ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #57359  par did80
 
re  papyrazzi

1/ je ne vois pas le lien zhpdiag

2/ ceci stp

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

http://www.nicolascoolman.fr/telecharger/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan


Image



L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens

@+
 #57366  par did80
 
re papyrazzi

1/ désinstaller quicktime plus maintenu

anciennes versions java 101 121


2/ télécharges ZHPFIX

Si tu ne l'as pas


https://www.nicolascoolman.com/fr/download/zhpfix/



Image



Sélectionne et copie les lignes suivantes

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Lance ZHPFIX


colles les lignes dans le cadre blanc

Image

tu supprimes avec le bouton GO


Image

copies colles le rapport

qui est sur ton bureau ou C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt



2/ tu penseras a m'envoyer les 3 liens farbar demandés plus haut aussi

@+

@+
 #57375  par papyrazzi
 
Voici les liens pour les rapports de FARBAR
FRST.txt → http://www.cjoint.com/c/GHkxAhcXLgR
Shortcut.txt → http://www.cjoint.com/c/GHkxDFQIXBR
Addition.txt → http://www.cjoint.com/c/GHkxCCnoQLR

Par contre durant la phase d'analyse des raccourcis, une fenêtre s'est ouverte annonçant un problème bizarre.
J'en ai fait une copie puis ai simplement fermé la fenêtre.
Voici le lien de cette copie : http://www.cjoint.com/c/GHkxGPfi6RR


Maintenant, je passe aux désinstallations, puis à ZHPFIX.

Au fait, concernant le script que tu as concocté pour ZHPFIX, deux questions avant que je ne fasse une bêtise :

1° HKCU\SOFTWARE\IM
IM vient de Incredimail qui est mon programme de mails. Hélas, je ne puis en changer car les data ne sont pas transférables vers un autre programme. Cependant, il fonctionne correctement et je sais par expérience que quand on change quelque chose à ce qu'il a installé, il plante avec, souvent, pertes de données (et j'y ai des mails professionnels depuis près de 20 ans... glups !)

2° HKCU\SOFTWARE\TeleCharger
- O43 - CFD: ... C:\Users\Se7en\AppData\Local\Z-Deployement
- O43 - CFD: ... C:\Users\Se7en\AppData\Local\Z-Deshaker
- O43 - CFD: ... C:\Users\Se7en\AppData\Local\Z-Diagnostics
Avant de détruire définitivement un dossier ou un fichier que je trouve suspect, je mets un "Z-" devant son nom. C'est ce que j'ai fait ce matin pour les dossiers "Deployement, Deshaker et Diagnostics" qui étaient "vides" et présents dans le répertoire C:\Users\Se7en\AppData\Local. Je ne savais pas d'où ils venaient ni la raison de leur création.

Au regard de mes questions, maintiens-tu ton script inchangé ?

 
 
 #57376  par papyrazzi
 
Que s'est-il passé ? :o
Je n'ai pas encore procédé au ZHPFIX puisque j'attends ta réponse à mes questions.
Mais...
Par je ne sais par quelle opération du Saint-Esprit, la quasi totalité des dossiers "temp1_NOM.zip" qui s'étaient créés intempestivement dans le répertoire C:\Users\Se7en\AppData\Local\temp ont disparu ! :P
Or, la seule chose que j'ai faite, outre les analyses et les désinstallations de programmes que tu m'as demandées, c'est de stopper la recherche des fichiers .ppinfocache

Pour l'heure, il ne reste de "bizarre" dans le répertoire C:\Users\Se7en\AppData\Local\temp que les 3 dossiers suivants et un seul fichier :
~nsuA.tmp    contenant un fichier potentiellement dangereux    →   Un_A.exe
Temp1_Backup files 4.zip \ C \ Users \ Se7en \ AppData \ Roaming \ AVAST Software \ Avast \
 "Le dossier est vide."
Temp1_Backup files 73.zip \ C \ Users \ Se7en \ AppData \ Roaming \ AVAST Software \ Avast \ "Le dossier est vide."

Tous créés le 10/08/2017 → je ne sais évidemment pas du tout d'où cela vient ni ce que c'est. :roll:
 
De toutes façons, je vais poursuivre la "désinfection" en cours.

 
 #57381  par did80
 
salut

je passe du temps a écrire un script que tu n'exécutes pas

tu as du farfouiller jusqu' a 4h08 dans le pc en ouvrant tout pour propager l'infection

2/ tes questions


1° HKCU\SOFTWARE\IM
IM vient de Incredimail


HKCU\SOFTWARE\IM =>Adware.InstallCore
infecté

2/
HKCU\SOFTWARE\TeleCharger
O43 - CFD: 07/12/2014 - [0] D -- C:\Users\Se7en\AppData\Local\Secunia PSI
O43 - CFD: 28/08/2015 - [0] D -- C:\Users\Se7en\AppData\Local\Z-Deployment
O43 - CFD: 27/09/2016 - [0] D -- C:\Users\Se7en\AppData\Local\Z-Deshaker
O43 - CFD: 24/02/2017 - [0] D -- C:\Users\Se7en\AppData\Local\Z-Diagnostics
C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage
C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage-journal
superflus

avast est infecté par certlock

ciao
 #57387  par papyrazzi
 
Hello,
Je n'ai trifouillé dans rien du tout. J'ai seulement et strictement fait ce que tu m'as demandé et... posé des questions.
Seul Firefox était ouvert sur la page de ce fil, aux fins de mise à jour en enfonçant la touche [F5].
Pour tuer le temps, j'ai simplement lu le rapport de ZHPDiag, enfin... essayé, car je me suis endormi sur mon bureau... et je viens seulement de me réveiller.
Le dossier Temp est resté constamment ouvert, mais en veille dans la barre des tâches. Lorsque je l'ai constaté, j'ai cliqué pour ouvrir la fenêtre et, ainsi, pouvoir la fermer en cliquant sur le "X" en haut à droite de la fenêtre.
C'est à ce moment que j'ai constaté la disparition des fichiers.

Concernant IM...
C'est dans le "dossier" IM (créé automatiquement par Incredimail) que ce trouvent tous les datas de mes mails. Rien à voir avec l'exécutable qui est effectivement IncMail.exe. De là ma confu sion, sorry.

Je lance donc le ZHPFIX.
 #57388  par papyrazzi
 
Voila, c'est fait.
Voici le lien du rapport : http://www.cjoint.com/c/GHlkZyFtSrR

Par contre, en fin de job, ZHPFIX a affiché une fenêtre pour annoncer que le programme ne s'était pas déroulé correctement. Voici le lien : http://www.cjoint.com/c/GHlk2rETl0R

J'attends tes instructions.
 #57393  par papyrazzi
 
Désolé, ce fichier n'existe pas.
Par contre, j'en ai un qui porte le même nom mais qui date du 08/03/2015 - 13:29 H
Voir copie du répertoire Roaming/ZHP → http://www.cjoint.com/c/GHllR0M5uDR

Voici la copie de ce fichier → http://www.cjoint.com/c/GHllWFYXIwR
Sujets similaires Statistiques Dernier message
Bugs ipod, création et upload sites Web, pc: un gros bazar
par AOLCreeks  dans : Analyse de rapports et Désinfection.
2 Réponses
2162 Vues
par g3n-h@ckm@n
Multiples écrans bleus
par Frouk  dans : Analyse de rapports et Désinfection.
46 Réponses
17778 Vues
par El Magnifico
Multiples avis de sécurité IBM du 28 février 2024.
par NicolasCoolman  dans : Les nouvelles
1 Réponses
51 Vues
par NicolasCoolman
Avis de sécurité de SolarWinds de multiples failles critiques.
par NicolasCoolman  dans : Les nouvelles
0 Réponses
109 Vues
par NicolasCoolman
Découverte de multiples vulnérabilités dans les produits Trend Micro
par NicolasCoolman  dans : Les nouvelles
0 Réponses
1632 Vues
par NicolasCoolman