Virus ou cheval de troie

Résolu
fra-boul Messages postés 7 Date d'inscription   Statut Membre Dernière intervention   -  
jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour
depuis une quinzaine de jours j'ai des fenêtre qui s'ouvrent sur internet de manière intempestive ( entre autre "xmediaserve") je pense à un cheval de troie
Malgré plusieurs scan ,je n'arrive pas à m'en débarrasser? pourriez vous s'il vous plait m'aider

11 réponses

  1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Salut

    Probablement des adwares !

    Tu peux lancer un diag si tu veux :
    ZHPdiag:

    ►Télécharger >ZHPdiag sur le bureau
    ►►Ou utiliser ce lien si le précédent lien ne fonctionne pas
    ►Une fois téléchargé sur le bureau, lance-le
    /!\ Les Utilisateurs de Windows Vista-7-8-10 , Cliquer droit sur l'icône ZHPdiag puis "exécuter en tant qu'Administrateur"

    ►Cliquer ensuite sur "Scanner"

    ►Laisser travailler l'outil sans rien toucher même s'il semble bloqué !
    ►A la fin du scan, le rapport s'affiche et sera enregistré sur le bureau.
    ►Merci de poster ce rapport dans ta prochaine réponse.
    ►si tu ne sais pas comment poster un rapport voici une explication >>ICI<<
    0
  2. fra-boul Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonsoir et merci de m'avoir répondu si vite
    voici le rapport http://www.cjoint.com/c/FIEr7Q4Taj1
    Cdt
    0
  3. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    ;)

    Lire ceci◄ avant de continuer ...
    "Nous ne vous conseillons pas d’installer ou d’utiliser KMSpico, car rien n’est vraiment gratuit et ce dernier peut être la source potentielle de divers désagréments comme l’apparition intempestive de pub, ralentissement important des performances de l’ordinateur, forcer l’utilisation de proxy, voler des mots de passes, vous rediriger vers des faux sites …"


    -1 ) ADWcleaner (de Xplode)

    ► Télécharger ADWcleaner sur le bureau
    ► Lancer adwcleaner ► Clic droit → "Exécuter en tant qu'administrateur"
    Accepter les conditions d'utilisations
    ► Cliquer sur [Analyser]

    //
    Une fois l'analyse terminée :
    ► Cliquer sur [Nettoyer]
    ► A la fin du nettoyage, le programme proposera un redémarrage ... Accepter
    ► Après redémarrage du pc, un rapport sera créé et s'ouvrira → Adwcleaner[xx].txt → Faire [Fichier] ► "Enregistrer Sous" ... Bureau
    ►► Ce rapport se trouve également dans C:\AdwCleaner\AdwCleaner[--].txt
    • Merci de poster le rapport dans ta prochaine réponse.
      • si tu ne sais pas comment poster un rapport voici une explication >> ICI


    ====================================

    -2 )MalwareBytes Anti-Malware

    Faire une analyse avec MBAM comme indiqué ci-dessous :

    /!\ L'analyse prend un certain temps ... ne pas interrompre l'outil

    Important :
    En fin d'installation ne pas oublier de décocher ["activer l'essai gratuit de Malawarybyte anti-malware"]
    Avant de lancer l'analyse ne pas oublier de cocher "Recheche de Rootkits" (comme ceci)

    → Suivre ►►ces explications◄◄ Pour Télécharger et réaliser l'analyse personnalisée.

    /!\ /!\ Une fois l'examen terminé vérifier que toutes les détections sont bien cochées, puis cliquer sur [Supprimer la sélection] (comme illustré ici)

    /\

    ======================================
    Pour enregistrer un rapport
    ======================================

    Tu peux enregistrer le rapport MBAM.txt sur le bureau et le poster dans ta prochaine réponse comme indiqué ci-dessous:







    2 rapports attendus dans ta prochaine réponse :
    • adwcleaner.txt
    • MBAM.txt


    Contributeur sécurité
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Ok parfait ,)

    A présent, Un nouveau scan zhpdiag

    ZHPdiag:

    ► lancer
    /!\ Les Utilisateurs de Windows Vista-7-8-10 , Cliquer droit sur l'icône ZHPdiag puis "exécuter en tant qu'Administrateur"

    ►Cliquer ensuite sur "Scanner"

    ►Laisser travailler l'outil sans rien toucher même s'il semble bloqué !
    ►A la fin du scan, le rapport s'affiche et sera enregistré sur le bureau.
    ►Merci de poster ce rapport dans ta prochaine réponse.
    0
  6. fra-boul Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    voici le rapport

    http://www.cjoint.com/c/FJcrSC5ngy1
    0
  7. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Re:

    Dans cette ordre

    1 - ► ZHPfix
    2 - ► ResetBrowser

    =================================

    1 - ZHPfix

    Voici la correction à apporter avec zhpfix et on voit ensuite
    • Télécharger et enregistrer Zhpfix sur ton bureau
    • lancer zhpfix, il va s'installer sur le pc,
    • /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur le logo de ZHPfix et "exécuter en tant qu'Administrateur"

    /!\ Avertissement /!\
    ce script est spécialement rédigé pour ce pc en cours du nettoyage, ne pas utiliser ce script sur un autre pc, Risque de Plantage !
    • Lancer ZHPFix via le raccourci qui se trouve sur le Bureau. "L'icône ressemble à une seringue".
    • Cliquer sur "importer" > Une fenêtre d'avertissement apparait cliquer sur OK
    • Copier ( Ctrl + C ) et coller ( Ctrl + V ) les lignes ci-dessous en gras dans la fenêtre de Zhpfix.


    Script ZHPFix
    SysRestore
    O23 - Service: Service KMSELDI (Service KMSELDI) . (.@ByELDI - Service_KMS.) - C:\Program Files\KMSpico\Service_KMS.exe
    O39 - APT: AutoPico Daily Restart - (.@ByELDI.) -- C:\WINDOWS\System32\Tasks\AutoPico Daily Restart [2392]
    O39 - APT: {25671052-EC02-105C-FAE7-05228DB83907} - (...) -- C:\WINDOWS\Tasks\{25671052-EC02-105C-FAE7-05228DB83907}.job [306] (.Orphan.)
    O39 - APT: {25671052-EC02-105C-FAE7-05228DB83907} - (...) -- C:\WINDOWS\System32\Tasks\{25671052-EC02-105C-FAE7-05228DB83907} [2716] (.Orphan.
    O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    O42 - Logiciel: KMSpico - (...) [HKLM][64Bits] -- {8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1
    O43 - CFD: 26/09/2016 - [] AD -- C:\Program Files\KMSpico
    O43 - CFD: 23/09/2016 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico
    O43 - CFD: 30/09/2016 - [0] D -- C:\WINDOWS\System32\Config\systemprofile\AppData\Local\SPRT
    [MD5.264EDE4F3AD480A8F02C72008EEE4129] [APT] [AutoPico Daily Restart] (.@ByELDI.) -- C:\Program Files\KMSpico\AutoPico.exe [965776] (.Activate.)
    [MD5.17AC95B349CCF5DC5F9792B0C5217E36] - (.@ByELDI - Service_KMS.) -- C:\Program Files\KMSpico\Service_KMS.exe [965776] [PID.2760]
    [MD5.00000000000000000000000000000000] [APT] [{25671052-EC02-105C-FAE7-05228DB83907}] (...) -- C:\Users\FRADIN~1\AppData\Local\{4C087~1\UNINST~1.EXE (.not file.) [0] (.Activate.)
    SR - Auto [26/10/2014] [ 965776] Service KMSELDI (Service KMSELDI) . (.@ByELDI.) - C:\Program Files\KMSpico\Service_KMS.exe
    C:\Program Files\KMSpico
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico
    C:\Program Files\KMSpico\Service_KMS.exe
    C:\Program Files\KMSpico\AutoPico.exe
    C:\WINDOWS\System32\Tasks\AutoPico Daily Restart
    HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI
    HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    HKCU\SOFTWARE\ProPCCleanerConfig
    HKCU\SOFTWARE\undefined
    EmptyTemp
    EmptyCLSID
    FirewallRAZ
    EmptyFlash
    ProxyFix
    EmptyPrefetch
    ShortCutFix
    • Cliquer sur le bouton "GO" pour lancer le nettoyage puis Confirmer le nettoyage

    • Redémarre le pc ... et dans ta prochaine réponse, dis moi comment se comporte le pc stp .
    • Un rapport ZHPfix.txt se trouvera sur le bureau...
      • Merci de poster ce rapport (zhpfix) dans ta prochaine réponse.


    ==================================

    2 - RestBrowser
    Réinitialiser les navigateurs à l'aide de ce logiciel. Cela ne supprimera pas les mots de passe et les favoris, en revanche, il sera nécessaire de réinstaller les modules complémentaires
    • Télécharger resetbrowser sur le bureau
    • Pour lancer ResetBrowser :
      /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur Resetbrowser  et "exécuter en tant qu'Administrateur"

    //

    \\
    • 2) Réinitialisation des navigateurs :

    ► Dans ton cas, tu vas réinitialiser uniquement [Chrome et Internet Explorer]
    • Cliquer sur "Réinitialiser Chrome" (...)
    • Enfin :
    • Cliquer sur "Réinitialiser Internet Explorer" (...)



    0
  8. fra-boul Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    RE

    Voici mon dernier rapport
    https://www.cjoint.com/c/FJcsZfeGKE1

    Apres toutes ces manips suivi à la lettre , mon PC se comporte bien, je me laisse 24 h pour voir si tous fonctionne. A moins qu'il y est encore des choses a faire
    Merci encore pour cet aide , je vous tiens informé de l'évolution rapidement
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Pas de souci, on voit a ton retour pour terminer si tu veux
      Fais quelques testes de navigations et on regardera pour optimiser ton pc
      "desactiver quelques programmes au demarrage par exemple.ou des services"
      0
  9. fra-boul Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    bonsoir
    Apres plusieurs essais de navigation, je suis ravi de ne plus avoir de fenêtres intempestives et d’être parvenu, grâce a votre aide, à éliminer ce "virus".
    je suis preneur pour avoir des infos supplémentaires pour booster mon PC
    0
  10. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Ravi d'avoir pu t'aider ;)

    Ci-dessous voici un script zhpfix qui te permettra de désactiver au démarrage de Windows les programmes suivant:

    DAEMON Tools Lite
    OneDrive
    TomTom
    TrojanScanner

    "Tu pourras quand même les utiliser a la demande."

    → Cependant, je te conseille de désinstaller TrojanScanner(de Simply Super Software)
    Il est inutile de le conserver . De plus, tu a MalwareBytes AntiMalware d'installé sur ton pc ... qui (a mon sens) est très efficace...

    ►►Si tu es ok pour désactiver les programmes évoqués ci-dessous , voici le script zhpfix à exécuter :

    /
    /
    /

    lancer zhpfix via le raccourci qui se trouve sur le Bureau. "L'icône ressemble à une seringue". :

    /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur le logo de ZHPfix et "exécuter en tant qu'Administrateur"

    /!\ Avertissement /!\
    ce script est spécialement rédigé pour ce pc en cours du nettoyage, ne pas utiliser ce script sur un autre pc, Risque de Plantage !


    ►Cliquer sur "importer" > Une fenêtre d'avertissement apparait cliquer sur OK
    ►Copier ( Ctrl + C ) et coller ( Ctrl + V ) les lignes ci-dessous en gras dans la fenêtre de Zhpfix.

    script zhpfix
    SysRestore
    OPT:O4 - HKUS\S-1-5-21-3569921731-2548163189-3911444227-1001\..\Run: [DAEMON Tools Lite] . (.Disc Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe =>.Disc Soft Ltd®
    OPT:O4 - HKCU\..\Run: [DAEMON Tools Lite] . (.Disc Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe =>.Disc Soft Ltd®
    OPT:O4 - HKCU\..\Run: [OneDrive] . (.Microsoft Corporation - Microsoft OneDrive.) -- C:\Users\Fradinemaryo\AppData\Local\Microsoft\OneDrive\OneDrive.exe =>.Microsoft Corporation®
    OPT:O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] . (.Microsoft Corporation - Microsoft OneDrive Setup.) -- C:\Windows\SysWOW64\OneDriveSetup.exe =>.Microsoft Corporation®
    OPT:O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] . (.Microsoft Corporation - Microsoft OneDrive Setup.) -- C:\Windows\SysWOW64\OneDriveSetup.exe =>.Microsoft Corporation®
    OPT:O4 - HKUS\S-1-5-21-3569921731-2548163189-3911444227-1001\..\Run: [OneDrive] . (.Microsoft Corporation - Microsoft OneDrive.) -- C:\Users\Fradinemaryo\AppData\Local\Microsoft\OneDrive\OneDrive.exe =>.Microsoft Corporation®
    OPT:O4 - HKCU\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe =>.TomTom International BV®
    OPT:O4 - HKUS\S-1-5-21-3569921731-2548163189-3911444227-1001\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe =>.TomTom International BV®
    OPT:O4 - HKLM\..\Wow6432Node\Run: [TrojanScanner] . (.Simply Super Software - Trojan Scanner.) -- C:\Program Files (x86)\Trojan Remover\Trjscan.exe =>.Simply Super Software®
    ServiceDemand:Bonjour Service
    ServiceDemand:TomTomHOMEService
    FirewallRAZ
    EmptyTemp
    EmptyFlash
    EmptyPrefetch
    EmptyCLSID
    • Cliquer sur le bouton "GO" pour lancer le nettoyage puis Confirmer le nettoyage

    • Redémarre le pc ...
    • Un rapport ZHPfix.txt se trouvera sur le bureau...
      • Merci de poster ce rapport (zhpfix) dans ta prochaine réponse.


    ++
    0
  11. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Ok ;)

    Sécurisation du système

    Système:
    Sécuriser son ordinateur
    Tenir ses programmes à jour

    Vérifier régulièrement son Ordinateur :
    Analyse antivirus
    MalwareBytes AntiMalware

    Navigateur(s)
    Stop les publicités intempestives et programmes parasites
    Connaitre la réputation d'un site
    Bloquer les Publicités à l'aide de :
    Ublock Origin (Pour Chrome // Safari // Firefox) OU → AdblockPlus

    Comment éviter les infections :
    Pourquoi et comment je me fais infecter?
    Pourquoi ne pas surfer avec les droits administrateur?
    Le danger des cracks et keygen !
    Les dangers du Peer-To-Peer
    • /!\ Actuellement, des attaques Crypter-Ransomware sont de plus en plus constatés.
    • Je te conseille très vivement de sauvegarder régulièrement tes fichier/dossiers personnels sur support externe


    Prévention :
    /!\ Faire des Sauvegardes des données personnelles régulièrement sur Disque dur externe par exemple → Pour Info

    Adware Prévention (de guigui0001)
    → Voici un petit outil qui te permet d'apprendre à bien installer un programme et de connaitre certains pièges
    ►Télécharge Adware Prévention (de guigui0001) sur ton bureau.
    ►Lance-le ► clique-droit ►"exécuter en tant qu'administrateur"
    ►Cet outil va simuler une installation bourrée d'adwares.
    ►A la fin de cette fausse installation, l'outil fait un bilan de l'installation.
    ► Aide → ICI◄ (Tutoriel)

    Voilà bonne lecture et bon surf
    :)

    Contributeur sécurité
    0