Security-X
Forum Security-X => Désinfections => Discussion démarrée par: ICH14 le novembre 08, 2017, 16:24:50
-
Bonjour à tous.
Nouveau ici, je fais mes premiers pas et je ne suis pas tout....
Bref, un problème. J'ai suivi les indications sur toms guide, suite à une erreur de script host, virus par clef usb, j'ai fait un scan avec l'outil FRST de fabar, j'ai les deux fichiers que j'ai posté et j'ai eu un lien. Et je suis bloqué à ce niveau, je ne comprends pas ce qu'il faut faire après et où il faut que je poste.
A la fin du tuto il est dit "Vous obtenez alors le lien à coller directement dans votre réponse sur le forum où vous êtes pris en charge", bref, je sais pas....????
Pourriez vous m'aider. Un grand merci d'avance
Je poste les deux liens que j'ai eu à toute fin
https://up.security-x.fr/file.php?h=Rf236f7d66153c9d13536ee7dabbbc7c9
et le suivant
https://up.security-x.fr/file.php?h=Rf236f7d66153c9d13536ee7dabbbc7c9
-
Bonjour,
Tu as posté deux fois le même rapport.
Il manque donc le rapport Addition.txt qui est enregistré sur ton Bureau.
Héberge ce rapport sur https://up.security-x.fr/
et poste le lien obtenu.
Merci :AAN
-
Je suis à la ramasse...
https://up.security-x.fr/file.php?h=R828a7d426ecb9bca15be27c9e3fdbb80
J'espère que c'est le bon.
Merci pour la rapidité de la réponse
-
https://up.security-x.fr/file.php?h=R828a7d426ecb9bca15be27c9e3fdbb80
J'ai du mal à trouver mes marques, je cherche comment répondre
-
Re,
Sans mot de passe s'il te plaît .... je ne peux pas visualiser le rapport ;)
-
Mince, l'andouille que je suis, le mot de passe est Evaelle14
-
Re,
Non, même avec le mot de passe, le rapport ne s'affiche pas.
Recommence l'hébergement de ce rapport Addition.txt, sans renseigner de mot de passe et poste le nouveau lien obtenu.
@+
-
https://up.security-x.fr/file.php?h=R828a7d426ecb9bca15be27c9e3fdbb80
J'espere que c est le bon maintenant
-
Re,
Non, il y a toujours un mot de passe.
@+
-
C'est bizarre, je n'en tape aucun, toutefois, si vous voulez essayer evaelle, tout simplement, désolé, j'embête un peu mon monde du coup
-
Re,
evaelle fonctionne ....... merci
Je regarde ce rapport et t'indique la suite.
@+
-
Ouf, pour moi et pour vous. Merci pour la patience
-
Re,
Quel est le message exact pour l'erreur Windows Script Host ?
Avira est installé et actif mais il y a des restes de Norton et McAfee, nous utiliserons des outils spécifiques par la suite.
Nous allons appliquer un un correctif avec FRST :
Tu appliques les procédures dans l'ordre où elles sont présentées.
/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\
--------------------------------------------------------------------------------------------------------------
FRST - Correctif :
- Ferme toutes les applications, y compris ton navigateur
- Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
- Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [Norton Download Manager{NS2210085-SHPD-FSD510041}] => C:\Users\Public\Downloads\Norton\{NS2210085-SHPD-FSD510041}\FSDUI_Custom.exe /m /SHOWONECLICK /WIN10_UPGRADE "C:\WINDOWS\TEMP\{CD0AA82D-0126-4A15-BB6E-5A4D66945AB5}\Upgrade.exe"
SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-101230861-647155816-1480540764-1001 -> {F19B0FFC-9620-4386-AAEE-31523129B25F} URL =
BHO: Pas de nom -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Pas de fichier
Toolbar: HKLM - Pas de nom - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Pas de fichier
Toolbar: HKLM-x32 - Pas de nom - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Pas de fichier
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.9.3.14\Exts\Chrome.crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
Task: {9BBC371D-6858-42AE-9EFA-DB2A0687E629} - System32\Tasks\WSSHelper => C:\Program Files (x86)\Common Files\Winferno\WSS\WSSHelper.exe
Task: C:\WINDOWS\Tasks\WSSHelper.job => C:\Program Files (x86)\Common Files\Winferno\WSS\WSSHelper.exe
C:\Users\Dom-Lise\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif
C:\Users\Dom-Lise\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe
C:\Program Files (x86)\Common Files\Winferno
Task: {08187F39-D898-43AE-B01B-DDBDA1DFF039} - System32\Tasks\DropBox => C:\Users\Dom-Lise\Conf.Comm
C\Users\Dom-lise\Conf.Command-EQGXKI0ZVO
EmptyTemp:
End::- Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
(https://up.security-x.fr/file.php?h=R958c4d67db53859426347f7e80a20ca8)
- Accepte le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
Est attendu le rapport Fixlog
@+
-
Avira a écarté deux fois le même dossier en mettant qu'il est suspect, le message complete est Windows script host, impossible de trouver le fichier script "C\Users\Dom-lise\Conf.Command-EQGXKI0ZVO
-
Re,
Ne lance pas le correctif, je vais modifier le correctif FRST.
@+
-
Re,
Voilà, tu peux appliquer la procédure avec le correctif.
@+
-
CC, j'ai lancé le correctif avant votre seconde réponse, toutefois, le voici
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-11-2017
Exécuté par Dom-Lise (08-11-2017 17:42:25) Run:1
Exécuté depuis C:\Users\Dom-Lise\Desktop
Profils chargés: Dom-Lise & DefaultAppPool (Profils disponibles: Dom-Lise & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [Norton Download Manager{NS2210085-SHPD-FSD510041}] => C:\Users\Public\Downloads\Norton\{NS2210085-SHPD-FSD510041}\FSDUI_Custom.exe /m /SHOWONECLICK /WIN10_UPGRADE "C:\WINDOWS\TEMP\{CD0AA82D-0126-4A15-BB6E-5A4D66945AB5}\Upgrade.exe"
SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-101230861-647155816-1480540764-1001 -> {F19B0FFC-9620-4386-AAEE-31523129B25F} URL =
BHO: Pas de nom -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Pas de fichier
Toolbar: HKLM - Pas de nom - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Pas de fichier
Toolbar: HKLM-x32 - Pas de nom - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Pas de fichier
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.9.3.14\Exts\Chrome.crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
Task: {9BBC371D-6858-42AE-9EFA-DB2A0687E629} - System32\Tasks\WSSHelper => C:\Program Files (x86)\Common Files\Winferno\WSS\WSSHelper.exe
Task: C:\WINDOWS\Tasks\WSSHelper.job => C:\Program Files (x86)\Common Files\Winferno\WSS\WSSHelper.exe
C:\Users\Dom-Lise\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif
C:\Users\Dom-Lise\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe
C:\Program Files (x86)\Common Files\Winferno
EmptyTemp:
*****************
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Norton Download Manager{NS2210085-SHPD-FSD510041} => valeur supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => valeur restauré(es) avec succès
HKU\S-1-5-21-101230861-647155816-1480540764-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F19B0FFC-9620-4386-AAEE-31523129B25F} => clé supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{F19B0FFC-9620-4386-AAEE-31523129B25F} => invalid subkey removed.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} => clé supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} => clé non trouvé(e).
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => valeur supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => clé non trouvé(e).
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => valeur supprimé(es) avec succès
HKLM\Software\Wow6432Node\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => clé non trouvé(e).
HKLM\SOFTWARE\Google\Chrome\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe => clé supprimé(es) avec succès
HKLM\SOFTWARE\Google\Chrome\Extensions\iikflkcanblccfahdhdonehdalibjnif => clé supprimé(es) avec succès
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe => clé supprimé(es) avec succès
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\iikflkcanblccfahdhdonehdalibjnif => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{9BBC371D-6858-42AE-9EFA-DB2A0687E629} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9BBC371D-6858-42AE-9EFA-DB2A0687E629} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\WSSHelper => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WSSHelper => clé supprimé(es) avec succès
C:\WINDOWS\Tasks\WSSHelper.job => déplacé(es) avec succès
C:\Users\Dom-Lise\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif => déplacé(es) avec succès
C:\Users\Dom-Lise\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe => déplacé(es) avec succès
"C:\Program Files (x86)\Common Files\Winferno" => non trouvé(e).
=========== EmptyTemp: ==========
BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 391996800 B
Java, Flash, Steam htmlcache => 603 B
Windows/system/drivers => 62222 B
Edge => 261475099 B
Chrome => 8037651 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 16674 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 165 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 1696 B
Dom-Lise => 228667717 B
DefaultAppPool => 33058 B
RecycleBin => 0 B
EmptyTemp: => 859.3 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 17:45:21 ====
-
Re,
Ce n'est pas grave, nous allons lancer un 2ème correctif.
--------------------------------------------------------------------------------------------------------------
FRST - Correctif :
- Ferme toutes les applications, y compris ton navigateur
- Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
- Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
Start::
CreateRestorePoint:
CloseProcesses:
Task: {08187F39-D898-43AE-B01B-DDBDA1DFF039} - System32\Tasks\DropBox => C:\Users\Dom-Lise\Conf.Comm
C\Users\Dom-lise\Conf.Command-EQGXKI0ZVO
EmptyTemp:
End::- Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
(https://up.security-x.fr/file.php?h=R958c4d67db53859426347f7e80a20ca8)
- Accepte le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
Est attendu le nouveau rapport Fixlog
@+
-
De retour, correction effectuée, voici le nouveau rapport Fixlog
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-11-2017
Exécuté par Dom-Lise (08-11-2017 18:02:22) Run:2
Exécuté depuis C:\Users\Dom-Lise\Desktop
Profils chargés: Dom-Lise (Profils disponibles: Dom-Lise & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {08187F39-D898-43AE-B01B-DDBDA1DFF039} - System32\Tasks\DropBox => C:\Users\Dom-Lise\Conf.Comm
C\Users\Dom-lise\Conf.Command-EQGXKI0ZVO
EmptyTemp:
*****************
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{08187F39-D898-43AE-B01B-DDBDA1DFF039} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08187F39-D898-43AE-B01B-DDBDA1DFF039} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\DropBox => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DropBox => clé supprimé(es) avec succès
C\Users\Dom-lise\Conf.Command-EQGXKI0ZVO => Erreur: Pas de correction automatique trouvée pour cet élément.
=========== EmptyTemp: ==========
BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9547405 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 10374 B
Edge => 8193310 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 830 B
NetworkService => 2846 B
Dom-Lise => 94368 B
DefaultAppPool => 0 B
RecycleBin => 0 B
EmptyTemp: => 27.3 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 18:03:26 ====
-
Re,
Est-ce que le message d'erreur s'affiche toujours ?
@+
-
Et bien pour l'instant, il ne s'affiche plus, il revenait souvent, je pense que c'est OK.
Tout simplement MAGNIFIQUE. Un très très grand MERCI, c'est magique.
-
Est ce que je peux effacer les différents rapports ou dois je les archiver ?
-
Re,
C'est parfait .... mais nous n'avons pas terminé ;)
Pour les restes de Norton, télécharge et exécute l'outil Norton Remove disponible sur cette page
https://support.norton.com/sp/fr/fr/home/current/solutions/kb20080710133834EN_EndUserProfile_fr_fr
Ensuite, pour McAfee, télécharge et exécute l'outil MCPR disponible sur cette page
http://service.mcafee.com/FAQDocument.aspx?lc=1036&id=TS101331
Tu indiques quand c'est fait.
Ensuite, nous pourrons finaliser la procédure.
@+
-
Me voici de retour, Norton Remove effectué, MCPR effectué. Dans votre attente d'instruction....
-
Et toujours pas de message d'erreur...
-
Re,
Nous pouvons donc finaliser :D
---------------------------------------------------------------------------------------------
DelFix :
- Télécharge DelFix (https://toolslib.net/downloads/finish/2/) de Xplode et enregistre le fichier sur ton Bureau
- Double-clique sur l'icône Delfix.exe pour lancer l'outil
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, coche uniquement les options
- Supprimer les outils de désinfection
- Purger la restauration système
- Clique ensuite sur Exécuter et laisse l'outil travailler
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR61402f49815db4f9a876f469e865c3a9&hash=60ec4ed19f7f9871b63f941c16a7529889531079)
- Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\DelFix.txt
---------------------------------------------------------------------------------------------
Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
Installation d'une application sponsorisée, les pièges à éviter ! (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/)
/!\ Sauvegarder régulièrement les données personnelles sur un support externe
/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes (http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/)
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
/!\ Une attitude responsable sur le net est la meilleure protection pour ton système
Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
-
Re, DELFIX effectué, voici le rapport
# DelFix v1.013 - Rapport créé le 08/11/2017 à 19:38:31
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : Dom-Lise - DOM-LISE-PC
# Système d'exploitation : Windows 10 Home (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Dom-Lise\Desktop\adwcleaner_7.0.4.0.exe
Supprimé : C:\Users\Dom-Lise\Desktop\FRST64.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
~ Purge de la restauration système ...
Supprimé : RP #25 [Point de contrôle planifié | 10/31/2017 15:23:28]
Supprimé : RP #26 [07-11-17 à 12H35 | 11/07/2017 11:35:43]
Supprimé : RP #30 [Restore Point Created by FRST | 11/08/2017 17:02:30]
Nouveau point de restauration créé !
########## - EOF - ##########
-
Re,
OK pour le rapport.
Bonne continuation .... et prudence sur le net :AAC
-
Vraiment un grand merci, super, on essaye d'être prudent, mais parfois c'est compliqué