ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #76855  par tibogn
 
Bonjour.

J'ai plusieurs soucis sur mon ordinateur :

- Régulièrement au démarrage du PC, Windows Defender détecte deux Trojan : CoinMiner et BroCoiner
C:\Users\mon_utilisateur\Dropbox\.dropbox.cache\ et les place en quarantaine.

- A l'ouverture de Firefox (navigateur par défaut), la page de garde de MSN s'ouvre automatiquement, parfois plusieurs fois d'affilée.

J'imagine une infection de plusieurs éléments.

Mon niveau est intermédiaire ++ et je n'aurai pas trop de mal à faire des opérations sensibles.

Les liens des fichiers de log :

FRST
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
WinCHK
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
CKScanner
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
ZHPDiag
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Merci pour votre aide,
T
Modifié en dernier par tibogn le 10 avr. 2018, 15:21, modifié 1 fois.
 #76857  par El Magnifico
 
Bonjour,

Bienvenu(e) sur le Forum de Nicolas Coolman, je suis ravi de vous aider .
  • • Si vous le désirez vous pouvez rendre invisible les rapports à la vue des non-membres : Surlignez toutes les lignes, puis faites un clic sur le cadenas dans la barre d'outils
Exemple: ICI

Image
  • • Vous pouvez être averti d'une réponse en cliquant sur le bouton à gauche de l' étoile, en fin de désinfection vous recliquerez dessus pour ne plus être averti.
Exemple : ICI

• Questions:
  • • Réalisez vous des sauvegardes image du système sur un disque dur externe ainsi que les données que vous créez ?
    • Quel antivirus utilisez vous ?
    • Avez vous modifier le fichier Hosts ?
    • Utilisez vous Yahoo ?
A vous lire
 #76861  par tibogn
 
Bonjour El-Magnifico.
J'éditerai mon message pour cacher les liens des fichiers comme dans l'exemple. Merci.

- Antivirus : Windows Defender
- J'ai créé une image de restauration du système comme indiqué dans le tutoriel de post de désinfection, sinon mes données sont en permanence synchronisées via GGDrive.
- je n'ai pas modifié le fichier hosts personnellement mais y ai trouvé une ligne pour un serveur d'entreprise accessible uniquement via VPN.
- il m'est arrivé de me connecter sur yahoo.fr (boîte mail) mais c'est assez rare.

T
 #76863  par El Magnifico
 
Re,

Attention , ne plus remplir votre disque C: , Windows a besoin d'environ 20Go de libre.

Ces DNS, redirigent vers les USA, vous disent quelque chose ?
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Image Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI


Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

  • Je vous invite dans un premier temps à désinstaller ces programmes inutiles cités sous "Citation", sauf votre avis contraire !
Pour obtenir directement l'accés aux programmes :
Touches Windows Image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK


=> Bonjour
=> Java
  • Desactivez votre antivirus le temps de la correction .

On attaque dans l’ dur Image

Image ZHPFix (de Nicolas Coolman)

Image


1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau Image , puis cliquez sous le compteur (bouton bleu clair) et enregistrez le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

……………………………

2) ENREGISTREMENT du scriptZHPfix pour correctif.


• Avec ce correctif nous allons effectuer un premier nettoyage

Image

=> Surlignez toutes les lignes ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier

Ensuite ouvrez ZHPFix, cliquez sur "importer", (supprimer la petite fenetre d'info si elle se présente) , mettre le curseur en haut dans la fenetre vide clic droit / coller, puis cliquez sur GO

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.


Image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une petite fenêtre d'avertissement apparait , la supprimer, placez le curseur de la souris dans la fenetre dans l'angle en haut à gauche, puis clic droit coller => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu

…………………………………………..

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO

……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.
  • Le rapport ZHPFix.txt se trouve sur le bureau
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque

……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.


Image
 #76867  par tibogn
 
Bonjour.

J'ai désinstallé Bonjour mais pas Java.

J'ai fait tourner le ZHPFix.

Voici le rapport :
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Au redémarrage, j'ai toujours les mêmes symptômes :

- trojans localisés dans le dossier cache de Dropbox
- ouverture intempestive de MSN.fr dans Firefox à son ouverture.

En vous remerciant,
T
 #76870  par El Magnifico
 
Re,

Il faut attendre la fin de la désinfection pour ne plus avoir ces phénomènes

Pourquoi ne pas désinstaller java ? il date de la Saint glinglin, ouvert aux failles .

Pas de réponse sur les DNS ?
 #76872  par El Magnifico
 
Re

Dans tous vos rapports seul defender l' affiche : Chemin : file:_C:\Users\trinhvth\Dropbox\.dropbox.cache\~ee73cd30.tmp

Le met il en quarantaine ?

On continue avec ces outils
  • ZHPCleaner(de Nicolas Coolman)
Image


Image Téléchargez (clic sur le bouton bleu en dessous du compteur) => Image et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

Image

  • Cliquez sur Image
  • Puis sur : Tout cocher / Fermer
Image

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".
La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix

Image

Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur Nettoyer


Image

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows Image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque



*****************************************************************************************************

  • MBAR


Image


Téléchargez MBAR sur votre bureau Image

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

Image


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" .

Dés que le “nettoyage” est terminé, un message s’affiche “Cleanup scheduled successfully” ainsi qu’une fenêtre, Cliquez dans cette fenêtre sur “Yes
Votre ordinateur redémarre.

Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :
  • Accès à Internet
  • Mise à jour de Windows
  • Pare-feu Windows
S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.



***************************************************************************************************
  • ADWCleaner
Image

Image Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => Image. (Enregistrer sous => bureau)

Adwcleaner va rechercher les Adwares

Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI

Image

Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.

Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.
  • Cliquez sur Outils puis Options puis cochez : Fichiers Prefetch ; Clés Tracing ; IFEO
  • Puis dans la colonne de droite : cochez en plus de Winsock ; IEPolicies ; Policies Chrome ; Parefeu ; validez par OK
Cliquez sur Analyser pour lancer l'analyse.

Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

Patientez le temps de l'analyse .

Si des détections malveillantes sont mises en évidence, postez le rapport

Cliquer sur Nettoyer .

L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"

Confirmez le redémarrage de l'ordinateur.

Au redémarrage le rapport s'ouvrira dans le bloc note.
  • Démo animée pour creer un lien avec Cjoint=> ICI
Postez le rapport .

Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:
  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt
Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

*****************************************************************************************************

  • Kaspersky Virus Removal Tool
Image
  • Téléchargez sur ce site : Image
  • A défaut sur PCA :
Cet outil recherche les Malwares

Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :

· Fermez toutes les applications en cours d'exécution.

· Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.

Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.
  • Image Pour lancer l'application :
1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
3. Patientez jusqu'à la fin de l'initialisation.
4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
5. Cliquer sur Start scan
6. Patientez jusqu'à la fin de l'analyse.
7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.
  • KVRT ne délivre pas de rapport !
Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.

A vous lire Image

****************************************************************************************************

  • Junkware Removal Tool
Image


Image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. Image (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !
  • Faites un clic droit -> lancez le programme en tant qu'administrateur
L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

Image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint

***************************************************************************************************


Nettoyage des fichiers temporaires inutiles avec SFT de Pierre13

Désactiver l'anti virus avant ! et lire ces instructions.

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Fermer tous les programmes en cours ==>> Important !

Image Télécharger SFT.exe sur le bureau (Nouvelle version 2.4.0.3)Image
  • Si SFT n'est pas sur le bureau, ce message (anglais et français) le signale et SFT se ferme.

    Déplacer SFT sur le bureau et le relancer.
Image

Si l'antivirus fait des siennes: désactive-le provisoirement. Pour savoir comment faire, voir cet article.
  • Sous Windows, faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.

    Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...
A la fin, un message demandera si on veut vider la corbeille..Accepter.

Image
  • A la fin du nettoyage, un rapport va s'ouvrir.

    Ce rapport est enregistré sur le bureau (SFT.txt)
Image

Utilisez Cjoint pour poster le rapport

Communiquez le lien, merci.

***********************

Toujours le trojan ?
 #77072  par tibogn
 
Bonjour.

ZHPCleaner :

J'ai fait malencontreusement tourné ZHPCleaner deux fois : une fois diagnostic puis nettoyage, le second juste le diag. D
'où la forme du rapport suivant.

Le premier rapport sous sa forme balisée :(qui a nécessité un nettoyage) :
https://www.cjoint.com/c/HDkqijStpbw
Le second rapport sous sa forme normale (je n'ai pas fait tourner la phase de nettoyage, en attendant votre retour) :
https://www.cjoint.com/c/HDmiZdjyKJw

MBAR :

Aucun malware trouvé.

Le rapport :
https://www.cjoint.com/c/HDmi7Zl7Kgw

AdwCleaner :

Aucun malware trouvé.

Le rapport :
https://www.cjoint.com/c/HDmjgm2TQww

JRT :

Une clé de registre supprimée.
Le rapport :
https://www.cjoint.com/c/HDmkgGzErow

SFT :

Pas mal de nettoyage réalisé.

Le rapport :
https://www.cjoint.com/c/HDmlLFgXbMw

Au redémarrage, le trojan est toujours là.
Il est systématiquement identifié par Windows Defender et mis en quarantaine.

J'ai essayé de ne pas lancer Dropbox au démarrage... et là pas de mise en quarantaine : le fichier n'existe pas : je suppose que Dropbox produit (ou synchronise) systématiquement le fichier infecté à chaque synchronisation.

Merci de votre retour,
T
 #77073  par El Magnifico
 
Bonjour
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
je suis aussi de votre avis.

Je pense qu'il faudrait le désinstaller entièrement ( verifier qu'il n' y a pas de restes qui trainent) et le réinstaller depuis un téléchargement de l' éditeur.

Ensuite refaire un scan avec ZHPDiag (Téléchargez la derniere version)
Refaire un scan avec FRST postez les 3 rapports , pour un dernier correctif
.
Modifié en dernier par El Magnifico le 12 avr. 2018, 15:25, modifié 1 fois.
Sujets similaires Statistiques Dernier message
Ouverture de windows 10 très longue
par machmallow  dans : Analyse de rapports et Désinfection.
35 Réponses
5994 Vues
par machmallow
CPU à 100% jusqu'à ouverture du gestionnaire des tâches.
par Chesstrash13  dans : Analyse de rapports et Désinfection.
13 Réponses
880 Vues
par El Magnifico
résolu problème ouverture fichier c:/ progam
par nicogef  dans : Analyse de rapports et Désinfection.
16 Réponses
4299 Vues
par El Magnifico
Problèmes de lenteur lors de navigation et d'ouverture de fichiers
par Tusculanes  dans : Analyse de rapports et Désinfection.
38 Réponses
7753 Vues
par El Magnifico
infection PDM:Trojan.Win32.Generic
par auvergne43  dans : Analyse de rapports et Désinfection.
2 Réponses
519 Vues
par El Magnifico