Forum d'Entraide Informatique (FEI)

Bonjour,
Suite à un piratage dont j’ai été victime, je souhaite votre assistance pour savoir si mon PC a été utilisé à cette fin ou si cela vient d’un site internet que j’utilise ((entre autre, O.......e avec ma messagerie qui est sur ce site).
Le piratage a eu pour conséquence l’utilisation de mes mails, la résiliation avec portabilité de mon téléphone mobile, le détournement de fonds bancaires et l’utilisation des coordonnées de ma carte bancaire et depuis le premier prélèvement bancaire un afflue phénoménal de spam et de mail publicitaire sur ma messagerie.
Afin de savoir s’il y avait des chevaux de Troie ou différents signes montrant une intrusion sur mon ordinateur, j’ai scanné celui-ci avec ZHPsuite dont je vous joins de rapport de Diag. Après lecture du rapport d’analyse, j’ai effectué comme conseillé, un nettoyage avec ZHPCleaner dont je vous joins également le rapport final.
Je ne comprends pas la signification plusieurs points (en particulier les Wlan …en bleu) du rapport ZHPDiag et mes compétences ne me permettent pas de savoir s’il y a eu ou non des intrusions sur mon ordinateur. Peut-être pourrez-vous me renseigner sur ce sujet.

Je vous joins les rapports au format html.
ZHPDiag initial https://www.cjoint.com/c/JKhi31B1f10
ZHPCleaner S et R https://www.cjoint.com/c/JKhi5d6XSy0 https://www.cjoint.com/c/JKhi5MgBMl0
ZHPDiag après le nettoyage de Cleaner. https://www.cjoint.com/c/JKhi6JyIvf0

Je vous remercie de l’aide que vous pourrez m’apporter et si possible de me faire parvenir un script me permettant de finir le nettoyage de mon PC.

Un grand merci à tous les helpers avec mes félicitation pour le travail que vous effectuez.

Yves.

salut yves

ceci stp

Télécharger FARBAR et


l' enregistrer-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

http://www.nicolascoolman.fr/telecharger/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser



L'outil va créer 3 rapports sur le bureau:

• Frst.txt
  Addition.txt
  Shortcut.txt

Mettre les 3 rapports Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+

Bonsoir Did80,

Merci beaucoup pour votre rapide intervention.
Je vous joins les documents demandés. Vous pourrez constater que Teamviewer est actif car je me fais assister par un ami.

FRST.txt https://cjoint.com/c/JKhvLs0fkxC
Shortcut.txt https://cjoint.com/c/JKhvMsHz7HC
Addition.txt https://cjoint.com/c/JKhvM7Oc3MC

Cordialement, à vous lire bientôt.

salut

je n'aime pas trop faire des désinf a plusieurs çà fausse les rapports et risque pour la machine

Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GoogleChromeAutoLaunch_C5FCBA34C787FF071A5E7F72963310BB
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_6CC5865A20BA04EA16277FC468D1239C
DeleteValue: HKEY_USERS\S-1-5-21-403528801-1827060672-3965696677-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GoogleChromeAutoLaunch_C5FCBA34C787FF071A5E7F72963310BB
DeleteValue: HKEY_USERS\S-1-5-21-403528801-1827060672-3965696677-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_6CC5865A20BA04EA16277FC468D1239C
DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION|ByteFence.exe
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
Edge Profile: C:\Users\PROPRIETAIRE\AppData\Local\Microsoft\Edge\User Data\cId=128000000001363769&path= [2020-07-08] <==== ATTENTION
S2 avast; "C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /svc [X]
S3 avastm; "C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /medsvc [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+

Bonsoir Did80,

Voici le fichier demandé : https://cjoint.com/c/JKiuBP4JMXC

Merci pour votre aide et à bientôt pour la suite des opérations.

Yves.

Salut yves

ceci maintenant


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher






Mode Scanner








Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+

Bonsoir Did80

Merci encore pour le temps que vous passez avec moi, voici le fichier de ZHPCleaner,

https://cjoint.com/c/JKjujVCHPSC

A bientôt pour la suite.

Yves

salut yves

1/ windows 10 build 18362

çà date de 05 2019

mets a jour le système

2/
relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

@+

héberge moi le rapport après suppression

Bonsoir Did80,

voici le rapport R de ZHPCleaner : https://cjoint.com/c/JKkvnqExunC

J'ai fait la mise à jour et j'ai maintenant Build 18363

Merci encore, j'attends la suite des instructions.

Yves.

hello

on continue


Télécharger Malwarebytes

Malwarebyt'es ICI

Lancer L'analyse






A la fin du scan exporter au format txt




Héberger sur cjoint

me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv

@+

Bonsoir Did80

Voici le rapport de Malwarebyte dont j'ai une licence premium depuis qu'il a la fonction d'anti virus.

Par contre, je ne comprend pas pourquoi le rapport Malwarebyte n'indique pas le même N° de Build de Windows que le rapport de ZHPCleaner.

Rapport Malwarebyte : https://www.cjoint.com/c/JKlupM6pWRC

Est-ce que dans toutes les analyses faites jusqu'à aujourd'hui on peut supposer qu'il y a eu une intrusion sur mon ordinateur ?

Merci pour tout et à demain.
Yves.

salut yves

il y avait une infection webcompanion sur les navigateurs.

par ailleurs, vu que les hosts ont été bidouillés pour activer illégalement les produits adobe qui coutent un bras

il est évident que la sécurité de la machine est moindre.

Bonsoir Did80,

Je suis surpris de votre réponse concernant adobe car à aucun moment je n'ai essayé d'installer ce logiciel.

J'ai simplement Acrobate Reader de Adobe et Shockwave Flash qui n'est activé qu'à la demande.

Donc je ne comprend pas comment les hosts auraient pu être bidouillés sauf si ce sont les restes d'une intrusion.
Mais pourquoi Adobe ???

En tous les cas, merci pour le travail effectué. Je pense que la décontamination est terminée et je reste à l'écoute de vos conseils.

Bonne soirée et à bientôt.

Yves

Salut yves

Autant pour moi
c'est en répondant a Genevoix que j'ai vu mon erreur de lecture

désolé
comment se comporte le pc?

Bonsoir Didier,

Merci pour cette précision car j'étais vraiment étonné.
Le PC se comporte bien, ma demande était surtout motivée pour savoir si l'on trouvait des traces d'une intrusion. Apparemment ça ne semble pas être le cas.

En tous les cas merci pour ton assistance et si tu as des conseils à donner, je suis preneur.

Cordialement,
Yves.

passe cet outil

https://genhackmantools.wordpress.com/process_analyzer/

donne moi le rapport stp

Bonsoir Didier,

Nous avons failli nous croiser hier soir. J'avais coupé juste après ma réponse.
Voici le nouveau rapport demandé. Bon courage pour l'analyse avec l'espoir qu'il n'y ait pas de surprise.
Rapport Process_Analyser : https://www.cjoint.com/c/JKounBXRVNw

Merci et bonne nuit à toi aussi.

Yves.

Re bonsoir Didier,

Je ne sais pas s'il y a un lien mais depuis le l'exécution de Process_analyser, le panneau de notification est complétement grisé et je ne peux activer aucun bouton des paramètres, l’icône fenêtre de Windows ne permet plus d'afficher le menu, même le bouton "fenêtre Windows" du clavier ne l'affiche plus et j'ai beau cliquer sur l’icône de recherche de la barre des taches, je ne peux avoir le panneau de saisie.
J'ai éteins et rallumer plusieurs fois le PC, mais ça ne change rien.

As tu une idée sur le problème ?
Merci.
Yves

salut

l'outil liste les services et c'est tout.

tu as un point de restauration?

Bonsoir Didier,

Oui, celui du 10 novembre avant la correction de ZHP. Je lance la restauration maintenant.

J'attends ensuite les instructions.
Merci.

Bonsoir Didier,

Je suis la personne qui aidait Yves lors du début de sa demande d'assistance. Pour ne pas perturber les analyses suite à votre remarque dont je partage la pertinence, j'ai suivi sur le forum le déroulement des opérations qui ont bien évoluées. Hier soir, après l'exécution de Process_analyser, Yves m'a appelé car son PC fonctionnait mal. Il m'a décrit son problème et je lui ai conseillé de vous transmettre ces informations avant de faire quoi que ce soit.
De mon coté, après notre communication, j’étais quand même intrigué et je me demandais si Yves n'avait pas fait une fausse manœuvre qui aurait pu provoquer ces problèmes. J'ai donc exécuté Process_ analyser sur mon micro ou j'ai pu me rendre compte qu'il n'y avait aucun risque d'erreur. Et là, j'ai eu les mêmes problèmes. Ralentissement de l'ordinateur, inaccessibilité du menu ou de la fonction recherche de la barre des tâches etc.
J'ai donc lancé un scan de mbam qui n'a rien détecté puis un zhpdiag pour essayé de trouver une information intéressante. Pendant l'exécution du diag, vers 70%, les fonctions inactives sont redevenues actives. Après le diag, je n'ai pas fait de nettoyage, tout fonctionnait correctement. J'ai redémarré le micro et le problème était de nouveau présent.
J'ai donc fait une restauration système qui datait d'il y a une dizaine de jours et le micro fonctionne à nouveau correctement.

Tout ceci juste pour information et surtout vous confirmer qu'il y a bien un problème reproduisible avec Process_analyser. Je peux imaginer que pour récupérer certaines informations il peut être nécessaire d'arrêter des services et que ceux-ci ne seraient pas redémarrés après la récupération d'informations. Ce n'est qu'une supposition. J'en imagine d'autre, mais je ne veux pas vous embêter plus longtemps avec ça.

En tous les cas, je suis admiratif devant votre implication dans ces actions d'assistance et je me reprocherais presque de ne pas en avoir fait autant du temps où j'étais actif dans ce domaine.

Merci pour Yves et tous ceux que vous aidez et peut être pour moi si un jour j'ai besoin.

Cordialement,
Serge.

bonsoir Serge

Merci pour l'info

je transmet a g3n le développeur de l'outil

Did

Re bonsoir,

Une petite précision, aussi bien Yves que moi avons Malwarebytes premium comme anti virus. Et lorsque j'ai tenté une première restauration système, celle ci s'est plantée car mbam avais bloqué des accès (message de windows). Il a fallu que je recommence en l'arrêtant et la restauration a pu aller jusqu'au bout.

Bonne nuit.

salut a vous

le mieux est de désactiver les protections le temps de passer les outils.


ceci yves

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue

• Installer 32/64 bits
  
  Portable 32 bits
  
  Portable 64 bits

Lancer le scan






A la fin du scan cliquez sur résultats





héberge le rapport sur cjoint

Didier

Bonjour Didier,


Voici le rapport de RogueKiller : https://www.cjoint.com/c/JKrimF8gvbw

A bientôt pour la suite. Merci.

Yves.

salut yves

supprime le fichier C:\Windows\System32\MicTray64.exe

pour les clés c'est douteux çà concerne epson

@+ did

Bonsoir Didier,

Ok, je supprime le programme mictray64.exe.

Pour les clés Epson, j'avais une imprimante Epson Sx535wd mais elle n'est plus en fonction. Il faudra peut être supprimer ces clés.

Est-ce que tu as pu tirer des informations du rapport de Process_Analyzer ?

Merci et bonne soirée.
Yves.

salut yves

Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

EmptyTemp:
end::

Corrige et heberge le rapport fixlog

@+ did

ps process est normal

bonjour je suis le concepteur de Process_Analyzer

la mise à niveau via windows update a foiré il vaut bien mieux mettre à niveau windows de cette manière ce qui le rendra beaucoup plus stable, car via windows update c'est vraiment pas le cas, surtout bien lire les instructions sans être pressé

de plus je présume que c 'est un upgrade de windows 7 ou 8 ou 8.1 ?

lien : https://genhackmantools.wordpress.com/m ... indows-10/

plus de nouvelles de yves40

je ferme