FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par rubised
#203533
Bonjour,

Pour AdsFix je comprend il faut supprimer la mise en veille,sinion pas possible d'utiliser l'outil,c'était bien noté dans mon canned.

Regarde ici pour vista>>> Panneau de configuration -> options d’alimentation et cliquer sur “Modifier les conditions de mise en veille de l’rodinateur” dans le bandeau lateral gauche.

Il te suffit alors de mettre “Jamais” pour “Mettre l’ordinateur en veille”

Donc relance AdsFix met le à jour (télécharge la dernière version)

Par contre pourrais-tu ?, dans la mesure du possible ne pas mettre 3 jours pour me donner le résultat ,d'une demande , cela nous faciliterait la tâche.
Merci

A te lire
#203538
rubised a écrit : sam. 20 juin 2020 18:05 Bonjour,

Pour AdsFix je comprend il faut supprimer la mise en veille,sinion pas possible d'utiliser l'outil,c'était bien noté dans mon canned.

Regarde ici pour vista>>> Panneau de configuration -> options d’alimentation et cliquer sur “Modifier les conditions de mise en veille de l’rodinateur” dans le bandeau lateral gauche.

Il te suffit alors de mettre “Jamais” pour “Mettre l’ordinateur en veille”

Donc relance AdsFix met le à jour (télécharge la dernière version)

Rien à faire
En mode normal, j'ai la fenetre "Error allocating memory"

Meme en mode sans échec, j'ai immédiatement ce message :

https://www.casimages.com/i/20062107142463133.jpg.html

rubised a écrit : sam. 20 juin 2020 18:05 Par contre pourrais-tu ?, dans la mesure du possible ne pas mettre 3 jours pour me donner le résultat ,d'une demande , cela nous faciliterait la tâche.
Merci

A te lire
Oui je sais... :| Désolé :|
Avatar du membre
par rubised
#203539
Bonsoir,

Pour le téléchargement et l'installation de AdsFix tu le fais bien sur ton bureau ? (c'est impératif)

Pour la désactivation de mise en veille ou mise en veille prolongée sous Vista regarde içi si tu l'as fais correctement

Tu as bien désactivé tous tes logiciels avec protection en temps réel, tel qu'antivirus/ malwarebyte prémium ect...

A te lire

PS un peu de lecture https://support.microsoft.com/fr-fr/hel ... ile-growth
Avatar du membre
par rubised
#203542
Bonjour,

Je t'ai donné ce lien pour information,mais celà n'est pas ma spécialité,ce n'est pas de la désinfection ,désolé

Pour les autres questios demandées
Pour le téléchargement et l'installation de AdsFix tu le fais bien sur ton bureau ? (c'est impératif)

Pour la désactivation de mise en veille ou mise en veille prolongée sous Vista regarde içi si tu l'as fais correctement

Tu as bien désactivé tous tes logiciels avec protection en temps réel, tel qu'antivirus/ malwarebyte prémium ect...
Tu as tout fais comme indiqué ?, sinon a part ceci quel problème reste t'il ?

J'attend l'avis d'un collègue et te tiens au courant.
Avatar du membre
par g3n
#203553
Salut à vous

Rubised, le scan Quickdiag a été effectué à 5h du mat mais visiblement il a des difficultés à le poster

[jepa (Administrator)] - [PAJE] (S-1-5-21-1431605009-1662845966-2266027222-1000)
Start 23/06/2020 04:48:33

je l 'étudie en attendant, et je mets le lien de son rapport ici :

https://www.cjoint.com/doc/20_06/JFxhxF ... ckDiag.txt

======================================
EDIT :
======================================

c'est bon je crois avoir trouvé le probleme

son anvigateur est preturbé par une barre d' outils néfaste planquée dedans : https://www.sophos.com/en-us/threat-cen ... lysis.aspx

il y a deux fichiers qui logiquement n' ont rien à faire là et on va les analyser par sécurité

communication par http via navigateur + fichiers très très douteux, ca sent la backdoor à plein nez, l utilisation de cracks ou keygens pour des jeux a du être effectuée

à savoir , un antivirus est soit démarré par un service , soit démarré dans une clé RUN avec son fichier dans program files, jamais en startup ( ou très rarement) et de surcroit, le nom de l exe de security essentials => Msseces.exe

=====================================

rends-toi sur https://www.virustotal.com puis fais analyser ce fichier :

C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Security.exe

une fois l'analyse des antivirus terminée , récupère le lien de la page en haut puis colle-le ici que je puisse m'y rendre pour consulter

et meme chose pour ce fichier

C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.exe

PS si tu ne trouves pas le chemin dans la fenetre d explorateur de virustotal, tape dans la barre en haut %appdata%

ca va t'amener dans ce dossier :

C:\Users\jepa\AppData\Roaming\

tu n'as plus qu'à suivre Microsoft\Windows\Start Menu\Programs\Startup\System.exe

ou

Microsoft\Windows\Menu démarrer\Programmes\Démarrage\System.exe

en espérant avoir été assez clair, tu as donc deux liens virustotal différents à fournir
#203557
Re-bonjour

J'ai récupéré les 2 liens, mais ils sont identiques:

3a786ebc25a673a6c704236aca85e46d93e42b3dc7b603888abfdfde3b6aa4f9

3a786ebc25a673a6c704236aca85e46d93e42b3dc7b603888abfdfde3b6aa4f9


Donc je ne sais pas si j'ai fait correctement...

J'ai fait "Choose file"
Puis après il me semble qu'il y avait "hash".
Avatar du membre
par g3n
#203559
et bien paf ! dans le mille lol j'en étais sûr
je vais te faire un script pour faire sauter tout ca

je comprends mieux pourquoi la moitié des outils était bloquée ^^
Avatar du membre
par g3n
#203561
je ne sais pas si tu te sert de eSobi mais si pas, désinstalle-le

====

A ne faire qu'une fois !

Désactive tes protections puis selectionne et copie ce texte en entier :
Code : Tout sélectionner
Kill::
Microsoft Security.exe
System.exe

KEY::
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser]|"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser]|"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]|"Chromium"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]|"swg"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Internet Explorer\SearchURL]|""|REG_SZ|""
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Internet Explorer\SearchURL]|"Default"|REG_SZ|""
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\061ab34217b844c52fc91982c9572313]
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\39fbc7d734233663dde04f822d7ac523]
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\ALWIL Software]
[HKLM\Software\ALWIL Software]
[HKLM\Software\Bunndle]
[HKLM\Software\Eset]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Symantec]
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\etoro]

File::
C:\04dd309c388ced9252da4bcd5c
C:\0788a4de55ff5d0e5297c89fb470b0fa
C:\44e9099e9fad18df595ffce270
C:\51672-CF
C:\51fe72b90a91c161f673
C:\67542567c05d1e2b63f872d5c5f10da8
C:\a8d0da6fe89cd5c69f
C:\c5d4e6f3901063130d24f976319d
C:\cc64ca07a12d5d2e8fec819523
C:\d63b2fe8ec136a81885cfe79e68ead
C:\fe165683cd270a20989c4f8d92322b
C:\Users\jepa\AppData\Local\BIT53EA.tmp
C:\Users\jepa\AppData\Local\BITAC07.tmp
C:\Users\jepa\AppData\Local\chromium
C:\Users\jepa\AppData\Local\Comodo
C:\Users\jepa\AppData\Local\Installer4180
C:\Users\jepa\AppData\Local\Installer4740
C:\Users\jepa\AppData\Local\qL567RwiaaKbn
C:\Users\jepa\AppData\Local\UlxnTkl7AJ
C:\Users\jepa\AppData\Local\{3170E021-AFDF-4B74-A492-DC0FDCB0194E}
C:\Users\jepa\AppData\Local\{326EC692-4BA6-4BAD-BEA5-93DD15904DD3}
C:\Users\jepa\AppData\Local\{4D24B814-8EE4-46B3-B59C-CCAC5CAFF449}
C:\Users\jepa\AppData\Local\{6A7ECEE4-BBA2-4E15-A9B4-5483AD196D68}
C:\Users\jepa\AppData\Local\{6BD9C637-00DC-4FD4-9185-A282B5CABEAD}
C:\Users\jepa\AppData\Local\{6FD40130-EE22-4093-B791-E4691B5F7787}
C:\Users\jepa\AppData\Local\{834E8E74-BC8B-4B54-86EA-54386268C679}
C:\Users\jepa\AppData\Local\{B6E19D62-65E4-46F8-9DAD-BE5EE63E93F6}
C:\Users\jepa\AppData\Local\{C2E73632-996A-47CE-8CC5-7CDE9EF5F8B7}
C:\Users\jepa\AppData\Local\{D66A9CA9-6749-4AA6-8C48-CC03A941A33E}
C:\Users\jepa\AppData\Local\{DD07345E-52E1-4F9E-9BBE-02C3D9FBA8CB}
C:\Users\jepa\AppData\Local\{F2FEDB41-BA66-42EB-8D07-C624946ED0C4}
C:\ProgramData\IObit
C:\ProgramData\Lavasoft
C:\Program Files\GUMCD92.tmp
C:\Program Files\IObit
C:\Windows\System32\Tasks\{0D25C316-BCAF-436C-8760-D8526210C87A}
C:\Windows\System32\Tasks\{4696D15F-2E18-4833-BBC0-36AFD481BC80}
C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Security.exe
C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.exe

CMD::
Attrib.exe -h -r -s -a C:\WINDOWS\Temp /s /d
del /f /q C:\WINDOWS\Temp\*
rd /s /q C:\WINDOWS\Temp\*
Attrib.exe -h -r -s -a %Temp% /s /d
del /f /q %Temp%\*
rd /s /q %Temp%\*
###

Line::
C:\Config.sys|Files=40|Files=100

ADS::
C:\Users\jepa\AppData\Local
C:\ProgramData\Temp

Clean::
Yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge, si il n'y a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu refermes cette fenetre , te reselectionnes/copies tout le texte et tu recliques sur le "S")

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
#203565
Bonsoir

Voilà le résulat:

Code : Tout sélectionner

--------------- QuickScript | g3n-h@ckm@n | V6.098.20.2 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 24/06/2020 01:16:10

Updated 07/04/2020 | 21:50 (GMT) by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (GMT+01:00) Bruxelles, Copenhague, Madrid, Paris
RP_QuickDiag_Script Restorepoint created

Process Microsoft Security.exe : Killed Successfully 
Process System.exe : Killed Successfully 
Value : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser]~[{F2CF5485-4E02-4F68-819C-B92DE9277049}] Deleted Successfully
Value : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser]~[{47833539-D0C5-4125-9FA8-0819E2EAAC93}] Deleted Successfully
Value : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]~[Chromium] Deleted Successfully
Value : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]~[swg] Deleted Successfully
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Internet Explorer\SearchURL]~[] :  -> Set Successfully
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Internet Explorer\SearchURL]~[Default] :  -> Set Successfully
Key : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\061ab34217b844c52fc91982c9572313] Deleted Successfully
Key : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\39fbc7d734233663dde04f822d7ac523] Deleted Successfully
Key : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\ALWIL Software] Deleted Successfully
Key : [HKLM\Software\ALWIL Software] Deleted Successfully
Key : [HKLM\Software\Bunndle] Deleted Successfully
Key : [HKLM\Software\Eset] Deleted Successfully
Key : [HKLM\Software\Safer Networking Limited] Deleted Successfully
Key : [HKLM\Software\Symantec] Deleted Successfully
Key : [HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\etoro] Deleted Successfully
C:\04dd309c388ced9252da4bcd5c Moved Successfully
C:\0788a4de55ff5d0e5297c89fb470b0fa Moved Successfully
C:\44e9099e9fad18df595ffce270 Moved Successfully
C:\51672-CF Moved Successfully
C:\51fe72b90a91c161f673 Moved Successfully
C:\67542567c05d1e2b63f872d5c5f10da8 Moved Successfully
C:\a8d0da6fe89cd5c69f Moved Successfully
C:\c5d4e6f3901063130d24f976319d Moved Successfully
C:\cc64ca07a12d5d2e8fec819523 Moved Successfully
C:\d63b2fe8ec136a81885cfe79e68ead Moved Successfully
C:\fe165683cd270a20989c4f8d92322b Moved Successfully
C:\Users\jepa\AppData\Local\BIT53EA.tmp Moved Successfully
C:\Users\jepa\AppData\Local\BITAC07.tmp Moved Successfully
C:\Users\jepa\AppData\Local\chromium Moved Successfully
C:\Users\jepa\AppData\Local\Comodo Moved Successfully
C:\Users\jepa\AppData\Local\Installer4180 Moved Successfully
C:\Users\jepa\AppData\Local\Installer4740 Moved Successfully
C:\Users\jepa\AppData\Local\qL567RwiaaKbn Moved Successfully
C:\Users\jepa\AppData\Local\UlxnTkl7AJ Moved Successfully
C:\Users\jepa\AppData\Local\{3170E021-AFDF-4B74-A492-DC0FDCB0194E} Moved Successfully
C:\Users\jepa\AppData\Local\{326EC692-4BA6-4BAD-BEA5-93DD15904DD3} Moved Successfully
C:\Users\jepa\AppData\Local\{4D24B814-8EE4-46B3-B59C-CCAC5CAFF449} Moved Successfully
C:\Users\jepa\AppData\Local\{6A7ECEE4-BBA2-4E15-A9B4-5483AD196D68} Moved Successfully
C:\Users\jepa\AppData\Local\{6BD9C637-00DC-4FD4-9185-A282B5CABEAD} Moved Successfully
C:\Users\jepa\AppData\Local\{6FD40130-EE22-4093-B791-E4691B5F7787} Moved Successfully
C:\Users\jepa\AppData\Local\{834E8E74-BC8B-4B54-86EA-54386268C679} Moved Successfully
C:\Users\jepa\AppData\Local\{B6E19D62-65E4-46F8-9DAD-BE5EE63E93F6} Moved Successfully
C:\Users\jepa\AppData\Local\{C2E73632-996A-47CE-8CC5-7CDE9EF5F8B7} Moved Successfully
C:\Users\jepa\AppData\Local\{D66A9CA9-6749-4AA6-8C48-CC03A941A33E} Moved Successfully
C:\Users\jepa\AppData\Local\{DD07345E-52E1-4F9E-9BBE-02C3D9FBA8CB} Moved Successfully
C:\Users\jepa\AppData\Local\{F2FEDB41-BA66-42EB-8D07-C624946ED0C4} Moved Successfully
C:\ProgramData\IObit Moved Successfully
C:\ProgramData\Lavasoft Moved Successfully
C:\Program Files\GUMCD92.tmp Moved Successfully
C:\Program Files\IObit Moved Successfully
C:\Windows\System32\Tasks\{0D25C316-BCAF-436C-8760-D8526210C87A} Moved Successfully
C:\Windows\System32\Tasks\{4696D15F-2E18-4833-BBC0-36AFD481BC80} Moved Successfully
C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Security.exe Moved Successfully
C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.exe Moved Successfully
Batch File Executed !
Line : C:\Config.sys : Files=40 -> Files=100 Changed Successfully
Deleted : C:\Users\jepa\AppData\Local:SL_{42726572-7361-6369-352e-30302e303032}
Deleted : C:\ProgramData\Temp:373E1720

-------------- | CleanDisk :

FreeSpace : 22785
Cleaning.......
FreeSpace : 22785

----------(EOF)----------



Par contre à la fin j'ai eu cette fenetre:

https://www.casimages.com/i/200624022331998910.jpg.html
Avatar du membre
par g3n
#203567
bonjour cette fenetre ne vient pas de quickdiag, je ne l 'ai pas codé en C++ haha ^^ surtout qu'à la moindre erreur le programme s'arrête alors que là il est allé jusqu' au bout, la fin du rapport faisant foi :)

bon c'est bon, visiblement on lui a pété la gueule....le pc a-t-il été redémarré depuis ? sinon fais-le puis refais un scan "Quick" avec quickdiag et poste le rapport en lien, juste pour controle qu' il n'y ait pas de risque de retour

ensuite je te demanderai un petit service avant la suite
#203571
Hello ;)

g3n a écrit : mer. 24 juin 2020 06:43 bonjour cette fenetre ne vient pas de quickdiag, je ne l 'ai pas codé en C++ haha ^^ surtout qu'à la moindre erreur le programme s'arrête alors que là il est allé jusqu' au bout, la fin du rapport faisant foi :)

bon c'est bon, visiblement on lui a pété la gueule....le pc a-t-il été redémarré depuis ? sinon fais-le puis refais un scan "Quick" avec quickdiag et poste le rapport en lien, juste pour controle qu' il n'y ait pas de risque de retour

ensuite je te demanderai un petit service avant la suite
Avec plaisir ;)

Voilà le rapport:

https://www.cjoint.com/c/JFyxrQEZroC
Avatar du membre
par g3n
#203572
Hello

pour ce qui est infection c'est du tout bon tout a dégagé mais par sécurité tu changeras tous tes mots de passe car certains ont du être volés ( tout mot de passe d'accès à des sites, des comptes mail, comptes en banque si tu y vas par le biais d' internet, etc, etc )

=====

réinitialise internet explorer avec resetbrowser

https://www.comment-supprimer.com/telec ... etbrowser/

=====

Adobe reader pour lire les pdf est la proie facile des pirates je te conseille vivement de le désinstaller au profit de SumatraPDF qui de surcroit lit beaucoup plus de formats

https://www.sumatrapdfreader.org/dl2/Su ... nstall.exe

=====

Pando media booster si tu t'en sers pas tu peux le désinstaller

=====

il reste un peu de superflu qu' on va virer en refaisant un script avec quickdiag par le meme procédé mais juste avec ceci dedans
Code : Tout sélectionner

File::
C:\Users\jepa\AppData\Roaming\logs
C:\Users\jepa\AppData\Roaming\IObit
C:\Users\jepa\AppData\Roaming\DOK52P4Q3J.dat
C:\Users\jepa\AppData\Roaming\gasvc.exe

ne poste pas le rapport c est inutile mais dis juste si les 4 lignes ont bien été supprimées

=====

je voudrais que tu ailles dans C:\Quickdiag\Quarantine\C\users\jepa\appdata\local

là tu trouveras le dossier : qL567RwiaaKbn.Quickscript , tu cliques droits, envoyer vers, dossiers compressés

tu copies le zip sur ton bureau et tu me l'envoies à ce lien :

http://gen-hackman.serveftp.com/Upload/ (parcourir en bas de la page => ton bureau => tu selectionnes le zip, puis OK)

même chose avec C:\Quickdiag\Quarantine\C\users\jepa\appdata\local\UlxnTkl7AJ.quickscript

ensuite tu peux supprimer les copies de zip du bureau

j'aimerais étudier ces infections d' un peu plus près ca pourrait m'aider dans mes détections :)
#203573
Bonjour

Voilà. tout est fait

Et je t'ai mis les 2 zip


Je n'arrive toujours pas à lire les vidéos postées sur Twitter avec Chrome, mais j'y arrive avec Firefox :( . Bon, je suppose que c'est parce que mon PC est trop vieux et que les navigateurs ne se mettent pas à jour

D'ailleurs je n'arrive vraiment pas à installer AdBlock sur Chrome. A cause de la version obsolète du navigateur. Tu n'as pas un lien vers la version AdBlock que j'avais avant de réinitialiser mes navigateurs ?

Est-ce que tu crois que je pourrais installer Windows 7 ou 10 sur ce vieux PC (car il tournait vraiment pas mal il y a quelques années :D ). Mon fils a les licences avec son PC....

Par ailleurs ça fait belle lurette que je n'ai plus d'antivirus sur mon PC. Toujours pour les mêmes raisons, ils ne se mettaient plus à jour
Avatar du membre
par g3n
#203574
coucou pour les zips c'est ok

pour ce qui est de win 7, certainement que tu dois pouvoir, mais win 10 je ne sais pas ca dépend des machines

personnellement j'ai installé win 10 pro 64 bits sur une tour qui date de 2005 pour la sortie de Vista (64 bitq donc) HP 5800 Microtower. j'ai rajouté 2 Go de RAM et mis un SSD et ca fonctionne. bon c'est pas une foudre de guerre mais ca tourne suffisant pour mes tests logiciels. je l utilise même pour jouer à Forge of Empire sur internet mais là par contre vu que le jeu est assez consommateur ca rame lol.

heureux d'avoir pu te dépétrer de ce truc, n' oublie pas de changer tes mots de passe, je repasserai donner mon diagnostique sur ces deux infections que tu m'as envoyées.

à plus tard

PS :

je pensais à un truc possible que l infection t'ai détourné les dns, on jette un oeil :

https://genhackmantools.wordpress.com/canned-francais/

PS2 ::

les deux fichiers que tu m'as envoyés ne sont pas infectieux en soi, ils sont cryptés avec un très fort algorythme, ca ne m' étonnerait pas que ce soit des clés de décryptage de fichiers cryptés par un ransomware.. tu n'as jamais eu affaire à ce genre d' infection ?

voir :

Image

et même en hexa je n'ai jamais vu d'entête pareille (header)

Image

PS3 : tu puex m envoyer microsoft security.exe et System.exe par le même biais ?

ils sont ici :

C:\Quickdiag\Quarantine\C:\Users\Jepa\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

PS4 ::

adblock n'est plus ce qu' il était de toutes façons donc vois si tu peux installer uBlock

https://chrome.google.com/webstore/deta ... iagm?hl=fr
Avatar du membre
par Invité
#203579
En Passant un bonjour à tous deux,

Bravo à G3n,c'est bien lui le meilleur,ce sujet que j'ai pris au départ,il faut le reconnaitre,dépasse mes connaissances, si j'avais 30 ans de moins j'irais faire une formation avec G3n.

Bonne continuation à tous deux
Avatar du membre
par g3n
#203581
Hello je te rassure , je l'avais pas vu non plus au debut, pourtant il était bien présent dans le rapport zhp :

[MD5.B59FCDCE32ADD735C891897D0C88EF27] - (.Splashtop Inc. - Splashtop.) -- C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.exe

le deuxieme non par contre ca veut dire que le premier s'est dédoublé en cours de désinfection en un autre fichier avec un autre nom quand il a senti qu' on l' attaquait ^^ je suis suis sûr qu'en examinant l 'exe je vais y trouver une requete http

Edit::

après réflexionc'est logique c'est le rôle d' une backdoor mdr
Avatar du membre
par rubised
#203582
Bonsoir,

Ce helpé avec pas mal de P2P au départ de sa demande de désinfection.

Causes a effets =
Des utilisateurs non avertis peuvent accidentellement installer des backdoors ordinaires dans leurs ordinateurs. Ces backdoors peuvent être joints à des messages emails ou à des programmes de partage de fichiers.
#203589
Bonsoir. Et avant toute chose merci beaucoup, beaucoup à tous les deux !! ;)

g3n a écrit : jeu. 25 juin 2020 13:51
heureux d'avoir pu te dépétrer de ce truc, n' oublie pas de changer tes mots de passe, je repasserai donner mon diagnostique sur ces deux infections que tu m'as envoyées.

à plus tard

PS :

je pensais à un truc possible que l infection t'ai détourné les dns, on jette un oeil :

https://genhackmantools.wordpress.com/canned-francais/
Voilà le rapport:

https://www.cjoint.com/c/JFzwL2pazuC


g3n a écrit : jeu. 25 juin 2020 13:51
PS2 ::

les deux fichiers que tu m'as envoyés ne sont pas infectieux en soi, ils sont cryptés avec un très fort algorythme, ca ne m' étonnerait pas que ce soit des clés de décryptage de fichiers cryptés par un ransomware.. tu n'as jamais eu affaire à ce genre d' infection ?
Je ne sais pas. Je ne savais même pas ce que c'est un Ransomware

Je savais que mon PC ne tournait plus rond depuis quelques temps, mais là je découvre que des types se sont servis de mon PC, m'ont piqué des données, etc... :( :( :(

Ca me fait peur...

En plus je n'y comprends rien à tout ce charabia :mv:

Je ne joue pas. Les derniers jeux installés sur ce PC doivent dater de quand mon fils n'avait pas le sien, soit 6 ans...

Le seul truc que je faisais, c'est télécharger des films et des ebooks sur Torrent

eMule je l'ai utilisé il y a des années. Je ne l'ai jamais désinstallé, mais je ne l'utilise plus depuis au moins 5 ans

g3n a écrit : jeu. 25 juin 2020 13:51
PS3 : tu puex m envoyer microsoft security.exe et System.exe par le même biais ?
C'est fait. Je viens d'envoyer les 2 fichiers ;)
Avatar du membre
par g3n
#203590
bonsoir

un ransomware est une infection qui crypte des fichiers jpg,png,doc et rajoutent une extension aléatoire donc par exemple une photo de céline se nommant céline.jpg deviendra cryptée donc inutilisatble et une extension aléatoire sera ajoutée et donnera un truc du style céline.jpg.skufjb
ensuite une rancon t'es demandée via un fichier qui s ouvre au demarrage du pc avec les instructions à suivre pour obtenir un code ou executable avec proposition de décrypter un de tes fichiers cryptés pour te montrer qu il est possible de récupérer tes donnés moyennant paiement, mais bien evidemment une fois payé tu te retrouves comment avant sans pour autant qu' ils t'aient envoyé quoi que ce soit pour décrypter tes fichiers. en deux mots ce sont des cyber-criminels

sujet interessant à lire à ce propos sur des photos que j 'avais réussi à décrypter mais bon à coté de ce qu on trouve comme cryptage maintenant c 'était des rigolos lol =>

http://www.forum-entraide-informatique. ... 14537.html

=====

le rapport clean_dns est propre tu peux le relancer et cliquer sur uninstall

=====

Connectes-tu des clés usb que tu connectes à l 'extérieur ? (mediathèque, école ou autre ?

=====
j' étudie les deux fichiers dans la matinée et te reviens par la suite

bonne soirée/nuit :)
Avatar du membre
par g3n
#203598
suite du précédent :

la fenetre d 'erreur du visual C++ était normale car les fichiers sont codés en C++ et on a supprimé ce qu' était en train de traiter le décodeur C++ donc Visual , pour faire simple, c'est comme si tu te mettais à parler russe à un enfant de 5 ans qui ne l 'est pas, il ne va plus rien comprendre, et bien là c'est le même principe ^^

effectivement system.exe envoyait un signal par internet chaque fois que tu allumais ton pc et qu' il se connectait à internet, donc le terme de backdoor est exact

quelques infos :

https://www.cnil.fr/fr/definition/porte ... u-backdoor
http://assiste.com.free.fr/p/abc/a/backdoor.html

et la preuve de la création d' une ouverture internet au lancement du fichier donc de l 'ordinateur :

Image

hormis cela je m' étais trompé sur le fait du dédoublement de fichier, microsoft security.exe n' a pas les mêmes fonctions et a dû être envoyé par le pirate pendant la désinfection, c'est très certainement lui qui bloquait les actions des outils de désinfection.

et au vu du code de ce dernier , c'est à cause de sa suppression que l 'erreur visual C++ a été générée
il envoyait les informations par service mail ce qui est beaucoup plus difficiement détectable que sur un serveur ftp (entre parenthèse super boulot sont forts les mecs...)

Image

et au fur et à mesure de la lecture du code, je commence à avoir l' intime conviction que ton pc a été infecté via un port usb

tu changeras aussi tes mots de passe de boites mail donc VRAIMENT TOUT ce qui concerne un accès sur internet

ok les fichiers cryptés (en caractère chinois) indétectables ne sont pas ce que je croyais mais sont appelés par microsoft security.exe qui les décrypte et leur rajoute une exension pour les rendre utilisables et opérationnels

voilà pour la petite analyse ^^
#203612
Woow... Je n'ai pas tout compris des détails techniques je t'avoue mais je comprends l'idée générale et ça fait peur...

g3n a écrit : ven. 26 juin 2020 01:45
Connectes-tu des clés usb que tu connectes à l 'extérieur ? (mediathèque, école ou autre ?
Oui j'ai plusieurs clés USB :
- que j'ai connectées à des PC de mon établissement scolaire
- et que mon fils utilise sur son PC

...
Avatar du membre
par g3n
#203615
parce que si c est elles qui infecteent la machine à chaque fois.....................
tout ce qu'on a fait va revenir dès que tu vas ouvrir le contenu de la clé ou alors il faut que pour chaque clé il rentre des commandes pour verifier qu il n'y ait pas d' infection dedans
et si c est positif ca veut dire que son pc est infecté aussi lol
tu es en contact continuel avec ?

ou alors il faut qu il fasse un quickdiag avec toutes clés connectées au pc.........

mais suivant combien il y a de clés les commandes seront plus appropriées

quand tu insères une clé usb dans ta machine, elle s'ouvre seule ou il faut que tu ailles l ouvrir via le poste de travail ?
#203617
Elle s'ouvre toute seule en général, et oui je suis en contact quasi quotidien avec

Je crois que je devrais vérifier si son PC n'est pas infecté. C'est quasiment sur qu'il l'est. Il se plaint tout le temps de problèmes. Mon fils est un gamer, donc il joue très souvent en ligne avec ses copains
#203675
Hello

Désolé, mais je n'ai récupéré la clé USB qu'aujourd'hui

Je lance un QuickDiag dessus ? Mais comment je fais pour sélectionner la clé ?

Ah oui j'ai un DD externe connecté à mon PC aussi :|

Re Pour verifier si votre PC est espionné […]

Hello Ça me semble complexe, avez vous e[…]

hey Eh beh tu vas bien te faire balader par tes co[…]