Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Melalo le janvier 17, 2017, 14:51:38
-
Bonjour, à la suite d'un nettoyage avec adwcleaner, mon PC se lance puis l'écran devient noir et affiche une fenetre avec écrit "Impossible de trouver le fichier script "C:\WINDOWS\run.vbs". Je suis sous Windows 10
Merci de votre aide
-
Bonjour,
Peux-tu poster le rapport de nettoyage avec AdwCleaner s'il te plaît ?
Il se trouve sous C:\AdwCleaner
@+
-
# AdwCleaner v6.042 - Rapport créé le 16/01/2017 à 22:40:30
# Mis à jour le 06/01/2017 par Malwarebytes
# Base de données : 2017-01-15.1 [Serveur]
# Système d'exploitation : Windows 10 Home (X64)
# Nom d'utilisateur : Maxime - PC-MAXIME
# Exécuté depuis : C:\Users\Maxime\Documents\jeux et appli\texte et autre\adwcleaner_6.042.exe
# Mode: Nettoyage
# Support : https://www.malwarebytes.com/support
***** [ Services ] *****
[-] Service supprimé: iSafeKrnlBoot
[-] Service supprimé: iSafeNetFilter
[-] Service supprimé: Updater.exe
[-] Service supprimé: FirefoxU
[-] Service supprimé: WinSAPSvc
[-] Service supprimé: ed2kidle
[-] Service supprimé: iThemes5
***** [ Dossiers ] *****
[-] Dossier supprimé: C:\Users\Maxime\AppData\Local\Mail.Ru
[-] Dossier supprimé: C:\Users\Maxime\AppData\Roaming\Elex-tech
[-] Dossier supprimé: C:\ProgramData\Mail.Ru
[-] Dossier supprimé: C:\ProgramData\WinSAPSvc
- Dossier supprimé au redémarrage: C:\ProgramData\winsapsvc
- Dossier supprimé au redémarrage: C:\ProgramData\Application Data\Mail.Ru
- Dossier supprimé au redémarrage: C:\ProgramData\Application Data\WinSAPSvc
- Dossier supprimé au redémarrage: C:\ProgramData\Application Data\winsapsvc
[-] Dossier supprimé: C:\Program Files (x86)\WinArcher
[-] Dossier supprimé: C:\Program Files (x86)\UvConverter
- Dossier supprimé au redémarrage: C:\Program Files (x86)\winarcher
[-] Dossier supprimé: C:\Program Files (x86)\Firefox
[-] Dossier supprimé: C:\Users\Maxime\AppData\Roaming\Mozilla\Firefox\naweriweentcofise
[-] Dossier supprimé: C:\ProgramData\WinTools
[-] Dossier supprimé: C:\Users\Maxime\AppData\Roaming\WinSnare
***** [ Fichiers ] *****
[-] Fichier supprimé: C:\Users\Maxime\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
[-] Fichier supprimé: C:\Users\Maxime\Favorites\Mail.Ru.url
[-] Fichier supprimé: C:\Users\Maxime\Favorites\Mail.Ru Агент - используй для общения!.url
[-] Fichier supprimé: C:\WINDOWS\SysNative\log\iSafeKrnlCall.log
[-] Fichier supprimé: C:\WINDOWS\SysNative\drivers\iSafeKrnlBoot.sys
[-] Fichier supprimé: C:\WINDOWS\SysNative\drivers\iSafeNetFilter.sys
[-] Fichier supprimé: C:\WINDOWS\run.vbs
[-] Fichier supprimé: C:\WINDOWS\rsrcs.dll
[-] Fichier supprimé: C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL
***** [ DLL ] *****
***** [ WMI ] *****
***** [ Raccourcis ] *****
[!] Raccourci non désinfecté: C:\Users\Maxime\Desktop\JEUX\Play Tom Clancys Rainbow Six Siege.lnk
[-] Raccourci désinfecté: C:\Users\Maxime\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk
[!] Raccourci non supprimé: C:\Users\Maxime\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
***** [ Tâches planifiées ] *****
[-] Tâche supprimée: WinTOOL
***** [ Registre ] *****
[-] Clé supprimée: HKU\.DEFAULT\Software\jhdbca
[-] Clé supprimée: HKU\S-1-5-21-1667633159-2736483889-538565655-1001\Software\Mail.Ru
[-] Clé supprimée: HKU\S-1-5-21-1667633159-2736483889-538565655-1001\Software\AppDataLow\Software\Mail.Ru
- Clé supprimée au redémarrage: HKU\S-1-5-18\Software\jhdbca
- Clé supprimée au redémarrage: HKCU\Software\Mail.Ru
- Clé supprimée au redémarrage: HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Clé supprimée: HKLM\SOFTWARE\Elex-tech
[-] Clé supprimée: HKLM\SOFTWARE\ScreenShot
[-] Clé supprimée: HKLM\SOFTWARE\WinZiper
[-] Clé supprimée: HKLM\SOFTWARE\WinSaberSvc
[-] Clé supprimée: HKLM\SOFTWARE\jhdbca
[-] Clé supprimée: HKLM\SOFTWARE\WinArcher
[-] Clé supprimée: HKLM\SOFTWARE\amule-custom
[-] Clé supprimée: HKLM\SOFTWARE\amisitesSoftware
- Clé supprimée au redémarrage: [x64] HKCU\Software\Mail.Ru
- Clé supprimée au redémarrage: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Clé supprimée:
[x64] HKLM\SOFTWARE\jhdbca
[-] Clé supprimée: [x64] HKLM\SOFTWARE\InterSect Alliance
[-] Donnée restaurée: HKU\S-1-5-21-1667633159-2736483889-538565655-1001\Software\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée restaurée: HKU\S-1-5-21-1667633159-2736483889-538565655-1001\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Donnée restaurée: HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée restaurée: HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Donnée restaurée: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée restaurée: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\deals-way.com
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\mpc.am
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\search.mpc.am
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\shopper.deals-way.com
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\deals-way.com
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\mpc.am
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\search.mpc.am
[-] Clé supprimée: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\shopper.deals-way.com
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\deals-way.com
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\mpc.am
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\search.mpc.am
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\shopper.deals-way.com
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\deals-way.com
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\mpc.am
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\search.mpc.am
- Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\shopper.deals-way.com
[-] Valeur supprimée:
[x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [Wd]
[-] Clé supprimée: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f
[-] Clé supprimée: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f
- Clé supprimée au redémarrage: HKLM\SYSTEM\ControlSet001\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f
- Clé supprimée au redémarrage: HKLM\SYSTEM\ControlSet001\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f
[-] Valeur supprimée: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
[WinSAPSvc]
[-] Valeur supprimée: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [ArcherGroupEx]
[-] Clé supprimée: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\WinZipper
[-] Clé supprimée: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
[-] Clé supprimée: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd
[-] Clé supprimée: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof
***** [ Navigateurs ] *****
*************************
:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés
*************************
C:\AdwCleaner\AdwCleaner[C0].txt - [31806 octets] - [25/08/2016 09:08:30]
C:\AdwCleaner\AdwCleaner[C2].txt - [2228 octets] - [25/08/2016 10:11:39]
C:\AdwCleaner\AdwCleaner[C3].txt - [9761 octets] - [16/01/2017 22:40:30]
C:\AdwCleaner\AdwCleaner[S0].txt - [30744 octets] - [25/08/2016 08:54:09]
C:\AdwCleaner\AdwCleaner[S1].txt - [2506 octets] - [25/08/2016 10:11:00]
C:\AdwCleaner\AdwCleaner[S2].txt - [10362 octets] - [16/01/2017 22:35:30]
########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt - [10059 octets] ##########
-
Re,
OK pour le rapport.
Il faut être plus vigilant sur ce qui est validé lors de l'installation ou la désinstallation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.
Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
Exemple sur l'Installation d'une application sponsorisée, les pièges à éviter ! (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/)
Nous allons commencer par établir un rapport de diagnostic pour cibler les éléments néfastes avec cet outil :
---------------------------------------------------------------------------------------------
FRST :
- Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
Pour un système en 32 bits -> FRST (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Pour un système en 64 bits -> FRST64 (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
Rappel : FRST doit être enregistré sur ton Bureau <-- Important
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
@+
-
Le rapport FRST : https://up.security-x.fr/file.php?h=R535b927b566ca2085a4d975cda390376
Le rapport addition : https://up.security-x.fr/file.php?h=R65859ae1b52b16059178e101acdf9100
Merci
-
Re,
Est-ce toi qui a paramétré un proxy sous Internet Explorer ?
A quoi te sert KMSpico ?
@+
-
Je n'ai pas paramétré de proxy, je ne sais pas ce que c'est...
KMSpico m'a servi pour activer le pack office mais je peux le désinstaller si nécessaire.
-
Bonjour,
Merci pour ces précisions.
Il existe des alternatives gratuites pour Office, je vais inclure cet activateur illégal dans mon correctif.
Il faut être plus vigilant sur ce qui est validé lors de l'installation ou la désinstallation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.
Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
Exemple sur l'Installation d'une application sponsorisée, les pièges à éviter ! (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/)
Tu appliques les procédures dans l'ordre où elles sont présentées.
/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\
--------------------------------------------------------------------------------------------------------------
Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :
KMSpico
ainsi que ces versions obsolètes et vulnérables
Java 8 Update 73 (64-bit)
Java 8 Update 74 (64-bit)
Java 8 Update 77 (64-bit)
Attention à l'utilisation d'optimiseurs, qui sont des inutilitaires dangereux pour l'équilibre de ton système. Leure désinstallation est fortement recommandé
Glary Utilities
TuneUp Utilities
Si un programme ne veut pas se désinstaller, tu passes au suivant.
--------------------------------------------------------------------------------------------------------------
FRST - Correctif :
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [wd] => C:\WINDOWS\TEMP\g6397.tmp.exe [240640 2017-01-16] ()
HKLM-x32\...\RunOnce: [DeleteOnReboot] => C:\Users\Maxime\AppData\Local\Temp\DeleteOnReboot.bat [2333 2017-01-16] ()
HKLM\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs,
HKU\S-1-5-21-1667633159-2736483889-538565655-1001\...\Run: [mailruhomesearch] => "C:\Users\Maxime\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
HKLM\...\Providers\r1uw6vr1: C:\Program Files (x86)\Coaferentgrimat Mapper\local64spl.dll [292352 2016-12-23] ()
ShellExecuteHooks: Pas de nom - {AC73250C-C67E-11E6-A033-64006A5CFC23} - C:\Users\Maxime\AppData\Roaming\Anakcultjerdught\Shhosy.dll -> Pas de fichier
GroupPolicy: Restriction - Chrome
GroupPolicy\User: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <======= ATTENTION (Restriction - ProxySettings)
ProxyEnable: [HKLM] => Proxy est activé.
ProxyEnable: [HKLM-x32] => Proxy est activé.
ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
ProxyServer: [HKLM-x32] => http=127.0.0.1:8080;https=127.0.0.1:8080
AutoConfigURL: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
Tcpip\..\Interfaces\{1e8121cd-60b6-4b3c-97c0-215c230f04b2}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{46010089-bb0e-4558-95a2-2005f183f9ef}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{de8e5bcb-3700-4b1a-b2a2-5da1caa1c30a}: [DhcpNameServer] 82.163.143.171
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Edge HomeButtonPage: HKU\S-1-5-21-1667633159-2736483889-538565655-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1465977314&z=8e5d5d80d15d9aaf8bb430bg0z5q5wbtamfmfc7g5c&from=wpm0614&uid=ST500LT012-1DG142_S3PLHPEWXXXXS3PLHPEW
FF Extension: (SimilarWeb) - C:\Users\Maxime\AppData\Roaming\Firefox\Firefox\Profiles\ig4loe4o.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-01-11] [non signé]
FF Extension: (FF Adr) - C:\Users\Maxime\AppData\Roaming\Firefox\Firefox\Profiles\ig4loe4o.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-01-11] [non signé]
R2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [966336 2014-12-04] (@ByELDI) [Fichier non signé]
S2 WinSnare; C:\Users\Maxime\AppData\Roaming\WinSnare\WinSnare.dll [X]
2016-12-23 14:36 - 2016-12-23 14:36 - 00000000 ____D C:\Program Files (x86)\Coaferentgrimat Mapper
2016-12-23 14:34 - 2017-01-12 21:53 - 00000000 ___HD C:\ProgramData\109467920d6t6674809
2016-12-23 14:33 - 2017-01-16 22:07 - 00000000 ____D C:\Users\Maxime\AppData\Roaming\Anakcultjerdught
2016-12-23 14:33 - 2017-01-12 23:10 - 00000000 ____D C:\Program Files (x86)\Luqufaket
2016-12-23 14:33 - 2016-12-23 14:40 - 00000000 ____D C:\Users\Maxime\AppData\Roaming\Profiles
2016-12-23 14:33 - 2016-12-23 14:40 - 00000000 ____D C:\Users\Maxime\AppData\Local\Meversyhuqagh
2016-12-23 14:33 - 2016-12-23 14:33 - 00099678 _____ C:\Users\Maxime\Downloads\Play WarThunder.ico
2016-12-23 14:33 - 2016-12-23 14:33 - 00067646 _____ C:\Users\Maxime\Downloads\Play Diamonds!.ico
2016-03-03 18:26 - 2016-03-03 18:26 - 0000036 _____ () C:\Users\Maxime\AppData\Roaming\SuYZkvrV.tmp
C:\WINDOWS\TEMP\g6397.tmp.exe
C:\Users\Maxime\AppData\Local\Temp\DeleteOnReboot.bat
C:\Program Files\KMSpico
C:\ProgramData\2g38q17j88
C:\ProgramData\SearchModule
C:\WINDOWS\AutoKMS
C:\WINDOWS\run.vbs
C:\Users\Maxime\AppData\Local\Mail.Ru
C:\Users\Maxime\AppData\Roaming\WinSnare
Task: {059D634E-E647-4EFB-BAD6-5FC3EA20777A} - System32\Tasks\2g38q17j88 => Rundll32.exe "C:\ProgramData\2g38q17j88\2g38q17j88.dll",gqjiez
Task: {18A8715C-E462-4929-8CB4-CCAC6108A3E6} - System32\Tasks\Anernesy System => C:\Program Files (x86)\Luqufaket\rivuly.exe [2016-12-23] (Glarysoft Ltd)
Task: {276C956C-4F46-4BCC-9464-98F9AFAD1650} - System32\Tasks\SMW_UpdateTask_Time_333033343232393837362d2a5b45342d4134455b5a326c => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0
Task: {8DD0F17A-7975-473D-B62C-51754CB46B2F} - System32\Tasks\InternetEC => Firefox.exe hxxp://su-news.ru/waysm
Task: {9e1178c4-8f2f-475d-8481-010ebd0f2f29} - pas de chemin du fichier
Task: {CCB5FB7B-3E8C-4EE2-A6D7-61849CA41E35} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [2014-12-04] (@ByELDI)
Task: {CEE8B3D9-97EE-47EE-AFC3-4455EE3523DF} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2016-12-04] ()
Task: {EF374195-B3FE-457F-98BB-B733972CB88D} - System32\Tasks\KMSpico Updater => Wscript.exe //nologo //E:jscript //B "C:\Program Files (x86)\KMSpico Updater\updater.ini"
Task: C:\WINDOWS\Tasks\109467920d6t6674809.job => rundll32.exe C:\ProgramData\109467920d6t6674809\109467920d6t6674809.dll
Task: C:\WINDOWS\Tasks\KMSpico Updater.job => Wscript.exe N/nologo /E:jscript /B C:\Program Files (x86)\KMSpico Updater\updater.ini
Hosts
cmd: ipconfig /flushdns
RemoveProxy:
EmptyTemp:
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST64.exe
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Accepte le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
ZHPCleaner-Scanner :
- Télécharge ZHPCleaner (http://www.nicolascoolman.fr/download/zhpcleaner-2/) de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
- Ferme toutes les applications, y compris le navigateur
- Double-clique sur l'icône ZHPCleaner.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
- Clique sur le bouton Scanner
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fzhpcleaner%2Fzhpcleaner-2.jpg&hash=2e7faa87a0226fe59ef633f5836f77d93e1a9d92)
- Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Tutoriel d'utilisation ZHPCleaner en images (http://forum.security-x.fr/tutoriels-317/tutoriel-zhpcleaner/)
--------------------------------------------------------------------------------------------------------------
Sont attendus les rapports
Fixlog
ZHPCleaner-Scanner
@+
-
Le rapport fixlog : https://up.security-x.fr/file.php?h=R5aaf58318746149948631f4e2b266ead
Le rapport ZHPcleaner : https://up.security-x.fr/file.php?h=Ra894f44d8ad1550e345cab6bb2ef56b7
-
Re,
Avant de relancer ZHPCleaner, nous allons appliquer un nouveau petit correctif avec FRST pour une correction qui est en échec.
--------------------------------------------------------------------------------------------------------------
FRST - Correctif :
/!\ Désactive temporairement Avast Antivirus avant d'appliquer le correctif /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CloseProcesses:
Hosts:
EmptyTemp:
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST64.exe
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Accepte le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
ZHPCleaner-Nettoyer :
- Ferme toutes les applications, y compris le navigateur
- Double-clique sur l'icône ZHPCleaner.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
- L'interface de réparation s'affiche, clique sur Nettoyer. Le nettoyage se lance
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fzhpcleaner%2Fzhpcleaner-2.jpg&hash=2e7faa87a0226fe59ef633f5836f77d93e1a9d92)
- Patiente le temps du nettoyage
- Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
- Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Tutoriel d'utilisation ZHPCleaner en images (http://forum.security-x.fr/tutoriels-317/tutoriel-zhpcleaner/)
--------------------------------------------------------------------------------------------------------------
Sont attendus les rapports
Fixlog
ZHPCleaner-Nettoyer
@+
-
Le rapport fixlog : https://up.security-x.fr/file.php?h=Rfc213cc23351b444d7a2ca3be59b0c39
Le rapport ZHPCleaner : https://up.security-x.fr/file.php?h=R821c31ff3d80f34dc8af213c4f67eb09
-
Re,
Le système devrait mieux fonctionner maintenant.
Nous continuons avec cette analyse :
--------------------------------------------------------------------------------------------------------------
Malwarebytes Anti-Malware :
- Télécharge Malwarebytes Anti-Malware (https://downloads.malwarebytes.com/file/mb3/) (version gratuite) et enregistre le sur le Bureau
- Double-clique sur le fichier mb3-setup-consumer.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- La version Premium est automatiquement installée pour un essai gratuit de 14 jours
- Clique sur Terminer. Malwarebyte's s'ouvre
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2F3%2Fmbam-3.jpg&hash=bb12e32536e830ce854e2dbdb01e895b3183db00)
- Si dans Etat de l'analyse, Mises à jour est orange, cliquer sur la flèche tournante
- Dans Paramètres, puis Protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
- Dans Analyse, clique sur Analyse des Menaces puis clique sur Lancer l'analyse
- Patiente le temps de l'analyse
- En fin d'analyse, clique sur Afficher les résultats d'analyse
- Pour supprimer les éléments détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Quarantaine sélectionnée
- Un résumé d'analyse s'affiche. Clique sur Exporter le résumé puis sur Fichier texte (*.txt) pour enregistrer le rapport d'analyse
- Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
Si un redémarrage est demandé, valide par Oui et laisse le système redémarrer.
Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/list]
Tutoriel d'utilisation Malwarebytes en images (https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/)
--------------------------------------------------------------------------------------------------------------
Est attendu le rapport Malwarebytes
@+
-
https://up.security-x.fr/file.php?h=Rd6d8fe3204b4c66ce83a5bed67042de2
Merci beaucoup
-
Re,
Comment se comporte le système maintenant ?
@+
-
Le message ne s'affiche plus, il fonctionne parfaitement.
Un grand merci à toi !
-
Re,
C'est parfait, nous pouvons finaliser.
---------------------------------------------------------------------------------------------
Adobe Flash Player :
Ouvre Firefox, télécharge et installe cette dernière version :
Adobe Flash Player (http://get.adobe.com/fr/flashplayer/)
Pense à décocher les options proposées en même temps telles que la Barre d'outils Google ou McAfee Security Scan Plus
Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système
---------------------------------------------------------------------------------------------
Quarantaine de Malwarebytes :
- Lance Malwarebytes (clic droit exécuter en tant qu'administrateur)
- Dans l'onglet Historique, sélectionne Quarantaine puis clique sur Supprimer tout
---------------------------------------------------------------------------------------------
DelFix :
- Télécharge DelFix (https://toolslib.net/downloads/finish/2/) de Xplode et enregistre le fichier sur ton Bureau
- Double-clique sur l'icône Delfix.exe pour lancer l'outil
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, coche uniquement les options
- Supprimer les outils de désinfection
- Purger la restauration système
- Clique ensuite sur Exécuter et laisse l'outil travailler
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR61402f49815db4f9a876f469e865c3a9&hash=60ec4ed19f7f9871b63f941c16a7529889531079)
- Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\DelFix.txt
---------------------------------------------------------------------------------------------
Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
Installation d'une application sponsorisée, les pièges à éviter ! (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/)
/!\ Sauvegarder régulièrement les données personnelles sur un support externe
/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes (http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/)
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/)
- Au niveau de Firefox (http://forum.security-x.fr/tutoriels-317/firefox-securise/) et Chrome (http://www.malekal.com/2013/01/14/securiser-google-chrome/), tu peux sécuriser ta navigation
/!\ Une attitude responsable sur le net est la meilleure protection pour ton système
Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-------------------------------------------------------------------------------------------
Pour mieux comprendre comment tu as infecté ton système avec des adwares que tu as toi-même validés et pour éviter ce type de piège lors de l'installation d'une application gratuite, fais un test avec cet utilitaire qui va simuler une installation "pourrie" :
- Télécharge Adware Prevention (http://security-x.fr/~guigui0001/Adware_Prevention.exe) de guigui0001 sur ton bureau.
Attention : en raison de la jeunesse du logiciel, ton navigateur ou ton antivirus peuvent le détecter à tort comme une menace ; ignore ces avertissements.
- Lance-le en double-cliquant dessus (sous Windows 8, à l'activation de la protection SmartScreen, il faut cliquer sur Informations Complémentaires > Exécuter quand même)
- Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
- A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
- Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Tutoriel en images (http://forum.security-x.fr/tutoriels-317/s%27entrainer-a-ne-pas-installer-des-logiciels-indesirables-avec-adware-prevention/)
Bon entraînement :)
-
Voici le rapport Delfix : https://up.security-x.fr/file.php?h=Rafc221cfd81503c27d1358ed816b58a2
Merci
-
Bonne continuation .... et prudence sur le net :AAC