[sokolov]

Bonjour,
J'ai ici un ordi partagé par plusieurs utilisateurs et infesté par initialpage123.
Comme je n'ai pas trouvé de procédure fiable pour le désinstaller, je suis tombé sur ZHPDiag qui semblait être la solution la plus sure.
Je suis un peu surpris de devoir passer par un forum et demander l'aide d'un expert mais bon, pourquoi pas
Voici donc le lien vers mon rapport de diag http://pjjoint.malekal.com/files.php?id ... c13j5t9p11
Merci pour votre aide et bonne journée

[Pierre95]

Bonjour Sokolov,
Le Forum de Nicolas Coolman vit grâce à la publicité. Les désinfections sont gratuites.
Vous pouvez , si vous êtes satisfait, faire un don à Nicolas
voir ICI

--------------------------------------------------------------------------------
Si tu es d’accord, je peux t’aider pour désinfecter ton PC.
Mon prénom est Pierre et tu peux donner le tien, si tu le désires.
Si tu as des cracks , Keygens ou du P2P désinstalle les.
Durant la désinfection, ne fais aucune modification de ta propre initiative qui fausserait les rapports, ne passe pas d’autres outils de désinfections à part ceux que je te donne .
Si tu as posté sur d'autres forums, tu dois choisir celui que tu veux, mais pas travailler sur plusieurs à la fois .
Ceci dit:
Ton PC est infecté jusqu'au trognon: Il y a du boulot !!


Pour y voir plus clair , tu vas faire dans l'ordre:
CKScanner (de askey127)

Téléchargez et enregistrez CKScanner sur le Bureau.
CKScanner
Faites un double-clic sur CKScanner.exe pour lancer le programme.
(Sous Vista et ultérieur, faites un clic droit et choisissez "Exécuter en tant qu'administrateur")
Sur l'écran principal, cliquez sur le bouton "Search For Files". Après un court laps de temps, une liste s'affiche dans la partie droite de l'image.
Cliquez sur le bouton "Save List to File", un message annonce que le fichier a été enregistré, cliquez sur "OK"
Cliquez sur le bouton "Exit" pour fermer le programme.
Le rapport CKFiles.txt est sur le bureau
Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Vous pouvez fermer le programme
WINCHK

Tu va le télécharger en cliquant sur la ligne Ci dessous
Winchk
Tu double cliques dessus pour l'ouvrir
Tu cliques sur " executer "



Un rapport apparait sur le bureau.
envoie le en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
FRST de Farbar

Chargez la version qui convient à votre PC. La version 32 bits pour un pc en X86 (32bits) ou la version 64 bits pour un pc en X64 (64bits).
en cliquant ICI

Déposez Frst.exe sur votre bureau et pas ailleurs.
Regardez bien cette image, frst n'est pas un raccourci, il n'y a pas de flèche.



Maintenant que vous avez chargé la bonne version de l'outil, double cliquez dessus, puis validez le Disclaimer par "Ok"



Cochez en + les cases "MD5 Pilotes" // "Addition.txt" // "Shortcut" & "Fichiers 90 jours"
Cliquez sur "Analyser"
Patientez le temps que l'outil analyse votre pc.
Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Addition.txt & Shorcut.txt
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Les rapports attendus:Frst.txt // Addition.txt // shortcut.txt
Tu peux les retrouver aussi sous C:\FRST\logs

Pierre

[sokolov]

Wow! Quelle procédure et quel boulot... il est donc loin le temps où l'on avait qu'à installer un remover et à l'exécuter... Pfff
En tout cas, merci pour votre aide.
Voici les liens vers les fichiers demandés
Ckscanner
http://www.cjoint.com/c/GDrsDNomUsy

Winchk
http://www.cjoint.com/c/GDrsIJV0Lvy

Farbaf
addition
http://www.cjoint.com/c/GDrsVRGuZoy
First
http://www.cjoint.com/c/GDrsW2UT06y
Shortcut
http://www.cjoint.com/c/GDrsXWnjnVy

[Pierre95]

Bonjour Sokolov,
Il va y avoir de taff !!

J'ai remarqué des dossiers qui me semblent douteux
Après avoir démasqué Appdata:
Pour cela regarde ici comment faire:

Windows Vista, 7 et 8 : http://www.chantal11.com/2009/04/affich ... s-7-vista/

Note :Ne pas oublier de faire la manipulation inverse, surtout pour les dossiers protégés du système d'exploitation

Peux tu me dire si les dossiers en rouge sont vides ?

*

C:\Program Files\7i361bv9
C:\Program Files\f09er35s
C:\Users\Melanie\AppData\Roaming\.#

*

S'ils ne le sont pas tu vas me les tester par Virus Total
Tu commences par le premier
Au préalable, tu vas être obligé de le zipper.
Pour cela tu vas te déplacer dans l'arborescence pour arriver au dossier en rouge.
Tu cliques droit dessus puis envoyer vers dossier compressé
Un dossier .zip ou . rar sera crée à coté de ton dossier .
C'est ce dossier que tu vas tester par Virus Total
Clique sur ce lien Virus Total

Sélectionne l’onglet fichier
Clique sur “ choisir un fichier ” et indique le chemin du fichier en te déplacant dans l’arborescence, puis sur “ouvrir”. Clique sur “ analysez ”
Au bout de quelques minutes, un rapport est généré.
Si on te dit que le fichier a été analysé clique sur “ réanalyser ”
Fais un copié -collé de l'URL de la réponse (ce qui est encadré en rouge ci dessous) que tu postes dans ta réponse



.
Tu peux t'aider de ce Tuto pour cela.
Ceci fait tu peux mettre à la poubelle ton fichier compressé
Ayant fait le premier dossier, tu passes au second et enfin le 3eme
Au total, tu me fournis 3 liens internet
Pierre

[sokolov]

Bonjour Pierre.

Le dossier 7i361bv9 contient un sous dossier nommé {67F558CE-9747-4896-A45A-8220951C4964} qui lui-même est vide. Je ne l'ai donc pas scanné avec virustotal.

Le dossier f09er35s contient un sous dossier nommé {C12572FC-A719-4CAC-8BE1-AC52BF157802} qui contient un fichier nommé 9ur4zpzx.h1d. Voici le lien du rapport virustotal.
https://www.virustotal.com/en/file/3f50 ... 492695641/

Le dossier .# contient 4 fichiers nommés comme suit MBX@1194@21124D8.###;MBX@1194@2112508.###;MBX@1920@3724D8.###;MBX@1920@372508.###. Voici le lien du rapport virustotal.
https://www.virustotal.com/en/file/75cc ... 5865/#.zip
Encore merci et bonne journée
Steve

[Pierre95]

Hello Steve,

Nous avons débusqués de nouvelles merdouilles dont l'une à l'air bien pourrie faisandée avec Virus Total !!
Tu va faire dans l'ordre:
1 - Frst correctif

Enregistre sur ton bureau au même endroit que FRST.exe le fichier fixlist.txt téléchargé ci dessous
*
https://1fichier.com/?lcjhnfy95e
*
Comme sur la capture ci-dessous
Que les cases soient cochées ou pas cela n'a pas d'importance.



Maintenant lance FRST.exe en double cliquant dessus



puis clique sur " CORRIGER " puis valide le Disclaimer par " OK "
Laisse l'outil faire son job, c'est normalement assez rapide
Poste le rapport Fixlog.txt quand celui-ci est obtenu en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Tu vas passer dans l'ordre tous ces outils uniquement en scan pour le moment sauf le dernier MBAM ou tu pourras mettre toutes les menaces détectées en quarantaine

2 - ZHPCLEANER en scan
On continue l'osculation de ton PC
Télécharge ZHPCleaner (de Nicolas Coolman) => http://www.nicolascoolman.fr/download/zhpcleaner/
Installes le. Désactives temporairement ton antivirus. Lances le programme



Clique sur SCANNER

-------------------------------------------------------------------------------
Notes:

1 - Durant le nettoyage, si l'outil te demande "Avez vous installé ce proxy ?" suivi de l’adresse IP du Proxy et que tu n'en as pas installé, clique sur "Non"
2 - S’il te demande Voulez vous remplacer la page d'accueil ?, et que tu ne la connais pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui",
3 - S’il te demande Avez vous installer ce serveur ? suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”

--------------------------------------------------------------------------------
Un rapport va s'ouvrir.S’il ne s’ouvre pas, appuies sur le bouton Rapport avec un grand T.



Tu l'enregistres sur ton bureau par exemple.
Envoie le nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
3 - ADWCLEANER en mode scan

Télécharger Adwcleaner sur le bureau en cliquant ICI
Cliquer sur l'icône du fichier obtenu adwcleaner.exe
Autoriser les modifications. ( Demande du contrôle des comptes d'utilisateur si c'est votre cas)



Dans la fenêtre de l'outil, cliquer sur "Analyser"



Quand l'analyse est terminée, clique sur le bouton RAPPORT ,un rapport AdwCleaner[S1].txt apparait
Il est aussi enregistré dans : C:\AdwCleaner[S1].txt



Enregistre le rapport sur le bureau et envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
4- ROGUEKILLER en scan

Télécharges Roguekiller sur ton bureau ICI
Quitte absolument tous tes travaux en cours et ferme toutes les applications
Lance Roguekiller en cliquant sur son exe ( clique droit exécuter comme administrateur )
Lance l'exécution de RogueKiller en cliquant sur Démarrer le scan



Dans la fenêtre qui s'ouvre, clique sur Démarrer le scan



Le scan se déroule, patienter le temps de celui-ci



A la fin du scan, clique sur Historique puis sur Rapports de scan (à gauche) et tu choisis le dernier effectué (suivant date et heure) en cliquant dessus



Dans la fenêtre qui s'ouvre, clique sur Ouvrir TXT




Le rapport s'ouvre, enregistre le sur le bureau
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
5 - MBAM avec suppression

Télécharger le programme ICI et enregistrer le sur votre Bureau
http://downloads.malwarebytes.org/file/mbam/
Ensuite double-clic sur le fichier et l'installation commence.
Laissez vous guider par l'assistant d'installation: choix de la langue, acceptation de la licence, ..etc ...cocher la case « Ne pas créer de dossiers dans le menu demarrer »
Maintenant que MBAM est installé, clique sur Paramétres / mon compte (1) puis Désactiver l’essai premium (2) puis Yes (3)



Tu vas paramétrer MBAM en allant dans Parametres (1) puis Protection (2) puis en paramétrant les Options d'analyse comme sur la figure ci dessous (3) et (4)



Ceci fait tu vas Lancer un scan en cliquant l'onglet " Tableau de bord " puis en cliquant sur " Analyser maintenant "
L'examen démarre , ne pas l'interrompre.

Vous serez informé du résultat par le programme,

s'il y a des détections malveillantes, cocher les toutes et cliquez sur "Supprimer la sélection".

Acceptez le redémarrage de la machine si c'est demandé par le programme.
Pour avoir le rapport, tu cliques dans l'onglet " Compte rendu ", tu coches la case du compte rendu d'analyse de la date d' aujourd'hui puis sur "afficher le compte rendu "



Dans la fenêtre qui s'ouvre, tu cliques sur " exporter ", puis sur fichier texte (*.txt), tu le nommes MBAM.txt et tu l'enregistres sur ton bureau

Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Au plaisir de te lire,

Pierre

[Pierre95]

Plus de nouvelle depuis une semaine
Retire ma prise en charge et retiré de mes suivis
Pierre

[Pierre95]

Bonjour Steve,
Suite à ton message privé,
Je veux bien reprendre ta demande mais à la condition qu'au maximum , il y ai un réponse à une de mes demandes avant les 3 jours ou que tu me préviennes.
Sinon j'arrete définitivement pour ne pas léser les autres demandeurs plus respectueux.
Car il y a très peu de helpers et malheureusement plein de gens comme toi qui infectent leur PC.
Dans l'attente de mes directives du jeu. 20 avr. 2017 18:13
Pierre

[sokolov]

Encore pardon pour cet incident et merci de bien vouloir continuer le suivi.
Voici les liens relatifs à tes dernières instructions.

fixlog.txt
http://www.cjoint.com/c/GDDjpykVYpy

Rapport zhpcleaner
http://www.cjoint.com/c/GDDjKx0X20y

Rapport adwcleaner
http://www.cjoint.com/c/GDDjSWooDyy

Rapport Roguecleaner
http://www.cjoint.com/c/GDDlXfpOKIy

Rapport MBAM
http://www.cjoint.com/c/GDDndSMwzFy

Merci

[Pierre95]

C'est OK
Tu vas faire dans l'ordre:
1 - ZHPCLEANER en nettoyage

On poursuit le nettoyage

Désactive temporairement ton antivirus. Relance le programme



Cliques sur scanner

Notes:

1 - Durant le nettoyage, si l'outil te demande "Avez vous installé ce proxy ?" suivi de l’adresse IP du Proxy et que tu n'en as pas installé, clique sur "Non"
2 - S’il te demande "Voulez vous remplacer la page d'accueil ?", et que tu ne la connais pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui",
3 - S’il te demande "Avez vous installer ce serveur ?" suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”

Quand tu accéderas à l'interface de désinfection, tu laisseras coché toutes les lignes et tu cliqueras sur nettoyer
Un rapport va s'ouvrir. S’il ne s’ouvre pas, appuies sur le bouton Rapport avec un grand T.



Enregistre le sur ton bureau.
Envoie le nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
2 - ADWCLEANER en mode nettoyage

on va nettoyer
clique sur ADWCleaner pour le lancer
clique sur " analyser "



Quand, il affiche les menaces, clique sur "nettoyer"
A la fin, le rapport de nettoyage va s'afficher
S’il n’apparait pas, tu peux cliquer sur le bouton “ Rapport “ . Il est aussi sous C:\AdwCleaner[C1].txt
Enregistre le rapport sur le bureau et envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Vous pouvez fermer le programme
3 - ROGUEKILLER en suppression

Maintenant tu vas nettoyer ce qu'a trouvé Roguekiller
Tu coches toutes les cases
Tu cliques sur Supprimer Sélection



Tu cliques sur Ouvrir Rapport
Tu cliques sur Exporter TXT pour l'enregistrer sur ton Bureau
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
4 - JRT

Télécharge Junkware Removal Tool de Thisisu et enregistre le fichier sur ton Bureau ICI
Ferme toutes les applications, y compris ton navigateur, arrête les protections résidentes antivirus/antimalware
Double-clique sur l'icône JRT.exe pour lancer l'installation
!\Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateurL'application se lance, appuyer sur une touche pour continuer



L'outil sauvegarde le Registre avec Erunt



Patientez le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.



A la fin du scan, un rapport JRT.txt s'ouvre.
Le rapport est enregistré sur le Bureau.
Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
5 - ZOEK

Charge cet outil Zoek By Smeenk

ICI

Désactive ton antivirus car Zoek.exe sera sans doute supprimé au chargement, l'outil est reconnu néfaste mais ne l'est pas, c'est un faux positif.
==> Ferme tous tes navigateurs internet
Double clique sur l'exe, pour obtenir ceci



Tu copies colles dans le cadre les deux lignes bleues en gras ci dessous l'une en dessous de l' autre:

createsrpoint;
autoclean;

Clique sur " Run Script "
La fenêtre de l'outil disparait un instant puis affichera ce texte:

Zoek.exe is running now.Do not start any browser windows, they may get closed automatically.

Please wait! This window will close when finished.

A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log

Patiente le temps que l'outil produise son rapport.
A la fin, un compte rendu ZOEK-RESULTS.TXT apparait sur le bureau, Tu peux aussi le trouver sous C: sous la forme C:\zoek-results2014-04-06-000151.log
Envoie les nous en les hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Pierre