Problèmes sécurité

Fermé
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
- Modifié par Chris 94 le 8/12/2016 à 02:27
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
- 13 déc. 2016 à 01:33
Bonjour,

Mon antivirus (Windows Defender) est désactivé "par la stratégie de groupe"
Une fenêtre me demande de contacter mon administrateur de sécurité pour réactiver le programme via la stratégie de groupe.

Après ma petite recherche sur ce que c'était et comment corriger le problème j'ai ouvert la fenêtre du service client de la stratégie de groupe et ai effectivement vu que c'était en cours d'exécution mais je n'ai aucun accès aux fonctionnalités et tout est grisé.

Avant cela j'ai eu pour premier réflexe de passer un coup de CCleaner et de AdwCleaner mais autant le premier n'a rien affiché d'alarmant autant le second avait carrément été desinstallé.
En voulant le réinstaller j'ai vu que mes extensions Chrome avaient été modifiés et ai donc vérifié ma liste d'applications. De nouveaux programmes avaient été installés à mon insu et ai tout desinstallé (en oubliant bêtement de prendre les noms).
J'ai seulement après passé un coup d'AdwCleaner, ce qui a éteint et rallumé l'ordi.
Le problème persistant je l'ai coupé d'Internet.



Quelqu'un pourrait m'expliquer ce que je dois faire, de quoi
Il s'agit, et les risques que j'encoure?

C'est un ordinateur portable sous Windows 10, le problème est appararu tout à l'heure

Merci


Merci de me rassurer,
J'écris depuis un autre appareil

5 réponses

Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 558
8 déc. 2016 à 08:46
Salut,

Pour voir si infecté :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



0
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
106
Modifié par lmc-3 le 8/12/2016 à 15:50
Merci pour la lecture de mon sujet et votre réactivité,


Voici les 3 fichiers,
affichants des données personnelles j'ai mis des mots de passe que je vous ai communiqué par MP sur CCM.

• FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161208_l13l6z11m8b7
• Shortcut : https://pjjoint.malekal.com/files.php?id=20161208_6v9m14n12y5
• Addition : https://pjjoint.malekal.com/files.php?id=20161208_z8m9y12j6v5




Si j'ai bien compris la prochaine étape sera une correction avec FRST par le biais d'un script.




En attente de votre retour,
Cordialement,
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 558
Modifié par Malekal_morte- le 8/12/2016 à 17:17
Tu t'es fait avoir par un faux installer Flash...

Désinstalle BitComet 1.44

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [dply_en_009030142] => [X]
HKLM-x32\...\Run: [gmsd_fr_005010144] => [X]
HKLM-x32\...\Run: [gmsd_fr_031010167] => [X]
HKLM-x32\...\Run: [dply_en_009030173] => [X]
HKLM-x32\...\RunOnce: [Durulef] => C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B "C:\Users\MICHEL~1\AppData\Roaming\Nagebuh"
2016-10-04 02:00 - 2016-10-04 02:00 - 30510920 _____ C:\Users\MICHEL CRENN\Downloads\FlashVideoPlayer.exe
2016-10-04 01:59 - 2016-12-08 00:59 - 00000000 ____D C:\ProgramData\{DC351956-5677-9390-D0B1-0DD24AF3861C}
2016-10-04 01:59 - 2016-11-28 23:31 - 00018352 _____ C:\Users\MICHEL CRENN\AppData\Roaming\Nagebuh
2016-10-04 01:59 - 2016-11-28 23:31 - 00000000 ____D C:\Users\MICHEL CRENN\AppData\Local\42b5ce0de0807b5f3e52024485b463d6
2016-10-04 01:59 - 2016-10-25 18:59 - 00000320 _____ C:\WINDOWS\Tasks\{42B5CE0D-E080-7B5F-3E52-024485B463D6}.job
2016-10-04 01:59 - 2016-10-04 01:59 - 00000000 ____D C:\Users\MICHEL CRENN\AppData\Local\Setup1559937
2016-10-04 01:58 - 2016-11-28 23:32 - 00000000 ____D C:\Users\MICHEL CRENN\AppData\Local\{B577832B-91DF-EF93-FC47-CA7BD82F36E3}
2016-10-04 01:57 - 2016-10-04 01:57 - 01229847 _____ ( ) C:\Users\MICHEL CRENN\Downloads\FlashVideoPlayer_1525861572.exe
2016-10-04 01:59 - 2016-11-28 23:31 - 0018352 _____ () C:\Users\MICHEL CRENN\AppData\Roaming\Nagebuh
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\MICHEL CRENN\AppData\Roaming\qVwt2CFYpmWzQ0f
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\MICHEL CRENN\AppData\Roaming\trYUPXRLcc9hVt5
Task: {46BC2CE4-42C1-48EE-B50B-F783BA90E155} - System32\Tasks\{42B5CE0D-E080-7B5F-3E52-024485B463D6} => C:\Users\MICHEL CRENN\AppData\Local\42b5ce0de0807b5f3e52024485b463d6\SynHelper.exe [2013-04-20] ()
Task: C:\WINDOWS\Tasks\aXYBfsUol1yPK3Mr.job => C:\Users\MICHEL CRENN\AppData\Roaming\aXYBfsUol1yPK3Mr.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\trYUPXRLcc9hVt5.job => C:\Users\MICHEL CRENN\AppData\Roaming\trYUPXRLcc9hVt5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\{42B5CE0D-E080-7B5F-3E52-024485B463D6}.job => C:\Users\MICHEL~1\AppData\Local\42B5CE~1\SYNHEL~1.EXE <==== ATTENTION
reg: reg delete "HKLM\\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

~~

2/

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Voir aussi : Impossible d'activer Windows Defender
Veuillez appuyer sur une touche pour continuer la désinfection...
0
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
106
8 déc. 2016 à 19:10
BitComet? je l'utilise depuis bien deux semaines...
Je l'efface je verrai le résultat, je vous informe.
0
lmc-3 (invité)
8 déc. 2016 à 23:37
Rebonsoir,

Le premier fichier texte "Fixlog" :
http://pjjoint.malekal.com/files.php?id=20161208_w15o14r15w5d14

L'historique de Malwarebytes:
http://pjjoint.malekal.com/files.php?id=20161208_e13s116f14b5


mdp inchangés.


NB: Mes navigateurs Chrome et Firefox semblent aboir été touchés et il m'a été impossible de me connecter sur CCM avec aucun des deux, là j'ai due passer sur Tor Browser.



Windows Defender est toujours inaccessible,
en attente de la suite,
Merci.
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 558 > lmc-3 (invité)
9 déc. 2016 à 09:59
As-tu suivi les instructions sur mon dernier message ?
Il y a un tuto pour réactiver Windows Defender.

Désinstalle QuickTime
Plus maintenu et possède des vulnérabilités.
0
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
106
9 déc. 2016 à 16:59
J'avais bien tout suivi de A à Z.


En rallumant l'ordinateur je tombe sur un bureau avec un fond d'écran par défaut, quelques raccourcis de quelques application sur le coin gauche, et un message d'erreur dont le nom de la fenêtre est "FspUip" et disant:
"Nous ne pouvons pas nous connecter à votre compte
Vous pouvez corriger ce problème la plupart du temps en vous déconnectant de votre compte, puis en vous y reconnectant.
Si vous ne vous déconnectez pas maintenant, les fichiers que vous créez ou les modifications que vous apportez seront perdus."

J'ai tenté de rouvrir ma session à trois reprises




Windows Defender c'est cependant réactivé.



Je ne prend aucune initiative stupide et m'en remet à vous.



En attente des prochaines étapes à suivre.
Cordialement.
0
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
106
9 déc. 2016 à 19:21
Bonsoir,


Après avoir rallumé une quatrième fois j'ai cette fois si laissé Windows Update faire des MAJ avant d'éteindre, le cinquième était le bon:

• Scan Windows Defender:
- 1 cheval de Trois que j'ai
supprimé
• Scan Malwarebyte (gratuit puis
Prenium):
- RAS
• Scan AdwCleaner:
- YouTube Downloader, un
malware persistant depuis hier,
il faisait parti des programmes
tiers que j'ai mentionné au
premier post et sencé avoir été
désinstallé depuis le panneau
de configuration.


Je préfère attendre votre feu vert pour le coup de CCleaner.


Concernant Google Chrome le navigateur n'arrive pas à ouvrir mon compte, adresse DNS de account.google.com introuvable
"DNS_PROBE_POSSIBLE"


Là je suis toujours depuis un autre appareil.



Je garde mon sujet en attente et attend les prochaines instructions,
Merci.
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 558
9 déc. 2016 à 22:59
il a supprimé quel fichier Windows Defender ?
Tu peux regarder dans l'historique ?

Pour voir :

Pour tes problèmes réseaux, télécharge MinitoolBox depuis un autre ordinateur et copie le sur une clef USB.

Coche "Select All" puis clique "Go".
Un rapport va être généré, copie le sur ta clef USB.
Depuis un ordinateur où internet fonctionne, envoie le rapport sur http://pjjoint.malekal.com/
Un lien pjjoint qui pointe sur le rapport va t'être donné, donne ce lien ici en réponse dans un message.
0
lmc-3 (invité)
10 déc. 2016 à 15:36
Bonjour c'est lmc-3,

Je n'ai pas d'autre ordinateur que le miens sous la main (je vous joint depuis mon smartphone depuis le départ), j'ai pu tout faire avec Tor Browser:

http://pjjoint.malekal.com/files.php?id=20161210_c11z6h5q10e11


Vous verrez dans le rapport que j'ai joué à des jeux vidéo hors ligne cette nuit, hier soir avant que vous postiez votre réponse j'ai finalement passé un coup de CCleaner sur l'intégralité de Chrome (uniquement) mais ça n'avait rien bougé et ai utilisé mon ordinateur (sans regarder CCM).


En temps normal j'utilise internet branché par cable Ethernet à un plug wi-fi dans ma chambre ayant mon boitier SFR à l'étage du dessus comme source (la box est trop éloignée de ma pièce à l'opposé dans la maison).
Je n'utilise volontairement pas de Proxy.




Merci encore,
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 558
11 déc. 2016 à 10:55
Désinstalle Yahoo! Powered


+1s de ping..

Envoi d'une requˆte 'ping' sur google.com [216.58.208.238] avec 32 octets de donn‚esÿ:
R‚ponse de 216.58.208.238ÿ: octets=32 temps=1249 ms TTL=51
R‚ponse de 216.58.208.238ÿ: octets=32 temps=1180 ms TTL=51

Statistiques Ping pour 216.58.208.238:


Tu as utorrent qui tourne ?
D'autres ordinateurs sont branchés ?

Fais du ménage dans ce qui bouffe la connexion.

Redémarre la box ensuite.
0
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
106
Modifié par lmc-3 le 12/12/2016 à 18:12
Bonjour,

Desinstallé Yahoo! Powered ne s'est pas montré concluant,
Je n'ai pas compris ce que je devais faire sur google.com


Aucun programme utilisateur bouffant internet ne tourne (avant hier j'ai mis à jour un jeu sur Steam mais c'est tout).



J'ai également esayé de redémarrer ma box (et mon plug wi-fi) à plusieurs reprises ces derniers jours



Je maintiens cependant que du moment qu'il ne s'agit pas d'ouvrir une session sur un site Tor fonctionne lui nickel.
À l'instant je suis sur un autre appareil
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
lmc-3
Messages postés
554
Date d'inscription
samedi 13 juin 2015
Statut
Membre
Dernière intervention
26 mai 2022
106
13 déc. 2016 à 01:33
Je vous parle connecté à mon compte depuis Chrome depuis mon PC!

J'ai trouvé la solution moi même: je devais me connecter sur Chrome après coupure de mon VPN que j'ai relancé juste après, (si vous avez l'explication à fournir sur l'origine du phénomène...).


En revanche mon problème initial n'est pas 100% résolu:
Bien que mes scans de Windows Defender et Malwarebytes affichent RAS, YTdownloader survit systématiquement à AdwCleaner.

Je l'avais désinstallé le 8 Décembre depuis mon panneau de configuration où il ne s'affiche plus depuis, il ne s'affiche pas non plus dans CCleaner, et son fichier est introuvable sur mes discs (mon ordi affiche bien les fichiers cachés et j'ai même coché temportairement pour afficher les fichiers système le temps d'une recherche plus approfondie).




Cordialement.
0