FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Yves40
#204874
Bonjour,
Suite à un piratage dont j’ai été victime, je souhaite votre assistance pour savoir si mon PC a été utilisé à cette fin ou si cela vient d’un site internet que j’utilise ((entre autre, O.......e avec ma messagerie qui est sur ce site).
Le piratage a eu pour conséquence l’utilisation de mes mails, la résiliation avec portabilité de mon téléphone mobile, le détournement de fonds bancaires et l’utilisation des coordonnées de ma carte bancaire et depuis le premier prélèvement bancaire un afflue phénoménal de spam et de mail publicitaire sur ma messagerie.
Afin de savoir s’il y avait des chevaux de Troie ou différents signes montrant une intrusion sur mon ordinateur, j’ai scanné celui-ci avec ZHPsuite dont je vous joins de rapport de Diag. Après lecture du rapport d’analyse, j’ai effectué comme conseillé, un nettoyage avec ZHPCleaner dont je vous joins également le rapport final.
Je ne comprends pas la signification plusieurs points (en particulier les Wlan …en bleu) du rapport ZHPDiag et mes compétences ne me permettent pas de savoir s’il y a eu ou non des intrusions sur mon ordinateur. Peut-être pourrez-vous me renseigner sur ce sujet.

Je vous joins les rapports au format html.
ZHPDiag initial https://www.cjoint.com/c/JKhi31B1f10
ZHPCleaner S et R https://www.cjoint.com/c/JKhi5d6XSy0 https://www.cjoint.com/c/JKhi5MgBMl0
ZHPDiag après le nettoyage de Cleaner. https://www.cjoint.com/c/JKhi6JyIvf0

Je vous remercie de l’aide que vous pourrez m’apporter et si possible de me faire parvenir un script me permettant de finir le nettoyage de mon PC.

Un grand merci à tous les helpers avec mes félicitation pour le travail que vous effectuez.

Yves.
Avatar du membre
par did80
#204875
salut yves

ceci stp

Image Télécharger FARBAR et


l' enregistrer-le sur le Bureau


prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

http://www.nicolascoolman.fr/telecharger/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser


Image

L'outil va créer 3 rapports sur le bureau:
  • Frst.txt
    Addition.txt
    Shortcut.txt

Mettre les 3 rapports
Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+
Avatar du membre
par did80
#204895
salut

je n'aime pas trop faire des désinf a plusieurs çà fausse les rapports et risque pour la machine

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GoogleChromeAutoLaunch_C5FCBA34C787FF071A5E7F72963310BB
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_6CC5865A20BA04EA16277FC468D1239C
DeleteValue: HKEY_USERS\S-1-5-21-403528801-1827060672-3965696677-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GoogleChromeAutoLaunch_C5FCBA34C787FF071A5E7F72963310BB
DeleteValue: HKEY_USERS\S-1-5-21-403528801-1827060672-3965696677-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_6CC5865A20BA04EA16277FC468D1239C
DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION|ByteFence.exe
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
Edge Profile: C:\Users\PROPRIETAIRE\AppData\Local\Microsoft\Edge\User Data\cId=128000000001363769&path= [2020-07-08] <==== ATTENTION
S2 avast; "C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /svc [X]
S3 avastm; "C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /medsvc [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par did80
#204903
Salut yves

ceci maintenant


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image

Image


Mode Scanner


Image


Image


Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+
Avatar du membre
par did80
#204915
salut yves

1/ windows 10 build 18362

çà date de 05 2019

mets a jour le système

2/
relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

@+

héberge moi le rapport après suppression
Avatar du membre
par Yves40
#204935
Bonsoir Did80

Voici le rapport de Malwarebyte dont j'ai une licence premium depuis qu'il a la fonction d'anti virus.

Par contre, je ne comprend pas pourquoi le rapport Malwarebyte n'indique pas le même N° de Build de Windows que le rapport de ZHPCleaner.

Rapport Malwarebyte : https://www.cjoint.com/c/JKlupM6pWRC

Est-ce que dans toutes les analyses faites jusqu'à aujourd'hui on peut supposer qu'il y a eu une intrusion sur mon ordinateur ?

Merci pour tout et à demain.
Yves.
Avatar du membre
par did80
#204937
salut yves

il y avait une infection webcompanion sur les navigateurs.

par ailleurs, vu que les hosts ont été bidouillés pour activer illégalement les produits adobe qui coutent un bras

il est évident que la sécurité de la machine est moindre.
Avatar du membre
par Yves40
#204938
Bonsoir Did80,

Je suis surpris de votre réponse concernant adobe car à aucun moment je n'ai essayé d'installer ce logiciel.

J'ai simplement Acrobate Reader de Adobe et Shockwave Flash qui n'est activé qu'à la demande.

Donc je ne comprend pas comment les hosts auraient pu être bidouillés sauf si ce sont les restes d'une intrusion.
Mais pourquoi Adobe ???

En tous les cas, merci pour le travail effectué. Je pense que la décontamination est terminée et je reste à l'écoute de vos conseils.

Bonne soirée et à bientôt.

Yves
Avatar du membre
par Yves40
#204943
Bonsoir Didier,

Merci pour cette précision car j'étais vraiment étonné.
Le PC se comporte bien, ma demande était surtout motivée pour savoir si l'on trouvait des traces d'une intrusion. Apparemment ça ne semble pas être le cas.

En tous les cas merci pour ton assistance et si tu as des conseils à donner, je suis preneur.

Cordialement,
Yves.
Avatar du membre
par Yves40
#204953
Re bonsoir Didier,

Je ne sais pas s'il y a un lien mais depuis le l'exécution de Process_analyser, le panneau de notification est complétement grisé et je ne peux activer aucun bouton des paramètres, l’icône fenêtre de Windows ne permet plus d'afficher le menu, même le bouton "fenêtre Windows" du clavier ne l'affiche plus et j'ai beau cliquer sur l’icône de recherche de la barre des taches, je ne peux avoir le panneau de saisie.
J'ai éteins et rallumer plusieurs fois le PC, mais ça ne change rien.

As tu une idée sur le problème ?
Merci.
Yves
Avatar du membre
par Serge86
#204960
Bonsoir Didier,

Je suis la personne qui aidait Yves lors du début de sa demande d'assistance. Pour ne pas perturber les analyses suite à votre remarque dont je partage la pertinence, j'ai suivi sur le forum le déroulement des opérations qui ont bien évoluées. Hier soir, après l'exécution de Process_analyser, Yves m'a appelé car son PC fonctionnait mal. Il m'a décrit son problème et je lui ai conseillé de vous transmettre ces informations avant de faire quoi que ce soit.
De mon coté, après notre communication, j’étais quand même intrigué et je me demandais si Yves n'avait pas fait une fausse manœuvre qui aurait pu provoquer ces problèmes. J'ai donc exécuté Process_ analyser sur mon micro ou j'ai pu me rendre compte qu'il n'y avait aucun risque d'erreur. Et là, j'ai eu les mêmes problèmes. Ralentissement de l'ordinateur, inaccessibilité du menu ou de la fonction recherche de la barre des tâches etc.
J'ai donc lancé un scan de mbam qui n'a rien détecté puis un zhpdiag pour essayé de trouver une information intéressante. Pendant l'exécution du diag, vers 70%, les fonctions inactives sont redevenues actives. Après le diag, je n'ai pas fait de nettoyage, tout fonctionnait correctement. J'ai redémarré le micro et le problème était de nouveau présent.
J'ai donc fait une restauration système qui datait d'il y a une dizaine de jours et le micro fonctionne à nouveau correctement.

Tout ceci juste pour information et surtout vous confirmer qu'il y a bien un problème reproduisible avec Process_analyser. Je peux imaginer que pour récupérer certaines informations il peut être nécessaire d'arrêter des services et que ceux-ci ne seraient pas redémarrés après la récupération d'informations. Ce n'est qu'une supposition. J'en imagine d'autre, mais je ne veux pas vous embêter plus longtemps avec ça.

En tous les cas, je suis admiratif devant votre implication dans ces actions d'assistance et je me reprocherais presque de ne pas en avoir fait autant du temps où j'étais actif dans ce domaine.

Merci pour Yves et tous ceux que vous aidez et peut être pour moi si un jour j'ai besoin.

Cordialement,
Serge.
Modifié en dernier par Serge86 le dim. 15 nov. 2020 22:42, modifié 2 fois.
Avatar du membre
par Serge86
#204962
Re bonsoir,

Une petite précision, aussi bien Yves que moi avons Malwarebytes premium comme anti virus. Et lorsque j'ai tenté une première restauration système, celle ci s'est plantée car mbam avais bloqué des accès (message de windows). Il a fallu que je recommence en l'arrêtant et la restauration a pu aller jusqu'au bout.

Bonne nuit.
Avatar du membre
par did80
#204965
salut a vous

le mieux est de désactiver les protections le temps de passer les outils.


ceci yves

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue
  • Installer 32/64 bits

    Portable 32 bits

    Portable 64 bits
Lancer le scan

Image

Image


A la fin du scan cliquez sur résultats

Image

Image

héberge le rapport sur cjoint

Didier
Avatar du membre
par Yves40
#204974
Bonsoir Didier,

Ok, je supprime le programme mictray64.exe.

Pour les clés Epson, j'avais une imprimante Epson Sx535wd mais elle n'est plus en fonction. Il faudra peut être supprimer ces clés.

Est-ce que tu as pu tirer des informations du rapport de Process_Analyzer ?

Merci et bonne soirée.
Yves.
Avatar du membre
par did80
#204980
salut yves

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+ did

ps process est normal
Avatar du membre
par g3n
#204983
bonjour je suis le concepteur de Process_Analyzer

la mise à niveau via windows update a foiré il vaut bien mieux mettre à niveau windows de cette manière ce qui le rendra beaucoup plus stable, car via windows update c'est vraiment pas le cas, surtout bien lire les instructions sans être pressé

de plus je présume que c 'est un upgrade de windows 7 ou 8 ou 8.1 ?

lien : https://genhackmantools.wordpress.com/m ... indows-10/
Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]