Security-X
Forum Security-X => Désinfections => Discussion démarrée par: terterezz le avril 10, 2017, 18:07:24
-
Bonjour,
J'aimerais avoir des conseils pour régler mes problèmes:
Au démarrage de mon pc après le mot de passe, un écran noir s'affiche avec un message d'erreur ou il est inscrit: "Impossible de trouver le fichier script "C:\WINDOWS\run.vbs"". Il me semble qu'avant ça j'eu fait un nettoyage du système par ADWCleaner . Donc je me suis renseigner et je vais dans le gestionnaire pour éxécuter la tache "explorer.exe" pour que mon pc s'allume . En revanche lorsque que je rallume mon PC ce message d'erreur s'affiche encore. J'aimerais savoir pourquoi et comment enlever ceci.
Merci
-
:) Bonjour,
à faire pour un premier diagnostic :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
- Clique sur le bouton Analyser.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
C'est sans virus le téléchargement de FRST??
-
il ya des virus dans le fichier a télécharger
-
Bonjour,
Pour avancer .....
Non, le fichier FRST est sain, tu peux le télécharger et l'enregistrer sur ton Bureau.
Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
@+
-
J'ai envoyer les rapports via le site d'hébergement de fichiers que vous m'avez fourni . Mercide me répondre au plus vite
-
Bonjour,
Pour avancer .....
J'ai envoyer les rapports via le site d'hébergement de fichiers que vous m'avez fourni
Cela ne suffit pas, il faut communiquer dans ta réponse les liens obtenus.
Tu as une procédure détaillée et imagée que t'a indiqué Hyunkel30, je la remets ci-dessous
http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884
@+
-
https://up.security-x.fr/file.php?h=Ra473f84ba48b5d7a7f81d456439dbddc ok c'est bon la??
-
https://up.security-x.fr/file.php?h=R764194026402c19d4941a94c19fbd302 le deuxieme
-
et du coup ?? il faut faire quoi??
-
:AAC
Bonjour ,
Je m'appelle MisterBean. Je suis actuellement en formation sécurité , je vais te prendre en charge sur ton problème.
Toutes mes réponses seront validées par un expert en sécurité avant de te les poster
Un peu bousculé en ce moment , désolé du retard .
***********
En attendant le correctif , peut tu répondre à ces questions :
Tu as des DNS qui pointent vers l’Allemagne , est ce que c'est voulu ?
As tu installé un VPN ?
Tcpip\..\Interfaces\{eafece7b-c25d-4b98-87e9-22659256b175}: [NameServer] 87.118.74.138,8.8.8.8
***********
ATTENTION: La Restauration système est désactivée
La restauration est désactivée , tu doit la réactiver pour le correctif :
--> Dans l’encadré Cortana/Rechercher tape restauration et valider par Entrée
--> Vérifie que la protection du système sur le lecteur C soit bien activée
--> Si pas activée , clique sur C: puis Configurer --> Activer la protection du système --> Appliquer --> OK
***********
--> Il te faut faire de la place sur ton lecteur système , déplacer tes documents , images , etc... Le manque de place peut ralentir et faire beuguer le système:
Drive c: () (Fixed) (Total:97.22 GB) (Free:13.02 GB) NTFS
:AAN
-
Il ne me semble pas que j'ai installé de VPN, enfin peut etre ya longtemps mais je n'avais pas réussi. Jai activé la protection du systéme.
-
Que faut-il que je déplace je n'ai rien de photos
-
Bonjour,
-->Tu as été infecté avec ton consentement , tu dois faire attention aux options cochés par défaut lors de l'installation de programmes ,
et privilégier le site de l'éditeur pour le téléchargement de ces derniers
-->Tu dois faire attention aussi à garder à jour tes programmes
Programmes à désinstaller , si problème de désinstallation ou absent , passe au suivant
--> Internet Updater
--> Updater
--> Mozilla Firefox 38.0.5 (x86 fr) : A mettre à jour si tu souhaites le garder
**********
IMPORTANT : --> Déplace FRST (copie/colle) sur ton BUREAU , car là , il se trouve dans DOWNLOADS
Ensuite , on va effectué un correctif avec FRST :
- Ouvre le Bloc-notes Touches Windows + R , tape notepad puis valide (touche entrée)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
- Tu peux aussi cliquer sur Sélectionner , le texte se met en bleu --> Clic droit sur le texte --> Copier
- Une fois fait , vérifie que tu as bien START au début et END à la fin dans le bloc-notes
start
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1065981004-876613967-1526089212-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Pas de fichier
Task: {01699E43-DCF9-4AC9-BB49-EA364076194E} - \GoforFilesUpdate -> Pas de fichier <==== ATTENTION
Task: {09D64952-AEB2-4DE5-800C-2CD1187DBB98} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Pas de fichier <==== ATTENTION
Task: {0A96235E-072C-488F-9A78-4B75F37B72B7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier <==== ATTENTION
Task: {26ACFFFB-AF61-4354-B942-4AD9BD9ADF10} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
Task: {5C1D47F6-D093-4865-B878-3E07DE6C68BB} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe <==== ATTENTION
Task: {6401499F-C53B-4B34-BFCB-BDCC3B87EFFC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {84F81216-18E6-47E1-9FCB-FD228F3FA064} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier <==== ATTENTION
Task: {85192FAB-3D7C-4E89-A4CE-DCC53426FB23} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: {8CED352D-F693-452C-B6A4-1B23B7EE70D2} - System32\Tasks\{039A2701-2813-41D5-93D1-B55614804004} => pcalua.exe -a C:\Users\SIGISMOND\Downloads\jxpiinstall.exe -d C:\Users\SIGISM~1\AppData\Local\Temp -c "C:\Users\SIGISM~1\AppData\Local\Temp\faithful32pack.zip" <==== ATTENTION
Task: {A17C0CA1-588E-4C0F-8956-D4A98288CE4F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier <==== ATTENTION
Task: {A4EF04E8-51BA-4CA4-A61B-988900718DF1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe <==== ATTENTION
Task: {B1F5D62F-6D3B-43A4-ACD2-B216FE0790F9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier <==== ATTENTION
Task: {C42ED0A9-965E-4B6D-BE4D-AEC14A119497} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier <==== ATTENTION
Task: {C7184CEA-9EE0-4173-B8BB-61ACFEF6A167} - System32\Tasks\DNSCONTRERAS => dnscontreras.exe <==== ATTENTION
Task: {CE7A622B-B65F-4F08-878D-BC9AAEA61DC7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier <==== ATTENTION
Task: {DF10A58D-CE44-46FB-B35F-7C5174C275A0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Pas de fichier <==== ATTENTION
Task: {F685A243-241B-4EA3-8EDF-A93C9A60ACD8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[8da6].job => c:\programdata\{24d3af05-9074-844c-24d3-3af05907bc16}\hqghumeaylnlf.exe <==== ATTENTION
FirewallRules: [TCP Query User{808565DE-616F-4ECA-AB9C-E9ADCA43E557}E:\fscommand\updater.exe] => (Allow) E:\fscommand\updater.exe
FirewallRules: [UDP Query User{23992B55-DA10-433B-ABED-0F8DCA7FB9D7}E:\fscommand\updater.exe] => (Allow) E:\fscommand\updater.exe
FirewallRules: [{0715CBA3-680D-4323-9CE1-8EBD0549BF9E}] => (Allow) C:\ProgramData\Boxore\7.1\node.exe
FirewallRules: [{328E3DE6-6FE5-4C39-AFFC-8DE3EF8B2D68}] => (Allow) C:\ProgramData\Boxore\7.1\node.exe
FirewallRules: [{1B46031D-599C-4D26-B0BD-6C7E4F5F2479}] => (Allow) C:\Program Files (x86)\Max Driver Updater\maxdu.exe
HKLM-x32\...\Run: [gmsd_fr_002010023] => [X]
HKLM-x32\...\Run: [rec_fr_69] => [X]
HKLM-x32\...\Run: [rec_fr_41] => [X]
HKLM-x32\...\Run: [rec_fr_74] => [X]
HKLM-x32\...\Run: [rec_fr_130] => [X]
HKLM-x32\...\Run: [rec_fr_139] => [X]
HKLM-x32\...\Run: [rec_fr_142] => [X]
HKLM-x32\...\Run: [rec_fr_150] => [X]
HKLM-x32\...\Run: [rec_fr_159] => [X]
HKLM-x32\...\Run: [rec_fr_164] => [X]
HKLM-x32\...\Run: [rec_fr_165] => [X]
HKLM-x32\...\Run: [rec_fr_172] => [X]
HKLM-x32\...\Run: [gmsd_fr_005010218] => [X]
HKLM-x32\...\Run: [rec_fr_179] => [X]
HKLM-x32\...\Run: [gmsd_fr_005010221] => [X]
HKLM-x32\...\Run: [sun13] => [X]
HKLM-x32\...\Run: [mpck_en_005030254] => [X]
HKLM-x32\...\Run: [mpck_en_005030262] => [X]
HKLM-x32\...\Run: [rec_fr_220] => [X]
HKLM\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs,
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-1065981004-876613967-1526089212-1000\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{eafece7b-c25d-4b98-87e9-22659256b175}: [NameServer] 87.118.74.138,8.8.8.8
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope la valeur est absente
FF ProfilePath: C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1 [non trouvé(e)]
FF NewTab: Mozilla\Firefox\Profiles\0i4d1a5w.default -> hxxp://www-searching.com/?site=shyosffdefault&prd=set_ff&s=G1Qzbwybl03,8b500502-16b8-4170-b7a3-5863b3933f54,
FF Homepage: Mozilla\Firefox\Profiles\0i4d1a5w.default -> search.mpc.am
FF Extension: (lOWppricces) - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\Extensions\hE8E@ijG.org [2015-08-23] [non signé]
FF Extension: (QuickSearch) - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\Extensions\searchffv2@gmail.com [2015-11-06] [non signé]
FF Extension: (Search Enginer) - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\Extensions\sweetsearch@gmail.com [2015-11-06] [non signé]
FF Extension: (daialyprize) - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\Extensions\wj@l.com [2015-08-24] [non signé]
FF SearchPlugin: C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\searchplugins\mystartsearch.xml [2015-09-11]
FF SearchPlugin: C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\searchplugins\smod.xml [2016-01-26]
FF HKLM-x32\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\extensions\searchffv2@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\0i4d1a5w.default\extensions\sweetsearch@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\extensions\deskCutv2@gmail.com => non trouvé(e)
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\extensions\yahooprotected@gmail.com => non trouvé(e)
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\SIGISMOND\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\extensions\default_newtabff@gmail.com => non trouvé(e)
FF Plugin HKU\S-1-5-21-1065981004-876613967-1526089212-1000: @tools.google.com/Google Update;version=3 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [Pas de fichier]
FF Plugin HKU\S-1-5-21-1065981004-876613967-1526089212-1000: @tools.google.com/Google Update;version=9 -> C:\Users\SIGISMOND\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [Pas de fichier]
CHR Extension: (Device screens) - C:\Users\SIGISMOND\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckbkecggifaleckpgbldoafpgpfeglim [2017-01-28]
2017-03-29 16:55 - 2017-03-29 16:55 - 00000000 ____D C:\ProgramData\boost_interprocess
2017-03-29 17:00 - 2017-03-29 17:00 - 00000000 ____D C:\Users\SIGISMOND\AppData\Local\Tempzxpsignc318bf6112e729d5
2017-03-29 16:59 - 2017-03-29 16:59 - 00000000 ____D C:\Users\SIGISMOND\AppData\Local\Tempzxpsign7bcdb08ba182239e
2017-03-29 16:59 - 2017-03-29 16:59 - 00000000 ____D C:\Users\SIGISMOND\AppData\Local\Tempzxpsign149a031271fc17c1
C:\Program Files (x86)\PhraseProfessor_1.10.0.24
c:\programdata\{24d3af05-9074-844c-24d3-3af05907bc16}
E:\fscommand
C:\ProgramData\Boxore
C:\Program Files (x86)\Max Driver Updater
C:\WINDOWS\run.vbs
cmd: ipconfig /flushdns
Hosts:
EmptyTemp:
end
- Enregistre le fichier Sur ton BureaU (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il n'est pas compatible avec un autre système/utilisateur et ne
doit pas être utilisé même pour des symptômes identiques /!\
*************************
AdwCleaner - Recherche : /!\ Mode recherche uniquement
- Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) de Xplode et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scanner
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
- Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(R).txt
*************************
******Sont attendus , les rapports :******
--> Fixlog.txt
--> Adwcleaner Scanner : (R).txt
*************************
Concernant l'espace libre de C:\ et la mises à jour des programmes , on s'en occupera à la fin de la désinfection .
MisterBean
-
Rebonjour,
Désolé du temps que j'ai mis à répondre car j'était parti.
Voici les rapports:
https://up.security-x.fr/file.php?h=R8bff5742104d597fe4252796c64c08d3
https://up.security-x.fr/file.php?h=R96399705d4bca791754889d79c24e9a3
-
Bonjour,
OK, nous continuons le nettoyage.
--------------------------------------------------------------------------------------------------------------
AdwCleaner - Nettoyer :
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
- Patiente le temps de l'analyse et valide le message d'informations
- Un redémarrage est demandé, valider par OK
- Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
******************************
Refais un scan FRST
FRST :
- Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
Pour un système en 32 bits -> FRST (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Pour un système en 64 bits -> FRST64 (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
Rappel : FRST doit être enregistré sur ton Bureau <-- Important
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
:AAN
-
Rapports:
ADWCleaner: https://up.security-x.fr/file.php?h=R0cc64a12142b874b259a4d90c833b4fc
FRST: Addition: https://up.security-x.fr/file.php?h=R6008998d58dbbbd2fe1b915daf666d38
FRST: https://up.security-x.fr/file.php?h=Rcce1971e1bf59331a911788fe36d5c6
-
:AAC
Le lien de FRST ne fonctionne pas , tu peux remettre le rapport STP.
:AAN
-
https://up.security-x.fr/file.php?h=Rcce1971e1bf59331a911788fe36d5c6f
-
cest bon la???
-
:AAC
Oui , c'est bon , je regarde tes rapports et je te dis la suite , mais peut être que demain
:AAN
-
Bonjour ,
Il faut absolument faire de la place sur C:\ Drive c: () (Fixed) (Total:97.22 GB) (Free:3.5 GB) NTFS
--> Risque de dysfonctionnements sur Windows, ralentissements, blocages, pertes de fonctionnalités
Je pense que tes jeux STEAM prennent beaucoup de place , tu devrais les déplacer sur D:\ car tu as 800 go de libre .
Tu peux suivre ce tuto --> https://www.youtube.com/watch?v=siilE7HTfrQ
Tu peux également déplacer ta bibliothèque (images , documents , etc...) --> http://www.mediaforma.com/windows-10-choisir-lemplacement-de-la-bibliotheque-documents/
Le lien explique pour "Documents" mais ça marche aussi pour "images" , "vidéos" , etc...
Dans Emplacement , il te suffiras de changer la lettre --> D: à la place de C:
*************************
Un Adware s'est remis dans Chrome , il va falloir vider la synchronisation.
On va d'abord corriger avec FRST :
- Ouvre le Bloc-notes Touches Windows + R , tape notepad puis valide (touche entrée)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
- Tu peux aussi cliquer sur Sélectionner , le texte se met en bleu --> Clic droit sur le texte --> Copier
- Une fois fait , vérifie que tu as bien START au début et END à la fin dans le bloc-notes
start
CreateRestorePoint:
CloseProcesses:
Task: {CE075B95-EECE-46CD-9CB1-CA59A73B6145} - System32\Tasks\{35C5A8CD-1F48-4BC1-8660-7FCC3EF0CCBF} => pcalua.exe -a C:\ProgramData\ZombieNews\uninstall.exe -c /kb=y /ic=1
C:\ProgramData\ZombieNews
CHR Extension: (Device screens) - C:\Users\SIGISMOND\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckbkecggifaleckpgbldoafpgpfeglim [2017-04-24]
ShortcutWithArgument: C:\Users\SIGISMOND\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\bfba0433bcd14871\Device screens.lnk -> C:\Program Files (x86)\Google Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=ckbkecggifaleckpgbldoafpgpfeglim
EmptyTemp:
end
- Enregistre le fichier Sur ton BureaU (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il n'est pas compatible avec un autre système/utilisateur et ne
doit pas être utilisé même pour des symptômes identiques /!\
*************************
Si tu es connecté à ton compte Google , suis cette procédure pour Arrêter la synchronisation et supprimer les données de Google :
Vous pouvez supprimer les informations synchronisées de votre compte Google à tout moment grâce à Google Dashboard.
1. Cliquez sur la zone d'état dans l'angle inférieur droit de l'écran, là où se trouve la photo du compte.
2. Sélectionnez Paramètres, puis accédez à la section "Utilisateurs".
3. Dans la section "Utilisateurs", cliquez sur Google Dashboard.
4. Repérez la section "Synchronisation de Google Chrome" dans le tableau de bord, puis cliquez sur Arrêter la synchronisation et supprimer les données de Google.
Toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.
Support Google Chrome (https://support.google.com/chromebook/answer/1281195?hl=fr)
*************************
Une fois fait , dis moi comment se comporte le système .
@ Plus
-
Comment ça comment se porte le système parce que mon PC marche bien la. J'ai pas encore fais les étapes. Mais tes pas obligé de mettre "sélectionner en bleu et faire copier puis coller" je sais me servir d'un pc quand même mdr
-
et pk me supprimmer tout les trucs Google??
-
Bonjour,
Comment ça comment se porte le système parce que mon PC marche bien la. J'ai pas encore fais les étapes. Mais tes pas obligé de mettre "sélectionner en bleu et faire copier puis coller" je sais me servir d'un pc quand même mdr
Bien content de t'avoir fait rire !!! , pour info , les procédures sont écrites afin de coller au mieux aux particularités des personnes qui demandent de l'aide ,
car cela va de la personne qui ne connais absolument rien aux ordinateurs (dont copier/coller) , aux personnes capables d'installer Windows de A à Z.
Au vu de tes premières réponses , tu ne sembles pas être un érudit en matière d'informatique et jusqu'à preuve du contraire , je n'ai pas de boule de cristal
pour savoir comment se comporte ton PC , sachant que , à moins que je me trompe , tu es venu ici car tu avais besoin d'aide .
et pk me supprimmer tout les trucs Google??
Les procédures sont faites de telle manière qu'elle doivent être lues jusqu'au bout et non pas survolées , cela pour éviter les questions de type :
--> il ya des virus dans le fichier a télécharger
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
--> J'ai envoyer les rapports via le site d'hébergement de fichiers que vous m'avez fourni
Cela ne suffit pas, il faut communiquer dans ta réponse les liens obtenus.
--> et pk me supprimmer tout les trucs Google??
Toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.
Cela veut dire que si tu t'es , un jour , connecté à ton compte google sur un autre PC ou une tablette , l'extension malicieuse s'est propagé à travers la synchronisation , il faut donc ,
une fois supprimé l'extension , vider la synchronisation afin qu'elle ne se réinstalle pas sur ton PC ainsi que les PCs sur lesquels tu aurait à te connecter . Cela ne supprime rien de
tes favoris , etc... Réactive la synchronisation une fois fait .
@ plus
-
je vous avoue que j'ai rien compris par rapport à la synchronisation je sais pas quoi la... Pas grave
-
Voici le rapport:
https://up.security-x.fr/file.php?h=R7c6847c5333deaf26426e76ae883da22
-
Je sais me serivr d'un Pc parfaitement mais apres tout ce qui est de l'informatique plus approfondi je ne m'y interesse pas trop et j'avais besoin d'aide parce que je pensais avoir été infécté par des virus c'est tout
-
Alors je suis allé sur Google Dashboard et voici ce que ça me met je ne vois pas ou est le "Arrêter la synchronisation et supprimer les données de Google" (j'ai pris des screens):
https://up.security-x.fr/file.php?h=R9d881c5262e354b247b898688b1f8ac2
https://up.security-x.fr/file.php?h=R33fd2e39386e4b058e8daf91e00019b5
-
Re_
j'avais besoin d'aide parce que je pensais avoir été infécté par des virus
Et tu était bien infecté , le premier Fixlist à bien nettoyé.
**********************
Tu dois cliquer sur Redémarrer la synchronisation , ensuite , tu fermes Chrome , tu l'ouvres à nouveau et tu te reconnectes à ton compte.
(https://img4.hostingpics.net/pics/461932synchro.jpg) (https://www.hostingpics.net/viewer.php?id=461932synchro.jpg)
**********************
Dans ton dernier rapport , Flash player n'était pas à jour , dans chrome , il est intégré et se met à jour en même temps que chrome.
si tu ne te sert plus de firefox et/ou internet explorer , tu peut le désinstaller --> Adobe Flash Player 24 NPAPI
**********************
Si tout est OK , on peut conclure :
Télécharge Delfix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Sous Vista et ultèrieur faire clic droit -> "Exécuter en tant qu'administrateur")
- Cochez les cases :
- Supprimer les outils de désinfection
- Purger la restauration système
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimg4.hostingpics.net%2Fpics%2F209846delfix.jpg&hash=c140fb7883d1a5d2d0d7f439ad1c9777b333edfc) (http://www.hostingpics.net/viewer.php?id=209846delfix.jpg)
-------------------------------------------------------------------------------------------------------
Comme dit en début de procédure :
1 - tu as été infecté avec ton consentement , tu dois faire attention aux options cochés par défaut lors de l'installation de programmes , et privilégier le site de l'éditeur pour le téléchargement de ces derniers
2 - Vérifie toujours toutes les pièces jointes ou les fichiers compressés grâce à ton antivirus (clic droit --> Analyser)
3 - Garde toujours ton système à jour ainsi que tout les programmes (Internet explorer / Java / Produit Adobe / etc...)
4 - Évite l’exécution automatique des médias (Clé USB - HDD externe - CD/DVD - Etc... )
5 - Évite le P2P et les cracks , tu peux lire ceci pour en apprendre plus :
- Les dangers des cracks (http://forum.malekal.com/danger-des-cracks-keygen-t893.html)
- le P2P et ses conséquences !!! (http://forum.zebulon.fr/prevention-le-p2p-et-ses-consequences-t85544.html)
Un petit peu de lecture pour savoir pourquoi et comment tu as été infecté et comment l'éviter :
- Comment je me fais infecter (http://forum.malekal.com/pourquoi-comment-fais-infecter-t3259.html)
************************************
En résumé
- Il faut éviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
- Privilégier les sites des éditeurs pour télécharger les programmes
- Toujours vérifier les options cochés par défaut lors de l'installation des programmes.
- Garder son système à jour (Windows et logiciels)
- Faire des sauvegardes régulières de ses données sur des supports externes .
Pour t'entrainer à ne pas te faire à nouveau infecter . Utilise cet outil :
- Télécharge Adware Prevention (http://security-x.fr/~guigui0001/Adware_Prevention.exe) (de guigui0001) sur ton bureau.
- Lance-le en double-cliquant dessus. Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
- A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
- Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Tutoriel en images (http://forum.security-x.fr/tutoriels-317/s%27entrainer-a-ne-pas-installer-des-logiciels-indesirables-avec-adware-prevention)
Rapport attendu : Delfix.txt
@ plus
-
je peux telechrager le faux virus sans problème c'est sur??
-
Re_
Si tu parles d"Adware prévention" , oui , tu peux sans soucis .
:AAN
-
# DelFix v1.013 - Rapport créé le 27/04/2017 à 20:31:07
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : SIGISMOND - SIGISMOND-PC
# Système d'exploitation : Windows 10 Pro (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\SIGISMOND\Desktop\Fixlog.txt
Supprimé : C:\Users\SIGISMOND\Desktop\FRST64.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
~ Purge de la restauration système ...
Supprimé : RP #35 [Point de contrôle planifié | 04/27/2017 18:11:45]
Nouveau point de restauration créé !
########## - EOF - ##########
-
je pose peut etre et sûrement une question très débile mais comment être sûr que mes programmes soient a jour?
-
et aussi "Évite l’exécution automatique des médias" Je n'ai pas bien compris ? je ne dois pas utiliser de clé USB ??
-
:AAC
je pose peut etre et sûrement une question très débile mais comment être sûr que mes programmes soient a jour?
Tu peux utiliser le programme créé par IGOR51 pour un usage ponctuel des mises à jour des programmes à risques :
--> Flash player / Reader / Java / Windows.
https://forum.security-x.fr/tutoriels-317/%28tutoriel%29-sx-checkupdate/
--------------------------------------------------
Tu peux également installer FileHippo manager qui scanne tout tes programmes et t'indique s'il y a des mises à jour .
Une fois installé , tu l'ouvres , et dans "display options" décoches "inclure les mises à jour Béta",
car souvent les Béta sont en anglais.
http://filehippo.com/fr/
--------------------------------------------------
et aussi "Évite l’exécution automatique des médias" Je n'ai pas bien compris ? je ne dois pas utiliser de clé USB ??
Ce sont des conseils génériques , et ce conseil est surtout pour les possesseurs de Windows 7 et antérieurs car il y peut y avoir
l'exécution automatique par défaut et engendrer des infections par clé USB ou HDD externe lors du branchement de ceux ci sur le PC
Sous Windows 10 , elle peut être activé manuellement et générer des risques d'infection , il faut donc éviter de l'activer
Toujours passer par l'explorateur , clic droit et ouvrir pour les supports amovibles (USB / HDD)
Donc , si tes clés ne sont pas utilisés n'importe où (surtout lieu public , ex : cyber café) , il n'y a pas de risque à utiliser des clés USB
Pour en savoir plus , vois ce lien :
http://assiste.com/Comment_activer_desactiver_execution_automatique.html
--------------------------------------------------
Ton rapport Delfix est Ok , si tout est bon , tu peux mettre le sujet en résolu , pour cela , tu vas sur ton premier message , tu cliques sur Modifier en haut
à droite , et dans le titre , à la fin , tu marques [Résolu]
Si tu as d'autres questions , n'hésite pas .
Sinon , bonne continuation et prudence sur le net
:AAN
-
Une petite chose aussi . Alors ça n'a pas de rapport avec le fait d'être infecté je pense mais quand je double-clique sur le raccourci Chrome de ma barre des tâches ou de mon bureau, il ne s'ouvre pas et ce message s'affiche:
https://up.security-x.fr/file.php?h=R8335c0001239d3aa985609138cc64712
Je l'ouvre en faisant "ouvrir une nouvelle fenêtre" en faisant clic-droit ou en allant dans le fichier du message mais je voudrais savoir si c'était possible que bah chrome s'ouvre normalement en double-cliquant sur le raccourci comme d'hab?
-
:AAC
Si tu le lances à partir du bouton démarrer , ça fonctionne ou pas ?
:AAN
-
Non pourquoi??
-
Essaie en faisant Démarrer --> clic droit sur google chrome --> Plus --> Exécuter en tant qu'administrateur