Security-X

Forum Security-X => Désinfections => Discussion démarrée par: c3g le septembre 18, 2016, 16:52:09

Titre: [Résolu] Désinfection urgent
Posté par: c3g le septembre 18, 2016, 16:52:09
Bonjour
PC HP infecté grave. tres difficile accéder internet. Nettoyage urgent nécessaire. merci de votre aide

[edit]. Excusez le ton péremptoire....J'ai pu accéder à un autre pc. Avec le pc infecté c'est impossible de garder une page affichée sans des connexions sauvages et nombreuses à des sites improbables.....J'ai l'impression via Chrome d'accéder à une fausse page d’accueil Google et là la sarabande commence......
Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 18, 2016, 17:18:33
Bonjour,


Infection par adwares/hijackers qui se sont installés avec ton consentement, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.


Nous allons commencer par établir un rapport de diagnostic pour cibler les éléments néfastes avec l'outil FRST.

---------------------------------------------------------------------------------------------

FRST :

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

Note : Télécharge la version de l'outil correspondant au système infecté depuis le PC "sain" et enregistre-le sur une clé USB.
Puis tu connectes cette clé USB sur le PC infecté et tu exécutes FRST directement depuis cette clé. Les rapports s'enregistreront aussi sur la clé.

@+
Titre: Re : desinfection urgent
Posté par: c3g le septembre 18, 2016, 17:39:25
Merci de ton aide
Je te réponds avec un autre pc car le pc infecté est très difficile à utiliser....
Je connais les risques dont tu parles, j'ai fait plusieurs nettoyages grâce à vous. Là sur ce coup, je nettoie le pc de mon beau-père (82 ans aujourd'hui)......Impossible de l’empêcher de fureter partout sur le net et de cliquer à tout va.......Je me suis fait une raison, je le laisse faire et me coltine un nettoyage tous les ans.....*

[edit] impossible de trouver où on download. Après de la pub et de la musique rien ne s'affiche, à part les DL des sponsors.....Sinon j'ai la possibilité d'executer frst64 san le dl après avoir passé le barrage windows
Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 18, 2016, 17:44:34
Re,

Je t'ai mis une note à la fin de mon message précédent, tu l'as vue ?

@+
Titre: Re : desinfection urgent
Posté par: c3g le septembre 18, 2016, 17:52:24
Ok vu ton message. Je procède via la clé usb.

[edit]

https://up.security-x.fr/file.php?h=R1aed5fccd94a4fec0e87547d045f457d

https://up.security-x.fr/file.php?h=R50354095d708fd06b1d1da5d2d75075d
Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 18, 2016, 18:53:41
Re,

Si tu édites ton message, je ne suis pas avertie.
Je n'avais donc pas vu que tu avais posté les rapports depuis un moment.
Je les regarde et t'indique la suite.

@+
Titre: Re : desinfection urgent
Posté par: c3g le septembre 18, 2016, 18:55:04
Je m'en doutais un peu et je m’apprêtais à reposter....
J'attends  (impatiemment !) tes conclusions.....
Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 18, 2016, 19:22:02
Re,

C'est uniquement sous Chrome ou le problème est le même sous n'importe quel navigateur ?
Ce sont des publicités intempestives ?

Depuis quelle date y a-t-il ce souci ?
A partir du 12/09 ?


Nous allons appliquer un petit correctif avec FRST.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

start
CreateRestorePoint:
CloseProcesses:
CHR Profile: C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\System Profile [2016-09-14]
R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [178520 2015-07-14] (ESET)
R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [168208 2015-07-14] (ESET)
EmptyTemp:
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Analyser :

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
AdwCleaner-Analyser


@+
Titre: Re : desinfection urgent
Posté par: c3g le septembre 18, 2016, 19:46:18
re-

https://up.security-x.fr/file.php?h=R882648cf4b309305fc3de8a4cd0b73ba

https://up.security-x.fr/file.php?h=R53d1848a3c7e82670525cf0af142361b

Essayé sous chrome seulement. Problèmes annoncés par mon beau-père depuis juin, mais ordinateur arrêté pendant 3 mois depuis
Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 18, 2016, 20:46:23
Re,

Pour les restes de Eset, il faut utiliser leur outil spécifique disponible sur cette page
http://support.eset.com/kb2289/


Citer
Essayé sous chrome seulement
Tu pourras tester les autres navigateurs ?


--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil (http://forum.security-x.fr/tutoriels-317/perte-de-connexion-internet-apres-l%27utilisation-d%27un-outil-12204/)[/url]

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/list]

Tutoriel d'utilisation Malwarebytes en images (http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/)

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
AdwCleaner-Nettoyer
Malwarebytes


@+
Titre: Re : desinfection urgent
Posté par: c3g le septembre 19, 2016, 14:32:52
Bonjour

Impossible mettre en oeuvre suppression de l'anti virus Eset (en anglais et semble ne pas correspondre à ma situation)

https://up.security-x.fr/file.php?h=R0ca2bf3f770528f23719aa61421d044b

https://up.security-x.fr/file.php?h=R6cd5a8e242b1fd878365bb0abc8bbd3c

https://up.security-x.fr/file.php?h=Re5c6502063622853f49820975779cf7d

Pour l'instant rien n'a changé, toujours des redirections à chaque changement de page sous Chrome
Avec Edge et Bing, j'accède a priori sans souci au forum Security X

@ plus

Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 19, 2016, 14:49:55
Bonjour,

Applique cette procédure avec ResetBrowser pour réinitialiser Chrome
https://forum.security-x.fr/tutoriels-317/tutoriel-resetbrowser/

@+
Titre: Re : desinfection urgent
Posté par: c3g le septembre 22, 2016, 15:20:42
Bonjour

Chrome et IE ont été reset. Fonctionnement normal sous chrome. Par contre le pc essaie de lancer en permanence eset et ne peut le faire : "impossible de se connecter au noyau".
J'ai un "eset uninstaller" dans le dossier téléchargements. il me propose de choisir le produit eset à désinstaller (il n'y en a qu'un) mais il me répond systématiquement que ma réponse est mauvaise.

A te lire....
Titre: Re : desinfection urgent
Posté par: chantal11 le septembre 22, 2016, 18:52:23
Bonjour,

Citer
Fonctionnement normal sous chrome
OK


Citer
Par contre le pc essaie de lancer en permanence eset et ne peut le faire : "impossible de se connecter au noyau".
Il me faudrait de nouveaux rapports FRST.txt et Addition.txt s'il te plaît.

@+
Titre: Re : desinfection urgent
Posté par: c3g le octobre 01, 2016, 12:03:00
Bonjour

Mes excuses pour le silence, mais je n'avais pas accès au PC infecté.

https://up.security-x.fr/file.php?h=R31b4d34e561061c002a7d08e518696b9

https://up.security-x.fr/file.php?h=Reeafa8fbdd48867e3fb84ed0b66d885e

A plus
Titre: Re : desinfection urgent
Posté par: chantal11 le octobre 01, 2016, 13:08:50
Bonjour,

Il restait le souci avec Eset, c'est bien cela ?

Nous allons appliquer un nouveau correctif avec FRST.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

start
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [egui] => C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe [5595848 2015-07-08] (ESET)
2016-09-19 13:52 - 2016-09-22 15:15 - 00758912 _____ (ESET) C:\Users\Utilisateur\Downloads\ESETUninstaller.exe
2016-09-19 13:52 - 2016-09-19 13:56 - 00758912 _____ (ESET) C:\Users\Utilisateur\Downloads\ESETUninstaller (2).exe
2016-09-19 13:52 - 2016-09-19 13:52 - 00758912 _____ (ESET) C:\Users\Utilisateur\Downloads\ESETUninstaller (3).exe
2016-09-19 13:52 - 2016-09-19 13:52 - 00758912 _____ (ESET) C:\Users\Utilisateur\Downloads\ESETUninstaller (1).exe
2016-09-19 14:30 - 2016-05-25 23:54 - 00001210 _____ C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET NOD32 Antivirus.lnk
C:\Program Files\ESET
EmptyTemp:
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

@+
Titre: Re : desinfection urgent
Posté par: c3g le octobre 01, 2016, 13:54:02
https://up.security-x.fr/file.php?h=R8c5800ce6f1f65e7f1ce5909d42533e2

A plus
Titre: Re : desinfection urgent
Posté par: chantal11 le octobre 01, 2016, 17:48:46
Re,

Qu'en est-il des soucis avec Eset ?

@+
Titre: Re : desinfection urgent
Posté par: c3g le octobre 09, 2016, 14:27:31
bonjour

plus de rappels sur la connexion au noyau eset
Titre: Re : desinfection urgent
Posté par: chantal11 le octobre 09, 2016, 16:46:53
Bonjour,

C'est parfait, nous pouvons donc finaliser la procédure.

---------------------------------------------------------------------------------------------

Quarantaine de Malwarebytes :

---------------------------------------------------------------------------------------------

DelFix :

- Supprimer les outils de désinfection
 - Purger la restauration système

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

/!\ Sauvegarder régulièrement les données personnelles sur un support externe

/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)

-------------------------------------------------------------------------------------------

Pour mieux comprendre comment tu as infecté ton système avec des adwares que tu as toi-même validés et pour éviter ce type de piège lors de l'installation d'une application gratuite, fais un test avec cet utilitaire qui va simuler une installation "pourrie" :

Tutoriel en images (http://forum.security-x.fr/tutoriels-317/s%27entrainer-a-ne-pas-installer-des-logiciels-indesirables-avec-adware-prevention/)

Bon entraînement :)
Titre: Re : desinfection urgent
Posté par: c3g le décembre 18, 2016, 14:30:15
Bonjour

Mes excuses pour la réponse (très) tardive.
Tout est rentré dans l'ordre.
Merci pour tous tes bons conseils.
Titre: Re : desinfection urgent
Posté par: chantal11 le décembre 18, 2016, 19:14:30
Bonjour,

Ce n'est pas grave, je pense bien que depuis, tu as fait le nécessaire pour finaliser.

Bonne continuation ...... et prudence sur le net  :AAC