (de Kernel-panik)
• Informations + Téléchargement : KRM
• Lance l’exécution par clic-droit -> Exécuthttps://www.sosvirus.net/telecharger/kprm/er en tant qu’administrateur
• Coche les cases teintes en jaune (Laisse sur Automatique)
Image

• Clique sur [Exécuter]…laisse travailler jusqu’au message indiquant la fin des opérations
Image

• Un rapport kprm.txt se trouve sur le bureau
• Héberge le sur Cjoint
• Donne le lien créé dans ta réponse

Bonne semaine
Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]