[olivierlm]

Bonjour,

Voici mon problème :
ma boite mail a été piratée. Lorsque je lance roguekiller, il me détecte deux PUMproxy et ZHPDiag 6 problèmes.

J'ai également constaté que le pc redémarrait la nuit.

voici les liens des rapports :
https://www.cjoint.com/c/HAktYPDIBo0
https://www.cjoint.com/c/HAkvQ3OSmD0
https://www.cjoint.com/c/HAkvR4NJe50
https://www.cjoint.com/c/HAkvSSlebC0
https://www.cjoint.com/c/HAkvVOS8SK0
https://www.cjoint.com/c/HAkvXX7zGz0

merci par avance

[El Magnifico]

Bonjour,

Bienvenue, je vais vous assister .

Je regarde vos liens et reviens vers vous


• Questions:

• • Réalisez vous des sauvegardes image du système sur un disque dur externe ainsi que les données que vous créez ?
  • Quel antivirus utilisez vous ?
  • Avez vous modifier le fichier Hosts ?
  • Utilisez vous Yahoo ?

Avez vous une idée sur cet executable => ssh-keygen.exe
En rapport avec ceci ?=> O42 - Logiciel: Git version 2.9.2 - (.The Git Development Community.) [HKLM][64Bits] -- Git_is1 =>.Open Source Developer, Johannes Schindelin®

Votre assistant : Gerard

[Modérateur]

Bonjour Messieurs


Gérard.

le keygen est légitime. Comme tu l'as vu il fait partie du Logiciel: Git

[olivierlm]

bonjour,

Je n'utilise pas yahoo.
Je n'ai pas modifié le fichier hosts mais comme je fais du dev avec un wamp c'est possible qu'il l'es été.
j'ai fait une sauvegarde sur D:
l'antivirus utilisé f-secure.
le ssh-keygen sert à générer des clefs ssh pour faire du dev en https.(pour dev)
Git est un outils de versionning de sourses comme svn (pour dev)

merci pour votre aide

[El Magnifico]

Bonjour olivierlm, Patrick

Merci pour ces précisions, j' étudie vos rapports et reviens vers vous dés que possible

Gerard

[El Magnifico]

Re,

Dans le correctif j' ai introduit les lignes orphelines, QuickTim, des restes de McAfee.
par contre je n' ai pas mis Avast SecureLine for Asustek, ne sachant pas si vous l'utilisez.

***********

Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI


Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

• Je vous invite dans un premier temps à désinstaller ces programmes inutiles , sauf votre avis contraire !

Pour obtenir directement l'accés aux programmes :
Touches Windows + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK

► Afficher le texte

Bonjour
Java ( pas à jour, s'il ne vous est pas utile , ne pas retelecherger)
QuickTime 7

On attaque dans l’ dur

ZHPFix (de Nicolas Coolman)




1) INSTALLATION de ZHPFix

Téléchargez ICI , Clic sous le compteur (bouton bleu clair) et enregistrez sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

• Démo animée => ICI

……………………………

2) ENREGISTREMENT du scriptZHPfix pour correctif.


Copiez tout ceci ( commence par Script ZHPFix et fini par Fin)

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une petite fenêtre d'avertissement apparait , la supprimer, placez le curseur de la souris dans la fenetre, puis clic droit coller => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu

…………………………………………..

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO

……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.

• Le rapport ZHPFix.txt se trouve sur le bureau

A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque

……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.

[olivierlm]

Merci pour votre réponse.

voici le lien du rapport : https://www.cjoint.com/c/HAlmkSC7a00
Cordialement,
Olivier

[El Magnifico]

Parfait Olivier

Vous allez continuer le nettoyage avec ces outils, si l'un bloque passez au suivant.

• ZHPCleaner(de Nicolas Coolman)
  • 
    
    
    Téléchargez (clic sur le bouton bleu en dessous du compteur) => ZHPCleaner et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US
    
    Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner
    
    Cet outil puissant supprimera des malveillants présents dans la machine
    
    Double cliquez sur ZHPCleaner pour l'exécuter.
    
    Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.
    
    Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.
    
    • Démo animée => ICI
    
    
    • • Cliquez sur Options
    
    Puis sur : Tout cocher / Valider / Fermer
    Cette option recherchera les fichiers vides ( Empty)
    
    
    • Pour exécuter une analyse , cliquez sur le bouton "Scanner".
    La fonction Scanner ne supprime aucun élément de l'ordinateur.
    
    La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.
    
    L 'analyse s'effectue...patienter quelques minutes.
    
    A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix
    
    
    
    • Le rapport se trouvera sur le bureau
    
    En cas de présence d'un proxy, un message apparaît avec la question suivante:
    - Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
    - Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
    En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
    - Avez-vous installé ce serveur ? suivi du nom du serveur.
    - Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.
    
    
    Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".
    
    La réparation s'effectue...patienter quelques minutes.
    
    Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.
    
    • Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
    Touches Windows + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK
    
    • Postez le rapport avec l’aide de Cjoint
    
    La procédure pour Cjoint est la suivante :
    Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
    Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque
    
    *****************************************************************************************************
    
    
    • MBAR
    
    
    
    
    
    Téléchargez MBAR sur votre bureau ICI
    
    Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.
    
    Démo animée ICI
    
    
    Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.
    
    · Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.
    
    · MBAR démarre. Cliquez sur "Next" pour continuer.
    
    · Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next
    
    · Cochez les 3 cases – Drivers-Sectors-System
    
    · Une fois la mise à jour terminée, sélectionnez "Scan"
    
    · Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"
    
    · Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" . Redémarrez votre ordinateur.
    
    Uniquement si des malveillants ont été détectés=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "System-log.txt" et collez le contenu des fichiers suivants dans votre prochaine réponse: "Mbar-log- {date} (xx-xx-xx) .txt"
    
    Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.
    
    S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :
    
    • Accès à Internet
    • Mise à jour de Windows
    • Pare-feu Windows
    S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.
    
    Vérifiez que votre système fonctionne désormais normalement.
    
    Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
    Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.
    
    
    ***************************************************************************************************
    
    • ADWCleaner
    
    
    Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => Lien direct. (Enregistrer sous => bureau)
    
    Adwcleaner va rechercher les Adwares
    
    Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI
    
    • Démo animée ICI
    Cliquez sur le programme pour l'exécuter.
    
    Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.
    
    Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.
    
    • Cliquez sur Outils puis Options puis cochez : Fichiers Prefetch ; Clés Tracing ; IFEO
    • Puis dans la colonne de droite : cochez en plus de Winsock ; IEPolicies ; Policies Chrome ; Parefeu ; validez par OK
    Cliquez sur Analyser pour lancer l'analyse.
    
    Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.
    
    Patientez le temps de l'analyse .
    
    Si des détections malveillantes sont mises en évidence, postez le rapport
    
    Cliquer sur Nettoyer .
    
    L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"
    
    Confirmez le redémarrage de l'ordinateur.
    
    Au redémarrage le rapport s'ouvrira dans le bloc note.
    
    • Démo animée pour creer un lien avec Cjoint=> ICI
    Postez le rapport .
    
    Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:
    
    • Analyse: AdwCleaner[Sxxx].txt
    • Nettoyage: AdwCleaner[Cxxx].txt
    Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même
    
    Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)
    
    En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil
    
    
    ***************************************************************************************************
    
    • Junkware Removal Tool
    
    
    
    Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. ICI (Bouton vert de gauche)(bleepingComputer)
    
    C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....
    
    Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !
    
    Faites un clic droit -> lancez le programme en tant qu'administrateur
    
    L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.
    
    Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.
    
    Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !
    
    Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .
    
    Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.
    
    Poster le rapport avec l’aide de Cjoint
    
    ***************************************************************************************************
    
    • Kaspersky Virus Removal Tool
    
    
    • Téléchargez sur ce site : ICI
    • A défaut sur PCA : Là
    Cet outil recherche les Malwares
    
    Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :
    
    · Fermez toutes les applications en cours d'exécution.
    
    · Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.
    
    Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.
    
    • Pour lancer l'application :
    1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
    2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
    3. Patientez jusqu'à la fin de l'initialisation.
    4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
    5. Cliquer sur Start scan
    6. Patientez jusqu'à la fin de l'analyse.
    7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
    8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
    9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
    10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.
    
    Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.
    
    A vous lire

[olivierlm]

Bonsoir,

voici le résultat des manip


https://www.cjoint.com/c/HAlsSIFoXH0
MBAR => RAS
https://www.cjoint.com/c/HAlsUQGZlV0
https://www.cjoint.com/c/HAlsV7jqLt0
KVRT => RAS

cordialement
Olivier

[El Magnifico]

Bonsoir Olivier

Ok,

Vous avez Roguekiller dans la machine, pouvez vous faire un scan et poster le rapport

Puis refaire un scan avec ZHPDiag , postez le rapport
Refaire un scan avec FRST, postez les 3 rapports