Besoin d'une aide pour analyser le rapport de ZHPDiag suite à une tentative de piratage de PC

[mpiviot78]

Bonjour, J'ai besoin d'une aide pour analyser le rapport de ZHPDiag suite à une tentative de piratage de mon PC.

Cordialement.
-----

[LongaRipa]

Bonjour

Il serait judicieux de poster le rapport en question , si vous voulez qu'on y jette un coup d'oeil.

Dans un souci de confidentialité, les rapports doivent être postés en pièces jointes

[mpiviot78]

Merci pour votre réponse ci-joint le fichier de diagnostic.

##### lien supprimé

[JPL]

Comme indiqué les rapports doivent être postés en pièces jointes et non sur un serveur externe. Merci.

[A voir en vidéo sur Futura]

[mpiviot78]

j'ai essayé de poster le fichier mais ul fait 340ko et la limete est de 143ko!

[JPL]

Zippe-le, tout simplement. C’est la première fois que je vois signaler un rapport trop lourd.

[mpiviot78]

ci-joint le fichier zipé

[LongaRipa]

Bonjour

Rien de significatif.
On va faire une autre analyse :

Pour cela ,

Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)

Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.

Cliquer ici pour la version 32 bits
Cliquer ici pour la version 64 bits

Info : comment savoir quelle version de Windows j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
• Cliquer sur le bouton Analyser.
  
  
  
• L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
• A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.

Poster les deux rapports générés.

Dans un souci de confidentialité, les rapports doivent être postés en pièces jointes


Sont attendus les rapports :
frst.txt
addition.txt

[mpiviot78]

Ci-joints les fichiers demandées.
Slts.

[LongaRipa]

Re

Votre antivirus Avira n'est pas a jour
Vous avez des versions de Java obsoletes.

Une ligne me semble douteuse :
Task: {E3F597FF-B899-4D1C-9DED-8974977DD038} - System32\Tasks\CloudAURORAVILL E => cloudauroraville.exe <==== ATTENTION

Connaissez vous ce programme , cloudauroraville.exe ?

On fera un peu de nettoyage , mais , avant , on va effectuer deux autres analyses :


AdwCleaner - Analyser :

• Télécharger AdwCleaner de Malwarebytes et enregistrer le fichier sur le Bureau
  Patienter le temps que le navigateur propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Fermer toutes les applications, y compris le navigateur
• Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
• Sur le menu principal, cliquer sur Analyser
• Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Rapport
• Un rapport AdwCleaner(Sx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).t xt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

Dans un souci de confidentialité, les rapports doivent être postés en pièces jointes


Malwarebyte's antimalware Mode analyse uniquement

Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
Clique-droit sur le fichier mbam-setup.exe > exécuter en tant qu'administrateur pour lancer l'installation

A la fin de l'installation:

• Clique sur Terminer. Malwarebyte's s'ouvre
  
• Dans l'onglet parametres >> protection , Positionnez les parametres comme sur la photo
• Lancer l'examen >> Analyse Maintenant
• Attendez que l'examen se termine
• Cliquez sur l'onglet Comptes-rendus .
• Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
• Cliquez sur Afficher Exporter.
• Cliquez sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
• Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
• Cliquez sur OK

Tutoriel Malwarebytes en images

Dans un souci de confidentialité, les rapports doivent être postés en pièces jointes


2 rapports à poster :


AdwCleaner(Sx).txt
mbam

[mpiviot78]

ci-joints fichiers demandées.
Je ne sais pas si j'ai précisé mais ce pb vient suite à une prise de contrôle de l'ordinateur à distance (ma femme a téléphoné à une pseudo assistance informatique).
slts.

[LongaRipa]

Re

Je ne sais pas si j'ai précisé mais ce pb vient suite à une prise de contrôle de l'ordinateur à distance (ma femme a téléphoné à une pseudo assistance informatique).

Non , vous ne l'aviez pas indiqué.
En général, ces assistances cherchent seulement à vous faire payer , et ne mettent pas de malwares dans la machine.
On va commencer par un nettoyage avec Malwarebyte's antimalware .

Malwarebyte's antimalware Nettoyage

• Click-droit sur [b]MBAM/b].exécuter en tant qu'administrateur
• Malwarebyte's s'ouvre
  
• Dans l'onglet parametres >> protection , Positionnez les parametres comme sur la photo
• Lancer l'examen >> Analyse Maintenant
• Quand l'examen est terminé, si des éléments ont été détectés,
• cliquez sur Appliquer les actions
• Pour laisser MBAM nettoyer ce qui a été détecté.
• Si un redémarrage est demandé, clique sur Yes.
• Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
• Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
• Cliquez sur l'onglet Comptes-rendus .
• Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
• Cliquez sur Afficher Exporter.
• Cliquez sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
• Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
• Cliquez sur OK

Tutoriel Malwarebytes en images

Dans un souci de confidentialité, les rapports doivent être postés en pièces jointes

Une fois ceci fait , vous refaites l'analyse avec FRST , comme indiqué dans mon message # 8 , et vous postez les 2 rapports .

3 rapports attendus :

Mbam
frst.txt
addition.txt

[mpiviot78]

Ci-joint s rapports attendus.

[LongaRipa]

Tres bien

Avant de poursuivre le nettoyage , 2 questions :

1) Utilisez vous hxxp://amsterdam-01-nl.connectge.com ? une connexion à GE , visiblement ...

2) Quel jour s'est passée la prise de controle par l'"assistance" ?

[mpiviot78]

Bonjour,
1/ lje n’utilise plus la connexion à GE, je l'ai desinstaller

2/ Ma femme a appeler l assistance à deux reprise le 20 auout vers 20h et le 20 et 21 Aout de 23h à 1h environ.

[LongaRipa]

Ok .

1) Désinstallez , par le panneau de configuration , :

Java 8 Update 111
Java 8 Update 121
Java SE Development Kit 8 Update 121
Java SE Development Kit 8 Update 91 Ces versions sont obsoletes .

QuickTime 7
QuickTime for Windows (32-bit) N'est plus supporté par Apple . Sauf si vous en avez vraiment besoin ...


2) Suppression des résidus laissés par l'"assistance"
FRST - Correctif :

• Fermer toutes les applications, y compris le navigateur
• Exécuter FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Copier la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> http://textup.fr/286376CB
• Inutile de le coller , ca sera fait automatiquement par le programme. Il faut juste copier .
• Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction
  
• Accepter le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la prochaine réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

1 rapport à poster
Fixlog.txt.

[mpiviot78]

ci-joint le rapport

[LongaRipa]

Ok .

Il reste à mettre l'antivirus AVIRA a jour .

Comment se comporte le pc ?

[mpiviot78]

Je viens de connecter le PC à internet, après la mise à jour d'avira et redemarage, Avira ne se lance pas et j'ai été obligé de le reinstaller avec les mises à jours qui vont bient et là ça a l'air de fonctionner normalement.

Merci beaucoup pour votre support et le temps consacré.

[LongaRipa]

Re

On va nettoyer les outils utilisés :

Télécharger DelFix (de Xplode) sur le bureau.

• Fermer toutes tes fenêtres, puis faites un clic droit -> "Exécuter en tant qu'administrateur" DelFix.exe pour le lancer.
• Cochez les cases : , "Supprimer les outils de desinfection" et "Purger la restauration systeme"
• Cliquer sur le bouton "Exécuter"
• Laisser travailler l'outil.
• Le rapport est enregistré dans à la base du disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans la prochaine réponse.

Quarantaine de Malwarebytes :

Lancer Malwarebytes (clic droit exécuter en tant qu'administrateur)
Dans l'onglet Quarantaine, sélectionner tout et cliquer sur Supprimer

****************************** ****************************** ******

/!\ Quelques conseils de prudence et de prévention: /!\


Des fichiers malveillants se sont introduits sur votre ordinateur, le plus souvent lors d'installation de logiciels téléchargés.
Ils peuvent ralentir votre ordinateur, vous inonder de publicités , collecter/dérober des informations personnelles, crypter vos fichiers et d'autres actions désagréables.

• Il faut prendre le temps de lire les conditions d'utilisation qui s'affichent lors d'une installation, avant de les accepter, ou de les refuser .[/li]
• Il faut aussi refuser l'installation de logiciels proposés (par l'intermédiaire de cases cochées d'avance) [/li]
• Ne télécharger des logiciels que sur des sites de confiance , de préférence sur le site de l'éditeur .[/li]

Un peu de lecture : Stop aux pubs et aussi Un exemple d'application "piégée"


Méfiez vous aussi des pièces jointes reçues dans votre messagerie. Ne cliquez jamais dessus directement.
Enregistrez la , et scannez la avec un antivirus , et si vous ne connaissez pas l'expéditeur, direction poubelle sans l'ouvrir.

Méfiez vous de l'utilisation de logiciels P2P,(peer-to-peer,comme µTorrent), cracks ( Ils sont très souvent être infectés).
A lire aussi !
N'installez pas de logiciel "miracle" censé accélérer votre ordinateur, ou le réparer.

Scannez régulièrement votre système avec votre antivirus .
Maintenez votre système et vos logiciels à jour , surtout l' antivirus et les navigateurs .

N'oubliez pas qu'un comportement responsable et prudent est la première et la meilleure des protections


Quant aux soi-disants sociétés d'assistance , ce sont des arnaques pour vous faire payer leurs services .
Ne jamais les appeler et ne jamais les laisser prendre la main sur votre pc ...

[mpiviot78]

Ci-joint le rapport DelFix et merci encore:

# DelFix v1.013 - Rapport créé le 02/09/2018 à 17:37:48
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : IMAZIGH - PC-FAMILLE
# Système d'exploitation : Windows 10 Home (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\IMAZIGH\Desktop\Addit ion.txt
Supprimé : C:\Users\IMAZIGH\Desktop\Fixlo g.txt
Supprimé : C:\Users\IMAZIGH\Desktop\FRST. txt
Supprimé : C:\Users\IMAZIGH\Desktop\FRST6 4.exe
Supprimé : C:\Users\IMAZIGH\Downloads\adw cleaner_5.014.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Purge de la restauration système ...

Supprimé : RP #16 [Point de contrôle planifié | 08/13/2018 11:35:35]
Supprimé : RP #19 [Point de contrôle planifié | 08/27/2018 10:56:21]
Supprimé : RP #20 [Removed TomTom HOME. | 09/01/2018 07:59:22]
Supprimé : RP #25 [Removed Bonjour | 09/02/2018 11:46:00]

Nouveau point de restauration créé !

########## - EOF - ##########

[LongaRipa]

Tres bien .

Vous pouvez reprendre une activité normale ......

Bonne continuation et prudence sur le net

[mpiviot78]

Ok tout refonctionne nickel, merci encore!