FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Olive29]

Bonjour,

Depuis plusieurs jours mon pc est très lent, cela se voit également en saisie où les lettres n'apparaissent qu'après environ 5 secondes de temps en temps.
Egalement, le navigateur internet Chromium s'est installé sur mon ordinateur automatiquement. Malgré plusieurs tentatives de désinstallation, il se réinstalle tout le temps automatiquement, ce qui réinstalle aussi à chaque fois le moteur de recherche Bing.
Je vous remercie de bien vouloir m'aider à désinfecter mon ordinateur.

Bien cordialement,

Olivier

[did80]

Bonjour olivier

ceci

1/
Télécharges Zhpsuite sur ton bureau: Téléchargement ICI

• [ Si l'outil n'est pas sur le bureau mais dans le dossier téléchargement fais un couper/coller
  Cliques sur le bouton Télécharger ici]

• Cliques sur le fichier téléchargé pour éxécuter l'outil
• Un raccourci sera crée sur le bureau, le logiciel s'ouvre
• Accepte le Cluf

Dans les options decoche / coche comme indiqué ci-dessous puis ferme



Lance ensuite l'outil en cliquant sur analyse

• Ne pas interrompre l'outil
• Quand fin de recherche s'affiche un rapport zhpdiag.txt apparait sur le bureau
• Heberge le sur le site www.cjoint.com/
• Donne moi le lien fourni dans ton prochain message

2/
Télécharger FARBAR et


l' enregistrer-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

https://www.sosvirus.net/appstore/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser



L'outil va créer 3 rapports sur le bureau:

• Frst.txt
  Addition.txt
  Shortcut.txt

Mettre les 3 rapports Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+ didier

[Olive29]

Bonjour Didier,

Voici les documents :

ZHPDiag : https://www.cjoint.com/c/JCDksMHxzBd
FRST : https://www.cjoint.com/c/JCDkMA2An5d
Addition : https://www.cjoint.com/c/JCDkNgGBm3d
Shortcut : https://www.cjoint.com/c/JCDkNOAOind

[did80]

olivier

ton windows est légal??

O43 - CFD: 02/12/2017 - [] D -- C:\ProgramData\KMSAutoS
O43 - CFD: 01/12/2017 - [] D -- C:\Users\Olivier\AppData\Local\MSfree Inc

Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1398835985-718067912-1910963243-1001\...\Run: [Chromium] => "c:\users\olivier\appdata\local\chromium\application\chrome.exe" --profile-directory="Default" --auto-launch-at-startup --restore-last-session
HKU\S-1-5-21-1398835985-718067912-1910963243-1001\...\MountPoints2: {e22e99e9-0af9-11ea-9ccb-701ce72c7cfc} - "D:\HiSuiteDownLoader.exe"
Task: {1CBFAC92-4838-4300-9DB9-D507AFD1E4AB} - System32\Tasks\ChromiumUpdateTaskMachineCore => C:\Program Files (x86)\Chromium\Update\ChromiumUpdate.exe [100352 2020-02-26] (Chromium.) [Fichier non signé]
Task: {E395B303-2D0F-4AFA-81FE-75309EBF588B} - System32\Tasks\ChromiumUpdateTaskMachineUA => C:\Program Files (x86)\Chromium\Update\ChromiumUpdate.exe [100352 2020-02-26] (Chromium.) [Fichier non signé]
FF Plugin-x32: @chbrowserupdate.com/Chromium Update;version=3 -> C:\Program Files (x86)\Chromium\Update\1.3.99.0\npChromiumUpdate3.dll [2020-02-26] (Chromium.) [Fichier non signé]
FF Plugin-x32: @chbrowserupdate.com/Chromium Update;version=9 -> C:\Program Files (x86)\Chromium\Update\1.3.99.0\npChromiumUpdate3.dll [2020-02-26] (Chromium.) [Fichier non signé]
2020-03-25 18:01 - 2020-03-25 18:08 - 000000000 ____D C:\Users\Olivier\AppData\Local\chromium
C:\Users\Olivier\AppData\Local\chromium
2020-02-26 00:53 - 2020-02-26 00:53 - 001740288 ____T (Chromium.) [Fichier non signé] C:\Program Files (x86)\Chromium\Update\1.3.99.0\chromiumpdate.dll
AlternateDataStreams: C:\Users\Olivier\Application Data:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Olivier\AppData\Roaming:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
C:\Users\Olivier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
C:\Users\Public\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EverestPoker.com
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{13B4FB74-4334-2AF4-F2B4-5A74223489F4}
DeleteKey: HKU\S-1-5-21-1398835985-718067912-1910963243-1001\Software\csastats
DeleteKey: HKCU\Software\csastats
C:\ProgramData\KMSAutoS
C:\Users\Olivier\AppData\Local\MSfree Inc
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\uninst.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Tracing\winwb_RASAPI32
DeleteKey: HKLM\SOFTWARE\Microsoft\Tracing\winwb_RASMANCS
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\malanidat
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\misaricot
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\uninstp.dat
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\chromium-min.jpg
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\control panel-min-min.JPG
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\down.png
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\ff menu.JPG
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\ff search engine-min.png
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\HowToRemove.html
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\hp-min ff.png
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\hp-min ie.png
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\search engine.gif
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\setup pages.gif
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\sp-min.png
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\start-min.jpg
C:\Users\Olivier\AppData\Local\{8A10BC4C-AEB8-D0F4-C320-F51CE7480984}\HowToRemove\up.png
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\deremi
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\uninst.exe
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\chromium-min.jpg
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\control panel-min-min.JPG
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\down.png
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\ff menu.JPG
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\ff search engine-min.png
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\HowToRemove.html
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\hp-min ff.png
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\hp-min ie.png
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\search engine.gif
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\setup pages.gif
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\sp-min.png
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\start-min.jpg
C:\Users\Olivier\AppData\Local\{A721917D-8389-FDC5-EE11-D82DCA7924B5}\HowToRemove\up.png
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{13B4FB74-4334-2AF4-F2B4-5A74223489F4}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{13B4FB74-4334-2AF4-F2B4-5A74223489F4}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\winwb_RASAPI32
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\winwb_RASMANCS
C:\Users\Olivier\AppData\Local\Google\Update



EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+

[Olive29]

Voici le fixlog : https://cjoint.com/c/JCDoQuWdnld

Oui ma version Windows est légale. En 2017 par contre j'avais Excel, Word, etc en version crackée.
Depuis l'an dernier, j'ai acheté la licence pour les logiciels microsoft office.

Olivier

[did80]

En 2017 par contre j'avais Excel, Word, etc en version crackée.

çà explique autokms

ceci maintenant


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher







Mode Scanner







Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+

[Olive29]

Voici le rapport ZHPCleaner : https://www.cjoint.com/c/JCDpxxPCs2d

Olivier

[did80]

tu peux nettoyer les superflus

ceci ensuite


Télécharger Malwarebytes

Malwarebyt'es ICI

Lancer L'analyse






A la fin du scan exporter au format txt




Héberger sur cjoint

me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv

[Olive29]

Voici le résultat de l'analyse : https://www.cjoint.com/c/JCDqnPFZUpd

[did80]

mets tout çà en quarantaine

héberge moi le rapport ensuite

[Olive29]

après quarantaine : https://www.cjoint.com/c/JCDqOaFTGod

[Olive29]

Petite précision, je n'ai pas refais d'analyse après, juste exporté le fichier après quarantaine.

[did80]

ok

ceci maintenant

AdliceDiag

Ici

Choisir la version voulue

• Installer 32/64 bits
  
  Portable 32 bits
  
  Portable 64 bits

Laissez les Paramétres par défaut



Scannez

Ala fin du scan cliques sur le bouton results

puis sur le bouton Rapport

tu vas obtenir cet ecran




onglet upload/suppressioncloud

assigner le helper did80

bouton Uploader

Tu vas obtenir un lien Permalink en bas de l'écran a me fournir

[Olive29]

Voici le lien : https://diag.adlice.com/report.php?id=f ... 6cccfdeff3

[did80]

passe cet outil

https://genhackmantools.wordpress.com/process_analyzer/

poste moi le rapport

[Olive29]

Voici : https://www.cjoint.com/c/JCDtPako4Yd

Encore merci pour tes réponses rapides

[Olive29]

Si tu ne peux pas résoudre cela ce soir, puis-je tout de même utiliser internet sur le pc (youtube, discord, twitch, steam) ?

[did80]

Salut

pas vraiment recommandé vu les beaux trojans que j'ai vu
Win32/Unwaders.A!ml
Win32/Wacapew.C!ml

2/ question
ton windows n'est pas a jour? 1903 ? pourquoi?

refais moi un farbar stp

[Olive29]

Bonsoir Didier,

Voici le résultat d'analyse du Farbar :

FRST : https://www.cjoint.com/c/JCEtHbPbyNd
Addition : https://www.cjoint.com/c/JCEtHHLl8wd
Shortcut : https://www.cjoint.com/c/JCEtH6JPWFd

[did80]

Salut Olive

Télécharger kapersky removal tool


https://support.kaspersky.com/fr/viruses/kvrt2015#kb



mettre sur le bureau KVRT.exe



désactiver l'antivirus


executer en mode administrateur le fichier kvrt



accepter les conditions d'utilisation


parametrer







lancer le scan





Scanner






Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.

il n'y a pas de rapport si l'outil ne trouve pas d'infection

Delete : Supprimer le fichier
Quarantine : place le fichier en quarantaine.
Clique sur le bouton Continue



Kaspersky Virus Removal Tool propose ensuite de désinfecter l’ordinateur en redémarrant ce dernier : Disinfect and restart the computer
Note que tu as un bouton « Try to desinfect without computer restart » afin de tenter de supprimer les virus sans redémarrer l’ordinateur




L’ordinateur va alors redémarrer, si tu obtient le message, ci-dessous, clique sur Exécuter






didier

[Olive29]

J'ai effectué le scan (2 heures environ), la première fois un trojan a été trouvé, l'antivirus a donc fait le nécessaire et a demandé un redémarrage du pc.
Suite au redémarrage, un deuxième scan s'est automatiquement remis en route (2 heures environ) et n'a plus détecté d'anomalie : "No threats found".

Que dois-je faire ensuite ?

[did80]

tu peux me dire pourquoi ton windows n'est pas a jour?

1903 Redstone 6, Build 18362 - 19H1 Mai 2019

[Olive29]

Je ne sais pas, j'attends généralement d'avoir une proposition de mise à jour.
Je viens de lancer manuellement la mise à jour vers windows 10, version 1909.
Une fois la mise à jour installée, que faudra t'il faire ensuite ?

[did80]

ton pc devrait être en pleine forme!!

[Olive29]

Merci beaucoup pour ton aide Didier

Je supprime tous les logiciels que tu m'avais demandé d'installer ?
- ZHPSuite
- FRST
- ZHPCleaner
- Malwarebytes
- Diag
- Process Analyzer
- Kapersky

[did80]

ceci

KpRm (de Kernel-panik)

· Téléchargez sur le bureau

KPRM ICI

ou

KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours




· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

[Olive29]

Voici le rapport : https://www.cjoint.com/c/JCFsLLimjid

[did80]

plus de soucis

bonne suite

[Olive29]

Merci Didier