ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #84789  par William Roy
 
Bonjour à tous,
Je vous explique la situation. Ma mère s'est retrouvé avec un pop-up ou un virus qui lui disait d'une voix hystérique que son ordinateur était infesté et qu'elle devait absolument appeler un numéro en particulier. ... Alors oui arnaque évidente mais panique de la génitrice et pouf elle laisse un inconnu prendre la main à distance sur son ordinateur. Evidemment l'ordinateur est selon lui sur infecté et nécessite des heures de travail et une installation de suite antivirus complète, le tout pour la modique somme de 180€. Elle m'envoi un SMS me demandant mon avis, je lui dit de tout arrêter, de ne plus rien toucher et d'éteindre la bécane. J'ai récupéré l'ordinateur portable en question et maintenant, le nettoyage me revient. :D
Quelques éléments sur l'ordinateur en question : les licences sont bonne normalement mais comme je ne peux toujours m'occuper de ce terminal, je soupçonne les copines de ma mère de le bidouiller de temps en temps en mode "mais non ça craint rien, tu vas voir..."
Bref. :roll:
Avec cette intro plusieurs questions me viennent à l'esprit...
Première question, est-ce que ça pue grave ou non?
Deuxième question, est-ce qu'en ayant accès à l'ordi, le "technicien" en question a pu faire une copie du DD ou de fichiers (RIB, pièces d'identités, trucs officiels ou utiles pour une usurpation d'identité)?

Maintenant les rapports :
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Merci d'avance à tous ceux qui prendront le temps de jeter un oeil sur ce message!
Belle soirée.
W
Modifié en dernier par William Roy le 19 juil. 2018, 20:57, modifié 2 fois.
 #84790  par Australien
 
Bonsoir,


je ne vais pas pouvoir vous prendre en charge car je ne suis plus en activité, mais je vais pouvoir répondre à vos interrogations les plus urgentes


Un assistant va venir vous prendre en charge dés que possible. (c'est un peu tendu en terme de bénévoles lors des vacances)

.
William Roy a écrit :
Première question, est-ce que ça pue grave ou non?
.
Pas à la lecture des rapports, il y a bien un peu de nettoyage à faire mais rien de très méchant (pas de malwares actif, juste quelques traces d'adwares et quelques broutilles)
.
William Roy a écrit :
Deuxième question, est-ce qu'en ayant accès à l'ordi, le "technicien" en question a pu faire une copie du DD ou de fichiers (RIB, pièces d'identités, trucs officiels ou utiles pour une usurpation d'identité)?

.
En général ces escrocs se contentent de l'argent soutirée à la victime.

Nous ne pouvons pas être sur, dans le doute prendre des dispositions auprès de la banque si vraiment votre maman a laissé trainer des informations bancaires sensibles.

Un voleur va au plus vite et au plus simple, et je pense pas que votre maman lui a donné assez de temps pour siphonner ses dossiers personnels.

Dans l'immédiat, désinstallez le logiciel Teamviewer 12 qui est un programme de prise à distance que j'ai vu dans vos rapports.

Ensuite, videz le cache de vos navigateur et Exécutez une analyse complète de la machine avec le logiciel Malwarebytes Anti-Malwares qui est lui aussi installé sur ladite machine.

Enfin, attendez un assistant qui va vous prendre en charge.
 #84802  par El Magnifico
 
Bonjour William, et Patrick,

Bienvenu(e) sur le Forum de Nicolas Coolman, je serais ravi de vous aider.

  • • Si vous le désirez vous pouvez rendre invisible les rapports à la vue des non-membres : Surlignez toutes les lignes, puis faites un clic sur le cadenas dans la barre d'outils
Exemple: ICI

Image
  • • Vous pouvez être averti d'une réponse en cliquant sur le bouton à gauche de l' étoile, en fin de désinfection vous recliquerez dessus pour ne plus être averti.
Exemple : ICI

• Questions:
  • • Réalisez vous des sauvegardes image du système sur un disque dur externe ainsi que les données que vous créez ?
    • Quel antivirus utilisez vous ?
    • Avez vous modifier le fichier Hosts ?
    • Utilisez vous Yahoo ?
A vous lire


- Par respect pour votre assistant, ne faites pas plusieurs demandes sur différents Forums, ne le laissez pas sans réponse, prévenez le si vous décidez de stopper l'assistance .
- Sans réponse pendant 3 jours le sujet sera définitivement fermé.
 #84803  par William Roy
 
Hello Patrick et merci de votre réponse.
J'ai déjà exécuté Malwarebytes et vais y remettre un coup. J'expulse de ce pas TeamViewer 12 et vide l'ensemble des caches avec un bon coup de Ccleaner.
Au plaisir.
William
 #84804  par William Roy
 
Bonjour El Magnifico
Alors, il y a des sauvegardes plus "à l'ancienne" effectuées par l'utilisatrice principale de l'ordinateur. (on copie/colle tout le contenu dans un DDE)

• Quel antivirus utilisez vous ?
Avira antivirus en gratuit

• Avez vous modifier le fichier Hosts ?
Non, pas à ma connaissance

• Utilisez vous Yahoo ?
A priori pas.

Merci pour l'astuce du cadenas, c'est chose faite :)
A vous lire.
W
 #84806  par El Magnifico
 
Re,

Avez vous créé un point de restauration ?.....NON ? Alors cliquez ICI


Image Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI


Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

Image => Avant d' utiliser tous les outils que l' on vous propose, enregistrez tous vos travaux en cours, à défaut vous perdrez tout votre travail en cours !


Image => Je vous invite dans un premier temps à désinstaller ces programmes inutiles cités dans le cadre , sauf votre avis contraire !

Pour obtenir directement l'accés à ces programmes :
Touches Windows Image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK


=> Defraggler ( Windows defragmente automatiquement une fois par semaine)
=> Mozilla Maintenance Service
=> TeamViewer 12 ( pas à jour)



Image
  • Desactivez votre antivirus le temps du telechargement et de la correction .

On attaque dans l’ dur Image



Image ZHPFix2 (de Nicolas Coolman)


1) INSTALLATION de ZHPFix

Téléchargez ZHPFix2 sur le bureau Image , puis cliquez sur le (bouton bleu) "Download Now"et enregistrez le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

Image

=> Surlignez toutes les lignes en cliquant sur "Tout sélectionner" ( commencent par Script ZHPFix et fini par fin) puis clic droit / Copier



Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.



Image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager


…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix2 ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton Image

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif Image


Image

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.

Il y aura un écran noir pendant un petit temps , pas de stress!!

Image

  • Image Si la machine reste bloquée , redémarrez la !
……………………………………………

4) HEBERGEZ le rapport ZHPFix.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque

.....................................

A vous lire Image
 #84809  par William Roy
 
Gérard El magnifico !
Merci pour cette réponse rapide !
J'ai suivi toutes les étapes que vous avez indiqué.
voici le lien Cjoint
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Je reste en veille jusqu'a 12h pour éventuellement continuer, sinon ce sera pour ce soir :)
Merci encore de votre aide.
 #84811  par El Magnifico
 
Parfait

On poursuit avec ces outils:
  • ADWCleaner
Image

Image Téléchargez la derniere version AdwCleaner sur votre Bureau => Image. (Enregistrer sous => bureau)

Attendre quelques secondes l' apparition de la fenetre de téléchargement.

Adwcleaner va rechercher les Adwares

Image

Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte"

Cliquez sur Analyser maintenant pour lancer l'analyse.

Si des détections malveillantes sont mises en évidence

Cliquer sur Nettoyer et réparer .

Image

L'utilitaire va fermer tous vos programmes pendant la suppression

Confirmez le Nettoyage et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.


Image
  • Tuto pour creer un lien avec Cjoint=> Image
Postez le rapport .

Note : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:
  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt
Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

Redemarrez la machine.

***************************************************************************************************
  • ZHPCleaner(de Nicolas Coolman)
Image


Image Téléchargez (clic sur le bouton bleu ) => Image et enregistrez sous / sur Bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

Image

  • Cliquez sur Image
  • Puis sur : Tout cocher / Fermer
Image

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".
La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix

Image

Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur Nettoyer


Image

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows Image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque



*****************************************************************************************************

  • MBAR


Image


Téléchargez MBAR sur votre bureau Image

Avec cet outil nous allons vérifier de suite si un rootkit se cache dans la machine.

Image


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" .

Dés que le “nettoyage” est terminé, un message s’affiche “Cleanup scheduled successfully” ainsi qu’une fenêtre, Cliquez dans cette fenêtre sur “Yes
Votre ordinateur redémarre.

Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=> Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :
  • Accès à Internet
  • Mise à jour de Windows
  • Pare-feu Windows
S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.



***************************************************************************************************
 #84839  par William Roy
 
Gérard,
merci pour cette nouvelle salve de manipulations.
Voici les rapports en question
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Mbar revient bredouille et l'ordinateur semble fonctionner.
Merci encore :)
W
Sujets similaires Statistiques Dernier message
question pour le Magnifico
par LeChe  dans : Analyse de rapports et Désinfection.
4 Réponses
691 Vues
par LeChe
Elément détecté pour le magnifico
par LeChe  dans : Analyse de rapports et Désinfection.
3 Réponses
684 Vues
par El Magnifico
( résolu ) vérification
par LeChe  dans : Analyse de rapports et Désinfection.
7 Réponses
5548 Vues
par ab_web
( résolu ) vérification
par LeChe  dans : Analyse de rapports et Désinfection.
3 Réponses
4218 Vues
par El Magnifico
( résolu ) superflus ?
par LeChe  dans : Analyse de rapports et Désinfection.
9 Réponses
5484 Vues
par LeChe