FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Michel79
#210103
bonjour voila plus d'une semaine que je me bats contre un piratge de mon pc fixe (monté par mes soins) tout y passe mon paypal , amazon , mes logiciel de jeux steam battlenet......

et windows me detècte un logiciel malveillant !

Trojan:Win32/Sabsik.FL.B!ml
C:\Users\WAR-machine\AppData\Local\Temp\Loader.exe
Trojan:Win32/Binrop.A
containerfile: F:\Remember Me - [FLT]\flt-reme.iso
file: F:\Remember Me - [FLT]\flt-reme.iso->setup.exe

j'ai passé anti-malxare rebit rien
j'ai passé Rogue killer rien !

I need your help !!
Avatar du membre
par did80
#210104
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.
Avatar du membre
par Michel79
#210105
Merci d'avance pour ton temps !!

j'ai regardé un cas quelque peu similaire sur la section désinfection et j'ai déja installé farbar !!

Ai-je bien fait ?
Avatar du membre
par did80
#210196
:bonjour: je t'ai fait un premier script

Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
StartRegedit:
Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
EndRegedit:
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
AlternateDataStreams: C:\Users\WAR-machine\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\WAR-machine\Application Data:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\WAR-machine\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\WAR-machine\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
FirewallRules: [UDP Query User{C7F1696A-42DF-470F-88E5-55DFA81C696D}F:\call of duty black ops 4\blackops4.exe] => (Allow) F:\call of duty black ops 4\blackops4.exe => Pas de fichier
FirewallRules: [TCP Query User{978C0403-5166-4D7E-9915-8CE9651C0270}F:\call of duty black ops 4\blackops4.exe] => (Allow) F:\call of duty black ops 4\blackops4.exe => Pas de fichier
FirewallRules: [UDP Query User{B3DEF8B5-CA78-46C9-91AF-F8654CA7E25B}C:\users\war-machine\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\war-machine\appdata\local\akamai\netsession_win.exe => Pas de fichier
FirewallRules: [TCP Query User{878C3514-7E83-4BE5-87ED-28DF404ADC9A}C:\users\war-machine\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\war-machine\appdata\local\akamai\netsession_win.exe => Pas de fichier
FirewallRules: [UDP Query User{26F7A2B4-9DF3-4CB2-94DB-781C8D7FEE92}D:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) D:\program files (x86)\origin games\apex\r5apex.exe => Pas de fichier
FirewallRules: [{AD30FE4B-7198-40B5-A3BF-A65007A43EC9}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1Trial.exe => Pas de fichier
FirewallRules: [{A7AF3111-55CB-4451-80AD-0D7A5C4F8C22}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1Trial.exe => Pas de fichier
FirewallRules: [{A153934C-9D2D-40E9-B9FE-84463C041475}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1.exe => Pas de fichier
FirewallRules: [{133A4ACC-1221-4461-BCC3-8309EFA5DE7F}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1.exe => Pas de fichier
FirewallRules: [{F442ECC1-F72C-40D4-B054-C73A6D97C156}] => (Allow) D:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Pas de fichier
FirewallRules: [{4BB40742-424F-4CA0-8163-885EE7C9AC8A}] => (Allow) D:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Pas de fichier
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {47ac108d-e513-11ec-85e0-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {47ac1379-e513-11ec-85e0-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {68ab06a2-6af4-11ea-8549-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {7635f109-65fe-11eb-8596-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {7635feb9-65fe-11eb-8596-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {c0eebbcd-610f-11eb-8596-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteValue: HKEY_USERS\S-1-5-21-1838690694-512489730-1734529554-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteKey: HKEY_USERS\.DEFAULT\Software\Lavasoft\Web Companion
DeleteKey: HKEY_USERS\S-1-5-18\Software\Lavasoft\Web Companion
DeleteKey: HKU\S-1-5-21-1838690694-512489730-1734529554-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKCU\Software\Lavasoft\Web Companion
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\029c4619-0385-5543-9426-46f9987161d9
DeleteKey: HKLM\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKLM\SOFTWARE\WOW6432Node\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKCU\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKU\S-1-5-21-1838690694-512489730-1734529554-1000\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
C:\Users\WAR-machine\AppData\LocalLow\Company
C:\Users\WAR-machine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
C:\Users\WAR-machine\AppData\LocalLow\IObit\Advanced SystemCare V8
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
Endbatch:
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par did80
#210206
:super:

on continue


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image



Image


Mode Scanner





Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+
Avatar du membre
par did80
#210211
relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression
Avatar du membre
par did80
#210213
Image

Télécharger kapersky removal tool

https://support.kaspersky.com/fr/viruses/kvrt2015#kb

mettre sur le bureau KVRT.exe

désactiver l'antivirus

executer en mode administrateur le fichier kvrt
https://forum.pcastuces.com/img3/da209c ... 6eeae6.png




accepter les conditions d'utilisation

parametrer


Image

lancer le scan

Image

Scanner

Image


Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.

Image

Delete : Supprimer le fichier

Quarantine : place le fichier en quarantaine.

Clique sur le bouton Continue

@+
Avatar du membre
par did80
#210224
:super:

ceci alors

KpRm (de Kernel-panik)

· Téléchargez sur le bureau


KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours


Image


· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.
Problème de téléchargement

Bonjour Suivez les indications de KAV, si vous n'[…]

Présentation

Hello :hello: , Merci pour l'accueil

New crash game Plinko

Oh, great. Crash games are a good choice if you wa[…]

Site officiel du casino Vavada

C'est un vieux casino, ce n'est pas du tout int&ea[…]