Jump to content

Plusieurs trojans infecte mon PC


Go to solution Solved by Maurice Naggar,

Recommended Posts

Bonsoire / bon apres midi     :welcome:

In order to begin to help you properly, I will need a diagnostic report in order to review & diagnose.
Specifically the FRST Farbar diagnostic report.  It is safe to get & use.
https://support.malwarebytes.com/hc/en-us/articles/360039025013-Run-Farbar-Recovery-Scan-Tool-to-gather-logs

Attach FRST.txt + Addition.txt with your reply.  You may if you wish, ZIP the 2 into a zip file & then attach.
{ just please do not copy, paste their contents in main body of reply box here.)
 

Link to post
Share on other sites

Bonsoir Maurice Naggar,

Je vous remercie beaucoup pour vos explications bien claires pour un débutant en informatique.

J'ai cliqué sur le lien, et suivi scrupuleusement le déroulé opératoire. Environ 20 minutes plus tard, j'ai obtenu les deux documents, impressionnants pour moi, et assez rébarbatifs !

Aussi, comme vous me l'avez demandé, je vais essayer de vous joindre ces 2 documents en pièces jointes. J'espère y parvenir.

Vous me direz si vous les avez reçus ?

Encore une fois je vous remercie.

Bien cordialement.

J Tribouillard.

 

FRST.txt Addition.txt

Link to post
Share on other sites

Merci. Oui, j'ai les rapports FRST. Je vais les examiner et j'aurai d'autres mesures.
Je remarque que cette machine a Kaspersky Security Cloud 21.3. C'est une licence achetée ?
L'une des raisons pour lesquelles je pose la question est qu'il existe également G DATA Firewall Helper . Je crois que je dois vous demander de le désinstaller. La raison en est que plusieurs applications antivirus peuvent provoquer des blocages.

Link to post
Share on other sites

Pour voir tous les fichiers et les dossiers cachés dans Windows.

  1. Ouvrez Explorateur de fichiersde la barre des tâches. 

  2. Sélectionnez Afficher>  Options >   Modifier les options de dossier et de recherche.

  3. Sélectionnez l’onglet Afficher et, dans Paramètres avancés, sélectionnez Afficher les fichiers, dossiers et lecteurs cachés puis OK.

Link to post
Share on other sites

Il y a 4 heures, Maurice Naggar a dit :

Pour voir tous les fichiers et les dossiers cachés dans Windows.

  1. Ouvrez l'  explorateur de fichiers de la barre des tâches. 

  2. Sélectionnez  Afficher >   Options  >    Modifier les options de dossier et de recherche .

  3. Sélectionnez l'onglet   , dans Paramètres avancésAfficher et  afficher les fichiers, dossiers et lecteurs cachés  puis  OK .

Bonsoir M. Naggar,

Oui j'ai bien Kaspersky comme antivirus gratuit, mais avant, j'avais G DATA que j'avais désinstallé, mais sans doute pas complètement. Pourtant impossible pour moi, d'en retrouver la moindre trace dans mon PC. Dans le rapport Addition.txt, centre de sécurité, tout G DATA apparaît avec la mention "désactivé" (Disabled).... Ne signifie pas supprimé ?

Je n'ai pas trouvé non plus G DATA Firewall Helper, aucune trace.

Ensuite, j'ai effectué la manip pour révéler tous les fichiers et les dossiers cachés dans Windows. Comment vous faire parvenir la page obtenue ? j'ai pris une photo, mais sera-t-elle assez claire pour que vous puissiez la lire en pièce jointe . Je tente le coup.

Bonne soirée à vous.

J Tribouillard.

Page des fichiers et dossiers cachés dans windows 2.jpg

Page des fichiers et dossiers cachés dans windows.jpg

Link to post
Share on other sites

Bonne soirée à vous.   Je pense que vous avez réussi à faire ce qui est nécessaire dans l'explorateur de fichiers Windows. Je vois qu'il y a une coche par "éléments masques". Alors on peut dire, bravo.
En ce qui concerne le pare-feu G Data, ne soyons pas trop inquiets. Avançons.

>

Nous utiliserons FRST64.exe dans le dossier "C:\Users\Jacques\Downloads"   pour exécuter un script personnalisé. Le système sera redémarré après l'exécution du script.

Ce script personnalisé est pour Strontium uniquement / pour cette machine uniquement.

Ce script personnalisé a des éléments spécifiques, ainsi qu'un aspect général pour aider le système dans son ensemble.

REMARQUE-1 : Cela tentera de supprimer un fichier nommé C:\programdata\update.
Il vérifiera l'intégrité de certains fichiers système Windows.
Il tentera d'exécuter une analyse rapide à l'aide de l'antivirus Windows Microsoft Defender.

Il supprimera également le cache dans le navigateur EDGE et Google Chrome.

Assurez-vous de fermer tous les fichiers de travail, documents et applications que vous avez démarrés vous-même avant de commencer.

 

Veuillez enregistrer le (fichier joint nommé) FIXLIST.txt dans le dossier C:\Users\Jacques\Downloads

Fixlist.txt

 

Démarrez l'explorateur Windows puis, dans le dossier Downloads


Faites un clic droit sur FRST64.exe et sélectionnez EXÉCUTER en tant qu'administrateur et laissez-le continuer. Répondez OUI lorsque vous êtes invité à autoriser l'exécution.
   pour exécuter l'outil.

sur la fenêtre FRST :
Cliquez une seule fois sur le bouton " FIX " et attendez.

image.png.25616f3a8e5e0b871267ab1be179da2d.png

 

S'IL VOUS PLAÎT ayez beaucoup, beaucoup de patience lorsque cela commence. Vous verrez une barre de progression verte commencer.
Si vous recevez un message indiquant qu'un redémarrage est requis, assurez-vous de l'autoriser à redémarrer normalement.
L'outil terminera son exécution après le redémarrage.
Une fois terminé, l'outil créera un journal (Fixlog.txt) au même endroit où il a été exécuté.

Veuillez joindre le FIXLOG.txt avec votre prochaine réponse plus tard, à votre prochaine occasion


S'il vous plaît, sachez que cela fera un redémarrage de Windows.      ^_^:cool:

Link to post
Share on other sites

Bonjour M. Maurice Naggar,

J'ai bien effectué la suite du programme, et je envoie  le FIXLOG.txt en pièce jointe, comme convenu.

j'ai vu qu'un bon coup de ménage avait été fait !

Je tiens à vous remercier chaleureusement, car jamais personne ne s'est donné autant de mal pour m'aider, et ce avec des explications claires, nettes, et précises ! J'aurais aimé vous avoir comme professeur.

Depuis huit jours environ, mon PC ne parvenait à effectuer aucune Restauration à une date antérieure, malgré le désactivage de de Kaspersky et du Firewall de Defender, et quelle que soit le date choisie ! 

De surcroît, la quasi-totalité des icônes du bureau s'ouvraient sur "google recherche", et même quelque temps après avoir créé un nouveau raccourci, qui fonctionnait au début, mais qui affichait de nouveau "Google recherche" un peu plus tard ! 

Je n'ai pas encore re-testé ces deux problèmes. Puis- je les re-tester maintenant ?

A bientôt, bonne journée.

J Tribouillard.

 

Fixlog.txt

Link to post
Share on other sites

PS: Après chaque tentative de restauration je recevais l'avis suivant:  "Nous avons rencontré un problème avec Cortana. Réinstallez l’application à partir de son emplacement d’installation d’origine ou contactez votre administrateur."

La restauration aurait semble-t-il échouée à cause d'un problème dû à Cortana. J'ai essayé de trouver l'emplacement de Cortana....j'ai trouvé un Cortana. exe considéré par beaucoup comme un virus genre Trojan, mais ça me semble bizarre ?

Link to post
Share on other sites

Bonjour. Tout d'abord, vous êtes les bienvenus. Je suis heureux d'aider. Merci d'avoir fait le script et d'avoir envoyé le log.
Veuillez ne pas effectuer de restauration du système par vous-même. Attendez que je vous guide.
Et le problème Cortana peut attendre. Cortana n'est pas une fonctionnalité critique.
Je vous guiderai plus tard. Je vais probablement chercher à vous envoyer un nouveau script. Mais j'ai quelques affaires personnelles à régler ce matin. Je reviendrai avec toi.

Link to post
Share on other sites

La dernière exécution personnalisée a dépassé une limite de temps de 60 minutes et s'est donc terminée. Je ne comprends pas pourquoi cela a pris autant de temps. Mais ici, je fournis un nouveau script pour terminer le reste des étapes.
Assurez-vous que vous n'utilisez pas l'ordinateur pendant la course.
Assurez-vous de quitter tous vos programmes ouverts avant de démarrer le script.
ET assurez-vous de supprimer l'ancien fichier, l'original que je vous ai enregistré nommé FIXLIST.txt sur les téléchargements  ( Downloads ).

>

Nous utiliserons FRST64.exe dans le dossier "C:\Users\Jacques\Downloads"   pour exécuter un script personnalisé. Le système sera redémarré après l'exécution du script.

Ce script personnalisé est pour Strontium uniquement / pour cette machine uniquement.

Ce script personnalisé a des éléments spécifiques, ainsi qu'un aspect général pour aider le système dans son ensemble.

Assurez-vous de fermer tous les fichiers de travail, documents et applications que vous avez démarrés vous-même avant de commencer.

 

Veuillez enregistrer le (fichier joint nommé) FIXLIST.txt dans le dossier C:\Users\Jacques\Downloads

Fixlist.txt

 

Démarrez l'explorateur Windows puis, dans le dossier Downloads


Faites un clic droit sur FRST64.exe et sélectionnez EXÉCUTER en tant qu'administrateur et laissez-le continuer. Répondez OUI lorsque vous êtes invité à autoriser l'exécution.
   pour exécuter l'outil.

sur la fenêtre FRST :
Cliquez une seule fois sur le bouton " FIX " et attendez.

image.png.25616f3a8e5e0b871267ab1be179da2d.png

 

S'IL VOUS PLAÎT ayez beaucoup, beaucoup de patience lorsque cela commence. Vous verrez une barre de progression verte commencer.
Si vous recevez un message indiquant qu'un redémarrage est requis, assurez-vous de l'autoriser à redémarrer normalement.
L'outil terminera son exécution après le redémarrage.
Une fois terminé, l'outil créera un journal (Fixlog.txt) au même endroit où il a été exécuté.

Veuillez joindre le FIXLOG.txt avec votre prochaine réponse plus tard, à votre prochaine occasion


S'il vous plaît, sachez que cela fera un redémarrage de Windows.      

Link to post
Share on other sites

Fixlog.txt

Bonsoir,

J'ai recommencé la manip, après avoir supprimé  FIXLIST.txt au préalable, et fermé tous les programmes comme la première fois.

L'exécution a mis moins d'une heure cette fois.

La fenêtre FRST n'est exactement la même que celle du descriptif (voir pièce jointe) La première fois, "Mois" était coché, mais pas cette fois. Je ne sais pas si cela a une importance ?

Bonne soirée et merci.

J Tribouillard.

 

20211119_174225.jpg

Link to post
Share on other sites

Bravo.  Tres bien.  L'operation a reussi. Tu as bien fait. La course a accompli les choses importantes que je voulais. Ce qui consistait à exécuter un outil de vérification du système différent. Hélas, il n'a pas été en mesure de mettre à jour ou d'exécuter l'antivirus Microsoft Defender. Mais puisque cette machine a Kasperky, alors tout ira bien. Merci d'avoir accompli cela.
>
Maintenant, je vous suggère de télécharger et d'exécuter une autre vérification gratuite de Microsoft. Ceci est juste destiné à être exécuté une seule fois.

Le scanner de sécurité Microsoft Safety Scanner  est un scanner de virus autonome Microsoft gratuit qui peut être utilisé pour rechercher et supprimer des logiciels malveillants ou des logiciels potentiellement indésirables d'un système.

Les liens de téléchargement et le mode d'emploi de l'outil se trouvent sur ce lien chez Microsoft

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

 

Après son enregistrement, lancez MSERT.exe

Regardez dans les options d'analyse et sélectionnez l'analyse COMPLÈTE.     ( FULL scan  )

  • Lancez ensuite l'analyse. Ayez beaucoup de patience. Cela peut prendre plusieurs heures.
  • Une fois que vous voyez qu'il a commencé, faites une longue pause ; s'éloigner. Ne faites pas confiance si vous voyez des messages flash intermédiaires précoces à l'écran. Les seules choses qui comptent sont le résultat final à la fin de la course.
     

Faites-moi savoir le résultat. Cela durera probablement plusieurs heures. Il peut en fait durer plus d'une journée complète. (selon le nombre de fichiers sur votre machine et la vitesse du matériel.)

Le journal est nommé MSERT.log

le journal sera à

Windows\debug\msert.log

Veuillez joindre ce journal à votre réponse.

Link to post
Share on other sites

Bonjour Maurice,

L'analyse complète a en effet duré 14 heures environ. Avant de terminer, il était noté: 4 files infected,( voir pièce jointe) mais à la fin de l'analyse, il n'y avait plus qu'un seul Malware   VirTool:Win32/Defender TamperingRestore. C'est sans doute ce même Malware qui infectait les 4 files infected ?

Ensuite dans Windows\debug\msert.log,  je n'ai pas trouvé grand-chose (voir pièce jointe) et ça ne porte pas le nom de journal, mais de bloc-notes. c'est sans doute la même chose ? (voir pièce jointe)4 msert.log fichier 20 11.txt

J'espère avoir bien exécuté la marche à suivre ?

Bonne journée.

J Tribouillard.

1Analyse Microsoft Sécurité le 20 11.jpg

2 Fin analyse Microsoft durée 14heures environ.jpg

3Résultats Microsoft Scanner le 30 44.jpg

Link to post
Share on other sites

Bonjour. Bon après-midi.
Merci. Le résultat final est que Microsoft Safety Scanner n'a trouvé aucune infection réelle. Ce que le dernier écran affiche est attendu, puisque votre machine dispose de Kaspersky, il désactive la surveillance par Microsoft Defender. Kaspersky est l'antivirus résident et actif.
Donc, aucune infection réelle signalée à la suite de cette analyse.
Quant au "4" sur votre premier écran, comme je l'ai dit, il doit être ignoré car il ne s'agit pas d'une constatation réelle ou définitive. À la fin de l'exécution, l'outil revérifie avec le cloud Microsoft et fait sa détermination finale.
Comme je l'ai dit sur ma note précédente :

Quote

Ne faites pas confiance si vous voyez des messages flash intermédiaires précoces à l'écran. Les seules choses qui comptent sont le résultat final à la fin de la course.

>

Alors, tres biens. Voyons comment numériser avec un scanner fiable et fiable d'ESET. Tout d'abord, si possible, essayez d'éteindre [ set to OFF ]   le Kaspersky. Nous aimerions qu'il soit désactivé pendant cette analyse afin qu'il n'y ait pas de conflit ou de ralentissement.

>

Je suggérerais une analyse gratuite avec le scanner en ligne ESET. Ce sera une autre vérification des virus, autres logiciels malveillants, logiciels publicitaires et applications potentiellement indésirables.

avec votre navigateur Web Allez à  https://download.eset.com/com/eset/tools/online_scanner/latest/esetonlinescanner.exe

 

Il lancera un téléchargement de "esetonlinescanner.exe"

  • Enregistrez le fichier sur votre système, tel que le dossier   Downloads    [Téléchargements], ou bien sur le bureau.
  • Accédez au fichier enregistré et double-cliquez dessus pour le démarrer.
     
  • Lorsque les options ESET initiales sont présentées, cliquez sur "Analyse de l'ordinateur".   [  Computer Scan ]
  • Ensuite, lorsque Windows vous y invite, autorisez-le à démarrer en cliquant sur Oui
  • Lorsque vous êtes invité à indiquer le type d'analyse, cliquez sur Analyse complète   [ FULL scan ]

Regardez et cochez (sélectionnez) la sélection radio "Activer ESET pour détecter et mettre en quarantaine les applications potentiellement indésirables" et cliquez sur le bouton Démarrer l'analyse.

  • Avoir de la patience. L'ensemble du processus peut prendre une heure ou plus. Il y a un téléchargement initial de mise à jour.

Une fenêtre de progression s'affiche. Vous pouvez vous éloigner de la machine &. Qu'il en soit ainsi.

Vous devez ignorer toutes les invites pour obtenir le logiciel antivirus ESET. ( p. ex. leur programme standard). Vous n'avez pas besoin d'acheter, d'obtenir ou d'installer quoi que ce soit d'autre.

  • Lorsque l'analyse est terminée, si quelque chose a été trouvé, il affichera un écran avec le nombre d'éléments détectés. Si tel est le cas, cliquez sur le bouton marqué « Afficher les résultats détectés ».
  • Cliquez sur le bleu « Enregistrer le journal d'analyse » pour enregistrer le journal.

Si quelque chose a été supprimé et que vous savez qu'il s'agit d'une fausse conclusion, vous pouvez cliquer sur le bouton bleu "Restaurer les fichiers nettoyés" (en bleu, en bas).

Appuyez sur Continuer lorsque tout est terminé. Vous devez cliquer pour désactiver l'offre de « analyse périodique ».

Veuillez vous assurer de joindre le rapport de journal.  Une fois que tout est terminé, assurez-vous d'allumer le Kaspersky.

Cordialement.

Link to post
Share on other sites

Bonjour, 

J'ai bien effectué le scan avec ESET, et je vous envoie les résultats.

Mais j'ai oublié "désactiver l'offre de « analyse périodique" !

Cela peut-il poser problème avec Kaspersky quand je l'aurai réactivé ? sinon comment corriger mon oubli ?

Je vous souhaite un excellent dimanche, et vous remercie.

6 Fin du scan ESET du 21 11.jpg

1 Rapport Eset online scannerl du 21 11.txt

Link to post
Share on other sites

Bonjour. J'espère que votre dimanche se passe bien. Merci pour ton compliment.
Merci d'avoir envoyé le journal d'analyse d'ESET. Veuillez noter que cinq instances de "Expert_PDF_14_Installer_R.exe" ont été trouvées dans le dossier Téléchargements [ Downloads ]. Qu'est-ce qu'Eset classe comme "application potentiellement indésirable". Inutile de dire qu'à l'avenir, évitez cela. Ne téléchargez pas à partir de sites dont la réputation est douteuse.
Regarder sur votre dossier Téléchargements  [ DONLOADS ] puis Supprimez le fichier
esetonlinescanner.exe

L'analyse périodique d'ESET onlinescanner ralentira le système au moment de son exécution.

Si vous réexécutez le rapport Farbar FRST et le joignez, je l'examinerai et vous conseillerai de continuer. Faites un nouveau rapport comme celui que je vous ai fait faire sur cette réponse https://forums.malwarebytes.com/topic/280979-plusieurs-trojans-infecte-mon-pc/?do=findComment&comment=1488910

 

Link to post
Share on other sites

Vous travaillez même le dimanche !  J'espère avoir bien compris ce que vous m'avez demandé ? 

Je n'ai pas encore pris le temps de visionner les 2 rapports, mais de toute façon, ça ne me parle pas trop !

J'ai supprimé le dossier esetonlinescanner.exe.

Je ne sais pas trop quand j'ai téléchargé "Expert_PDF_14_Installer_R.exe" ? Est-ce que Kaspersky n'aurait pas dû le stopper ?

Merci encore pour tout.

J Tribouillard.

FRST.txt Addition.txt

Link to post
Share on other sites

  • Solution
Quote

J'ai supprimé le dossier esetonlinescanner.exe.

Bravo !

Quote

téléchargé "Expert_PDF_14_Installer_R.exe" ? Est-ce que Kaspersky n'aurait pas dû le stopper ?

Oui.

>

Ceci est destiné à supprimer 2 tâches planifiées qui exécuteraient ESET et à supprimer certains dossiers restants d'ESET "Online".

Assurez-vous que vous n'utilisez pas l'ordinateur pendant la course.
Assurez-vous de quitter tous vos programmes ouverts avant de démarrer le script.
ET assurez-vous de supprimer l'ancien fichier  que je vous ai enregistré nommé FIXLIST.txt sur les téléchargements  ( Downloads ).

>

Nous utiliserons FRST64.exe dans le dossier "C:\Users\Jacques\Downloads"   pour exécuter un script personnalisé. Le système sera redémarré après l'exécution du script.

Ce script personnalisé est pour Strontium uniquement / pour cette machine uniquement.

Ce script personnalisé a des éléments spécifiques, ainsi qu'un aspect général pour aider le système dans son ensemble.

Assurez-vous de fermer tous les fichiers de travail, documents et applications que vous avez démarrés vous-même avant de commencer.

 

Veuillez enregistrer le (fichier joint nommé) FIXLIST.txt dans le dossier C:\Users\Jacques\Downloads

Fixlist.txt

 

Démarrez l'explorateur Windows puis, dans le dossier Downloads


Faites un clic droit sur FRST64.exe et sélectionnez EXÉCUTER en tant qu'administrateur et laissez-le continuer. Répondez OUI lorsque vous êtes invité à autoriser l'exécution.
   pour exécuter l'outil.

sur la fenêtre FRST :
Cliquez une seule fois sur le bouton " FIX " et attendez.

image.png.25616f3a8e5e0b871267ab1be179da2d.png

 

S'IL VOUS PLAÎT ayez beaucoup, beaucoup de patience lorsque cela commence. Vous verrez une barre de progression verte commencer.
Si vous recevez un message indiquant qu'un redémarrage est requis, assurez-vous de l'autoriser à redémarrer normalement.
L'outil terminera son exécution après le redémarrage.
Une fois terminé, l'outil créera un journal (Fixlog.txt) au même endroit où il a été exécuté.

Veuillez joindre le FIXLOG.txt avec votre prochaine réponse plus tard, à votre prochaine occasion


S'il vous plaît, sachez que cela fera un redémarrage de Windows.      :cool:

Link to post
Share on other sites

Hello.  I hope you are doing well.  I am wondering if you could provide a status update.  Have you seen my last reply?

Bonjour. J'espère que vous allez bien. Je suis curieux de savoir si vous pourriez fournir une mise à jour de statut. Avez-vous vue ma dernière réponse?

Link to post
Share on other sites

Bonjour Maurice,

Votre dernier message date de lundi à 1h36. Je vous ai répondu, dans la journée, mais effectivement je ne retrouve pas ma réponse dans le déroulé des messages ! Que s'est-il passé ?  Est-ce un bug, ou ai-je fait une erreur en envoyant ma réponse ? 

J'étais étonné de ne pas avoir votre réponse. Je vais donc recommencer la manipulation, à moins que je retrouve le rapport de Fixlog.txt ce soir, car je pars demain matin chez ma fille pour la fin de la semaine, et je ne serais de retour que lundi 29/11.

Je vous remercie pour votre aide. bonne soirée à vous.

J Tribouillard   

PS: Impossible de retrouver le journal de Fixlog.txt du 22/11. je ne retrouve que celui du 19/11 !  Je referai la manipulation lundi 29/11/21       Veuillez m'excuser, Je suis désolé ! A lundi ?

 

Link to post
Share on other sites

Bonjour. Bonsoir.
As-tu sauvegardé le fichier que j'ai joint de dimanche soir 21 Novembre ? la liste fixe.
Et après cela, avez-vous réellement exécuté le correctif "FIX"  ? Je veux dire après avoir vu ma réponse précédente ?
Si vous l'avez exécuté comme je l'ai posté la 2ème fois, vous n'avez pas besoin de répéter.
Et au fait, le fichier de rapport aurait toujours le même nom. Ce serait Fixlog.txt.
Vous pouvez m'envoyer ce fichier.
Il n'y a pas besoin de se précipiter. Prends ton temps. Bonne visite de vacances.

>

Je vois maintenant vos nouveaux rapports que vous avez envoyés. Merci.
Je passerai en revue et reviendrai vers vous, plus tard

Link to post
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
Back to top
×
×
  • Create New...

Important Information

This site uses cookies - We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.