FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par g3n
#203720
coucou je vois ca , c'est la meme infection donc l'infection est bien arrivée par les clés usb, j' avais raison

tu peux controler le fichier sur virustotal.com il va te dire 45/46 detections

[22/06/2020 01:37:25] - |H| - (.© Microsoft Corporation. - Firewall.) - [260096] - (4.7.4.0) - F:\Antivirus.exe

en deux mots son pc est très certainement infecté aussi ainsi que tous ceux de son école
#203728
Oh nooon :| :| :|

45 détections en effet

https://www.virustotal.com/gui/file/3a7 ... /detection


Si c'est arrivé par les clés USB, à mon avis c'est au boulot que j'ai chopé ça non ? Il y a un PC par classe, chaque prof arrive avec sa clé, les élèves aussi... Tu ne penses pas ?

Ca a vérifié mon DD externe aussi ?

Pour la clé, il me suffit de sauvegarder mes fichiers importants et de la formater ? Mais je les mets où ces fichiers importants ?
#203758
Bonjour

Désolé pour la réponse tardive, mais je suis très peu chez moi

L'outil ne marche pas. Il bloque d'entrée !!
Le PC recommence à redevenir lent j'ai l'impression. C'est décourageant... :|
#203763
L'outil s'est lancé, et il s'est bloqué sur le 1er fichier analysé. Je me suis couché vendredi soir. Ce matin, c'était au même point. J'ai du arrêter le PC de manière brutale

Ce soir je l'ai relancé, tout a marché... sauf que je me suis aperçu que je n'avais plus la clé USB !!! Je la récupère demain. Je te mets quand même le rapport au cas où...

https://www.cjoint.com/c/JGfayEVhkDk
Avatar du membre
par g3n
#203807
bonsoir visiblement les clés ne contenaient pas fichiers suspects et ont tout de meme été vaccinées

D:\ : Vaccinated (Vaccin created by Pre_Scan)
F:\ : Vaccinated (Vaccin created by Pre_Scan)
L:\ : Vaccinated (Vaccin created by Pre_Scan)
Avatar du membre
par g3n
#203814
tu avais supprimé ce fichier avant le scan de pre_scan ?

F:\Antivirus.exe

Edit::

si tu recliques sur ton lien virustotal tu verras que les detections sont montées à 48 au lieu des 45 observées au moment où tu as analysé ^^
#203815
g3n a écrit : mer. 8 juil. 2020 01:30
tu avais supprimé ce fichier avant le scan de pre_scan ?

F:\Antivirus.exe
J'ai tenté de le supprimer oui, mais il revenait à chaque fois que j'ouvrais la clé !!
Là il n'y est plus !

g3n a écrit : mer. 8 juil. 2020 01:30
Edit::

si tu recliques sur ton lien virustotal tu verras que les detections sont montées à 48 au lieu des 45 observées au moment où tu as analysé ^^
Ca veut dire quoi ? Désolé pour mon peu de connaissances... :|
Avatar du membre
par g3n
#203816
coucou

ca veut simplement dire que les anitivrus qui ne le détectaient pas l 'ont étudié et en ont déduit que c'était une infection lol
virustotal envoie une échantillon de tous les fichiers que les gens font analyser pour faire justement des remontées aux antivirus qui ne le connaitraient pas

fais ceci pour être sûr

retire la clé , redémarre la machine , remets la clé et ouvre-la
Avatar du membre
par afideg
#203820
Hello Gen ;)

Bravo pour le travail réalisé par vous trois en bonne harmonie.
Ça mérite d'être cité.
Enfin un internaute qui n'a pas abandonné en cours de route.
Cordialement.
Bonjour à tous autour de Gaby. :hello:
Albert.
Avatar du membre
par g3n
#203821
Salut Albert, merci pour ton coucou :)
en espérant que le confinement ne t'aie pas confiné mdr !!!

@Thierry

tu peux me citer les soucis persistants ?
#203822
afideg a écrit : mer. 8 juil. 2020 19:59 Hello Gen ;)

Bravo pour le travail réalisé par vous trois en bonne harmonie.
Ça mérite d'être cité.
Enfin un internaute qui n'a pas abandonné en cours de route.
Cordialement.
Bonjour à tous autour de Gaby. :hello:
Albert.
Je ne pouvais pas abandonner, rien que par respect pour rubised et g3n :D

D'ailleurs, même si ce n'est peut être pas fini, un GRAND MERCI à tous les 2. Vous êtes au top !! ;)

g3n a écrit : mer. 8 juil. 2020 08:04 coucou

ca veut simplement dire que les anitivrus qui ne le détectaient pas l 'ont étudié et en ont déduit que c'était une infection lol
virustotal envoie une échantillon de tous les fichiers que les gens font analyser pour faire justement des remontées aux antivirus qui ne le connaitraient pas
Tu veux dire que mon PC via mes infections va améliorer des antivirus ???!

g3n a écrit : mer. 8 juil. 2020 20:56
@Thierry

tu peux me citer les soucis persistants ?
Juste des grosses lenteurs parfois, que ce soit au niveau des navigateurs ou de la machine...
Avatar du membre
par g3n
#203825
Coucou ^^

Tu veux dire que mon PC via mes infections va améliorer des antivirus ???!

tout comme n' importe quel fichier envoyé sur virustotal :)

===

refais quickdiag mais clique sur "Extended" cette fois-ci
Avatar du membre
par rubised
#203826
Coucou à tous trois,,

Merci Afideg pour ta citation,mais il faut reconnaitre,que pour cette infection assez poussée, heureusement que Notre Chirurgien :cheers: G3n est là, il a fait les 3/4 du travail,bravo que de connaissances.

Pour moi il est vrais que je ne laisse jamais tombé un helpé, quitte a solliciter un ami, ayant beacoup plus de connaissance que moi, le pépé de près de 80 balais et je sais que G3n pour lui c'est idem ,il va toujours jusqu'au bout merci à lui qui est toujours prêt à rendre service

Bon Courage à tous ,pour la finale

Bien amicalement
#203827
Bonjour ;)

C'est assez étonnant cette lenteur. Au début de la désinfection, j'avais l'impression que le PC revivait, surtout au niveau de la vitesse des navigateurs. Là ce n'est pas le niveau de lenteur que j'ai connu, mais ce n'est pas le top

De quelle finale vous parlez ? Un concours ? ;)
Avatar du membre
par g3n
#203841
Hello

tu devrais libérer une quinzaine de Gigas de place dans ton disque système windows a besoin de place libre pour travailler correctement (20%)

====

tu ne m'avais pas répondu il me semble à propos de Pando média booster

====

tu as énormément de programes qui démarrent et tournent en tache de fond continuellement, ta lenteur vient possiblement de là aussi

====

réinitialise internet explorer avec resetbrowser

https://www.comment-supprimer.com/telec ... etbrowser/

====

ouvre ce fichier avec le bloc notes et dis-moi ce que tu lis (si ce n'est pas des choses indiscrêtes bien sur)

C:\users.cfg
#203849
Hello ;)

g3n a écrit : sam. 11 juil. 2020 17:11 Hello

tu devrais libérer une quinzaine de Gigas de place dans ton disque système windows a besoin de place libre pour travailler correctement (20%)
Je libère comment ? Avec CCleaner ?

g3n a écrit : sam. 11 juil. 2020 17:11 tu ne m'avais pas répondu il me semble à propos de Pando média booster
Je ne trouve plus le message ? Je me souviens pas qu'on ait parlé de ça...

g3n a écrit : sam. 11 juil. 2020 17:11 tu as énormément de programes qui démarrent et tournent en tache de fond continuellement, ta lenteur vient possiblement de là aussi
Tu sais lesquels ? Je voudrais les arrêter... Tu sais, je suis un peu nul en informatique. Je me débrouille sur plein de trucs, mais pour d'autres j'ai du mal :D

g3n a écrit : sam. 11 juil. 2020 17:11 réinitialise internet explorer avec resetbrowser

https://www.comment-supprimer.com/telec ... etbrowser/

====

ouvre ce fichier avec le bloc notes et dis-moi ce que tu lis (si ce n'est pas des choses indiscrêtes bien sur)

C:\users.cfg
<USER_CONFIG><LAST_USER></LAST_USER><AUTO_LOGIN>false</AUTO_LOGIN></USER_CONFIG>
Avatar du membre
par g3n
#203864
bonjour :)
pour libérer de la place je pense que tu peux mettre des documents persos (films ou musique, des trucs un peu lourds quoi...) sur un disque dur externe si tu as ça

et je suis étonné de voir la place que rend le dossier "contacts", quasi 2.5 Go ca fait beaucoup je trouve

[23/02/2008 23:18:32] - |RD| - [2436732636] - C:\Users\jepa\Contacts
Avatar du membre
par g3n
#203873
Coucou

alors j 'ai plusieurs questions à te poser :

1 - te connectes-tu à ton ordi depuis ton travail ou de l 'extérieur ?

====

2 - Java t'est-il vraiment obligatoire ? suivant les programmes que tu utilises ?

====

3 - ceci je ne comprends pas pourquoi il tourne vu qu' on s'y rend directement avec le navigateur

(.Facebook Inc. - Programme d'installation de Facebook.) - (1.2.205.0) = C:\Users\jepa\AppData\Local\Facebook\Update\FacebookUpdate.exe

====

4 - Skype toune continuellement et démarre avec la machine, il consomme pas mal de ressources donc ce que je peux te proposer c'est de l enlever du démarrage auto et de te placer le raccourci pour le lancer sur ton bureau s'il n'est pas déjà présent

====

5 - AnyDVD ne fait-il pas un peu double emploi avec nero ?

====

6 - Adobe Reader à éviter je te suggère de le désinstaller pour installer sumatraPDF si il est compatible vista

====

7 - LogMeIn Hamachi logiciel de prise de controle à distance si tu n'en as pas l utilité mieux vaut le désinstaller

====

Et je ne sais plus si je t'ai parlé de ça ou pas (la flemme de relier tout le topic haha ^^)

https://genhackmantools.wordpress.com/a ... ur-chrome/

====

dernière chose, regarde de quand datent ces fichiers dans le dossier "contacts" si ils y sont encore
#203875
g3n a écrit : ven. 17 juil. 2020 18:33 Coucou

alors j 'ai plusieurs questions à te poser :

1 - te connectes-tu à ton ordi depuis ton travail ou de l 'extérieur ?
Depuis chez moi ;)

g3n a écrit : ven. 17 juil. 2020 18:33 2 - Java t'est-il vraiment obligatoire ? suivant les programmes que tu utilises ?
Je ne sais pas s'il est obligatoire car je ne sais pas s'il est utile

g3n a écrit : ven. 17 juil. 2020 18:33
5 - AnyDVD ne fait-il pas un peu double emploi avec nero ?
Désinstallé ;)

g3n a écrit : ven. 17 juil. 2020 18:33 7 - LogMeIn Hamachi logiciel de prise de controle à distance si tu n'en as pas l utilité mieux vaut le désinstaller
Désinstallé !

Pour le reste (Skype, Adobe...), je m'en occupe aussi
Avatar du membre
par g3n
#203876
bonjour pour adobe voici un lien pour SumatraPDF pour sa substitution

https://www.sumatrapdfreader.org/dl2/Su ... nstall.exe

====

pour skype si tu l utilises ne le désinstalle pas hein ?

====

Pour Java désinstalle-le, et s il t'est demandé par un de tes programmes tu le réinstalles

voici le lien pour l outil pour t'aider à effectuer cette tâche :

https://www.commentcamarche.net/downloa ... 509-javara

====

tu n'as rien dit au sujet du point 3 et des deux derniers
#203878
g3n a écrit : sam. 18 juil. 2020 06:37 bonjour pour adobe voici un lien pour SumatraPDF pour sa substitution

https://www.sumatrapdfreader.org/dl2/Su ... nstall.exe

====

pour skype si tu l utilises ne le désinstalle pas hein ?

====

Pour Java désinstalle-le, et s il t'est demandé par un de tes programmes tu le réinstalles

voici le lien pour l outil pour t'aider à effectuer cette tâche :

https://www.commentcamarche.net/downloa ... 509-javara

====

tu n'as rien dit au sujet du point 3 et des deux derniers

Ca marche je laisse Skype et désinstalle Java

Pour Facebook, je ne comprends pas. Quand tu dis qu'il tourne, qu'est-ce que cela signifie ?

Pour Google Chrome, oui j'ai lu ton lien. C'est vrai que j'ai l'habitude de l'utiliser

Pour les contacts, les fichiers datent de 2009


Sinon, ça doit bien faire 10 ans que je n'ai pas fait de défragmentation...
Avatar du membre
par g3n
#203879
pour la défrag, depuis windows 7, windows le fait quand il juge bon de le faire d' où le ridicule des personnes qui utilisent un défragmenteur très souvent c est completement inutile, et puis avec les DD SSD maintenant y'en a encore moins besoin :)
par contre toi sous vista je pense qu'il t'en faut un du style deffragler de piriform si tu veux le lien ....

====

Pour Facebook, je ne comprends pas. Quand tu dis qu'il tourne, qu'est-ce que cela signifie ?

que c'est un processus qui tourne en tache de fond inutilement

====

donc pour skype on le vire du démarrage auto.
le raccourci est sur ton bureau ou pas ?

====
#203880
Oui je veux bien le lien pour défragmenter donc ;)

Pour Facebook, je ne comprends pas ce qui tourne. Comment on arrête ça ?

Pour Skype oui on peut le virer du démarrage auto. Et j'ai un raccourci sur le bureau oui
Avatar du membre
par g3n
#203888
Hello :)

effectivement je ne sais pas si les versions de flashPlayer sont toujours compatibles vista mais les tiennes datent de matusalem, on en est à la version 32.*.*.*

---------- | FlashPlayer

FlashPlayer ActiveX : 11.1.102.55
FlashPlayer ActiveX : 11.1.102.62
FlashPlayer Plugin : 11.7.700.224

dans le doute tu peux verifier ici :

https://genhackmantools.wordpress.com/l ... sh-player/

====

Si installé désinstalle google toolbar ca sert à rien et tape dans ta vie privée via pistage de tes recherches internet, etc....

Télécharge Seaf >> http://www.aht.li/2665300/SEAF.exe de C_XX

dans l'espace prévu à cet effet , tape ou colle : SHIPS.exe

coche "recherche également dans le registre"

puis lance la recheche.

heberge le rapport sur http://cjoint.com puis donne le lien obtenu pour aller le consulter

====

autre chose, sache que quand tu prends une livebox ou autre tu n'est absolument pas obligé d'installer l'application qui se trouve sur le cd accompagnant ladite box pour que cela fonctionne correctement.
Et de surcroit, encore moins les systemes de sécurité antivirus ou autre qui sont vraiment déplorables ainsi que leur navigateur proposé à l' installation ou installé d' office.

Donc si encore installé tu peux virer Securitoo de Orange (Anciennement France Telecom)

====

tu peux aussi désinstaller le programme divX , VLC faisant un bien meilleur travail

====

tu utilises Screamer Radio ? haha moi aussi, j' écoute FG Underground avec :)

====

encore une preuve que system.exe et Microsoft Security.exe (les deux fichiers pourris que nous avons analysés sur VirusTotal) ouvraient des instances internet, en plus de ce que je t'ai déjà donné, voici des autorisations autorisées dans le parefeu (qui vont bien sur sauter avec le script)

"{F2CCDEC2-BB4C-4A04-B1FF-E927CA677982}"=v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.exe|Name=System.exe|Edge=FALSE|
"{B61E7F6F-52EE-4007-BC22-C7389C34832E}"=v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.exe|Name=System.exe|Edge=FALSE|
"{BFD8C3A2-F714-4747-BC5F-E5D78B6C9184}"=v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Security.exe|Name=Microsoft Security.exe|Edge=FALSE|
"{702418C0-C455-44E6-B0B6-FD8FA8EA9654}"=v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Security.exe|Name=Microsoft Security.exe|Edge=FALSE|

====

A ne faire qu'une fois !

Désactive tes protections puis selectionne et copie ce texte en entier :
Code : Tout sélectionner

KEY::
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]|"ehTray.exe"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]|"Skype"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]|"swg"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Windows\CurrentVersion\Run]|"Facebook Update"
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]""|REG_SZ|""
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]|"WarReg_PopUp"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]|"SystrayORAHSS"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]|"Adobe Reader Speed Launcher"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]|"Adobe ARM"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]|"DivXUpdate"
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXUpdate]
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skytel]
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Internet Explorer\Main]|"SearchMigratedDefaultURL"|REG_SZ|https://www.google.com
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\Microsoft\Internet Explorer\Main]|"SearchMigratedDefaultName"|REG_SZ|Google
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\Software\eSobi]
[HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\SOFTWARE\Microsoft\Notification de cadeaux MSN]
[HKLM\Software\IObit]
[HKLM\Software\Pando Networks]
[HKLM\Software\SymNRT]
[HKLM\SOFTWARE\Microsoft\MSSearch36]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|"{F2CCDEC2-BB4C-4A04-B1FF-E927CA677982}"
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|"{B61E7F6F-52EE-4007-BC22-C7389C34832E}"
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|"{BFD8C3A2-F714-4747-BC5F-E5D78B6C9184}"
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|"{702418C0-C455-44E6-B0B6-FD8FA8EA9654}"

File::
C:\Users\jepa\AppData\Roaming\Tomato
C:\ProgramData\eSobi
C:\ProgramData\NCH Software
C:\Program Files\ESET
C:\Program Files\eSobi

CMD::
Attrib.exe -h -r -s -a C:\WINDOWS\Temp /s /d
del /f /q C:\WINDOWS\Temp\*
rd /s /q C:\WINDOWS\Temp\*
Attrib.exe -h -r -s -a %Temp% /s /d
del /f /q %Temp%\*
rd /s /q %Temp%\*
###

Clean::
Yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge, si il n'y a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu refermes cette fenetre , te reselectionnes/copies tout le texte et tu recliques sur le "S")

Ensuite clique sur le bouton "Script"

l'outil va travailler et une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil

Re Pour verifier si votre PC est espionné […]

Hello Ça me semble complexe, avez vous e[…]

hey Eh beh tu vas bien te faire balader par tes co[…]