[Résolu] Fichiers TMP

[chiva]

Yop,

Es ce qu'il y a une possibilité de savoir quel logiciel écrit quel fichier TMP.

Panda antivirus détecte un malware dans un TMP et ça reviens à chaque fois.

Donc je voudrais trouver le logiciel source.

[routman54]

Bonjour Chiva,

Les fichiers Tmp sont des fichiers temporaires , le soucis c'est que dans ton cas ils se recréent à chaque redémarrage.
Dans ton Panda blanc à tache noir tu dois avoir la quarantaine , regardes ce qui est mis dedans et mets nous le en copie.
Sinon il faudra faire un tour chez nos amis Bernard53 ou Heracles avec des rapports FRST et additions.txt.
Ce pourrait être aussi un faux positif ça arrive, donc un petit contrôle ne ferait pas de mal.
Bonne fin de journée.

[chiva]

Yop l'ami,

Oui c'est dans les fichiers temporaire. Même quand je les vires, ils reviennent ( les méchants ).
C'est pour ça que j'aurais aimer savoir quel log est le responsable.

Je vide le dossiers manuellement, j'ai passé Panda, ZHP cleaner, MBAM et roguekiller mais rien à faire.

La quarantaine


Le rapport

[EinsteinZero]

Salut Chiva,
ton truc semble concerner les déverminateurs

je bascule dans "Sécurité et virus"

[heracles]

Bonsoir Chiva,

Yop l'ami,

Oui c'est dans les fichiers temporaire. Même quand je les vires, ils reviennent ( les méchants ).
C'est pour ça que j'aurais aimer savoir quel log est le responsable.

Je vide le dossiers manuellement, j'ai passé Panda, ZHP cleaner, MBAM et roguekiller mais rien à faire.

Attention à l'usage personnel des logiciels de désinfection car si mal utilisé, cela peux faire des dégâts si tu supprimes un faux-positif. On a été formé à cela, laisse nous faire.

Question: Sur ton image, une ligne m'interpelle:

"synchronisation votre protection a été synchronisée sur internet ..."

Disposes tu d'un compte Google synchronisé ou autre compte Firefox, cloud (One Drive ou autres) ?



Je vais te prendre en charge, n'effectue que les procédures demandées et ne télécharge rien d'autre pouvant fausser mon analyse.

Tous les logiciels demandés sur cette désinfection seront à télécharger sur ton bureau et pas ailleurs.




Effectue l'étape 2 de cette procédure: pense à cocher la case shortcut et envoie moi le rapport FRST.txt, Additions.txt et shortcut.txt

Pour joindre les rapports demandés, utilise cette procédure
Eventuellement, héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse.

Sont attendus les rapports:

FRST.txt
Additions.txt
shortcut.txt


A+

[chiva]

Yop,

@ Heracles: Je fais tout ça courant de la journée, voir demain.

Merci d'avance déjà.

[chiva]

Yop,

Voila tout ce que t'as demandé.

Question: Sur ton image, une ligne m'interpelle:

"synchronisation votre protection a été synchronisée sur internet ..."

Disposes tu d'un compte Google synchronisé ou autre compte Firefox, cloud (One Drive ou autres) ?

Oui pour google, oui pour compte FF et oui plusieurs Cloud

[heracles]

Bonsoir Chiva,

Yop,

Voila tout ce que t'as demandé.

Question: Sur ton image, une ligne m'interpelle:

"synchronisation votre protection a été synchronisée sur internet ..."

Disposes tu d'un compte Google synchronisé ou autre compte Firefox, cloud (One Drive ou autres) ?

Oui pour google, oui pour compte FF et oui plusieurs Cloud

Ce sont tes comptes et tes clouds synchronisés qui sont responsable de la répétition de l'infection: tant que ceux-ci ne seront pas désynchronisés, l'infection reviendra constamment.

Désactive la synchronisation de Google, Firefox et des clouds.

Si tu as un compte Google synchronisé, effectue cette procédure à la lettre.

• Ouvres Chrome et copie colle chrome://settings/dans la barre d'adresse puis valide par la touche entrée de ton clavier.
  
• Cliques sur Synchronisation sous ton profil
  
• Cliques sur Gérer les données synchronisées dans Google Dashboard
  
• En bas , cliques sur Redémarrer la synchronisation
  
• Cela va te déconnecter de Chrome , fermes ensuite Chrome
  

Explication: toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.


https://support.google.com/chrome/answer/185277?hl=fr

Pour Firefox, voir la rubrique Supprimer un appareil de Sync de ce lien

Pour tes clouds, il me faut plus d'indications à moins que tu puisses désactiver la synchronisation. de ceux-ci.

Nota: la désynchronisation des comptes doivent être exécutés avant de continuer les prochaines procédures.

===========================================================================================================
Avant d'aller plus loin, une question:
Présence d'un activateur de licence sur ton disque D: détecté ou supprimé par Windows defender: C'était pour activer ton Windows 10 ? ( car pas de logiciel office sur ton PC)



Bonne soirée

[chiva]

Yop,

Pour Google: désactivé
Pour FF : désactivé
Pour dropbox : désactivé
Pour one drive : désactivé
Pour cloud by Proximus ( mon FAI en Belgique ) : désactivé

Non mon Windows est tout à fait légal mais c'est mon fils qui m'avais mis Office car il en avais besoin. Je l'ai enlevé depuis mais c'était il y a plusieurs mois déjà. Disons que un log cracké pour un mec qui est en train de monter sa boite dans l'informatique ......... ça le fait pas.

Ceci dit, Partition D est un lecteur Deamon tools qui est vide.

J'attend la suite mais je le ferais pas avant demain. Tu sais bien quand mdm réclame ......

[heracles]

Yop,

Pour Google: désactivé
Pour FF : désactivé
Pour dropbox : désactivé
Pour one drive : désactivé
Pour cloud by Proximus ( mon FAI en Belgique ) : désactivé

Non mon Windows est tout à fait légal mais c'est mon fils qui m'avais mis Office car il en avais besoin. Je l'ai enlevé depuis mais c'était il y a plusieurs mois déjà. Disons que un log cracké pour un mec qui est en train de monter sa boite dans l'informatique ......... ça le fait pas.

Ceci dit, Partition D est un lecteur Deamon tools qui est vide.

J'attend la suite mais je le ferais pas avant demain. Tu sais bien quand mdm réclame ......

Ok pour ton information sur Windows 10: on vois tout sur les rapports.
Ok pour la désynchronisation des moteurs de recherches et du cloud.


===========================================================================================================
On poursuit la désinfection (pas d'infection sur le PC, juste quelques lignes à supprimer).
Rappel: La synchronisation doit être désactivé avant le passage du correctif.


Effectue cette procédure à la lettre:

/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\


/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

• Fait un clic droit sur FRST64.exe puis sélectionne exécuter en tant qu'administrateur.
• Télécharge le fichier ci-dessous sur ton bureau et pas ailleurs (il doit se trouver au même emplacement que le logiciel FRST)
  
  fixlist.txt
  
  
• Ferme toutes les applications, y compris ton navigateur
• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction.
• Le pc redémarrera à la suite de la suppression.
• L'outil va créer un rapport de correction Fixlog.txt sur ton bureau.
• Héberge ce rapport sur ce site d'hébergement de fichiers et indique le lien fourni dans ta réponse.

Sous Internet Explorer, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même


Est attendu le rapport:

fixlog.txt

A te relire

[chiva]

Yop,

La suite.

Ok pour ton information sur Windows 10: on vois tout sur les rapports.

Je sais, si j'aurais pas voulu vous le montrez, je serais pas venu ici.

https://cjoint.com/c/IBxmCuQBmCG voila le rapport demandé.

[heracles]

Bonjour Chiva,

Yop,

La suite.

Ok pour ton information sur Windows 10: on vois tout sur les rapports.

Je sais, si j'aurais pas voulu vous le montrez, je serais pas venu ici.

Normalement tu ne devrais plus avoir d'alerte, fait moi le savoir afin de finaliser le sujet. Tu signales avoir passé zhpcleaner, tu as le rapport ,stp

Concernant Malwarebytes, si des détections ont été trouvés, purge la quarantaine comme ceci:


On purge la quarantaine de Malwarebytes:

• Relance Malwarebytes (clic droit==> exécuter en tant qu'administrateur)
• Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer
• Confirme la demande de suppression en cliquant sur yes
• Ferme Malwarebytes

A te relire

[chiva]

Yop,

Avant la correction, j'ai eu 5 alerts.

Depuis la correction, j'ai plus rien pour l'instant.

Le rapport :

Code: Tout sélectionner

~ ZHPCleaner v2019.2.19.22 by Nicolas Coolman (2019/02/19)
~ Run by chiva (Administrator)  (20/02/2019 21:21:23)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Nettoyer
~ Report : C:\Users\chiva\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\chiva\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 17763)

---\  ALTERNATE DATA STREAM (ADS). (0)
~ Aucun élément malicieux ou superflu trouvé. (ADS)

---\  SERVICE. (0)
~ Aucun élément malicieux ou superflu trouvé. (Service)

---\  NAVIGATEUR INTERNET. (0)
~ Aucun élément malicieux ou superflu trouvé. (Navigateur)

---\  FICHIER HÔTE. (1)
~ Le fichier hôte est légitime. (21)

---\  TÂCHE PLANIFIÉE. (1)
SUPPRIMÉ tâche: [0b749f04-d8a7-470d-a813-f556a9de130d] [C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe (Not File) ]  =>PUP.Optional.OneSystemCare

---\  EXPLORATEUR  ( Dossiers, Fichiers ). (29)
DEPLACÉ fichier: C:\Users\chiva\Desktop\BitTorrent.lnk  [Bad : C:\Users\chiva\AppData\Roaming\BitTorrent\BitTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
DEPLACÉ fichier: C:\Users\chiva\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\BitTorrent.lnk  [Bad : C:\Users\chiva\AppData\Roaming\BitTorrent\BitTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
DEPLACÉ fichier: C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe    =>PUP.Optional.OneSystemCare
DEPLACÉ fichier: C:\Windows\Prefetch\KMSAUTO NET.EXE-00665A16.pf    =>HackTool.WinActivator
DEPLACÉ fichier: C:\Windows\Prefetch\ONESYSTEMCARE.TMP-43467B13.pf    =>PUP.Optional.OneSystemCare
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-10360.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-10544.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-1140.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-1624.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-1952.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-2956.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-3940.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-6412.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-6584.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-6620.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-7908.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-8040.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-8276.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\aria-debug-8484.log    =>.SUP.Temporary.OneDrive
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\nsk3ED6.tmp    =>.SUP.Temporary.Empty
DEPLACÉ fichier: C:\Users\chiva\AppData\Local\Temp\nsnC31F.tmp    =>.SUP.Temporary.Empty
DEPLACÉ dossier: C:\Program Files (x86)\OneSystemCare  =>PUP.Optional.OneSystemCare
DEPLACÉ dossier: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care  =>PUP.Optional.OneSystemCare
DEPLACÉ dossier: C:\Users\chiva\AppData\Roaming\One System Care  =>PUP.Optional.OneSystemCare
DEPLACÉ dossier: C:\Users\chiva\AppData\Local\MSfree Inc  =>HackTool.WinActivator
DEPLACÉ dossier: C:\Users\chiva\AppData\Local\OneDrive  =>PUP.Optional.Y2Go
DEPLACÉ dossier: C:\Users\chiva\AppData\Roaming\IObit\Advanced SystemCare  =>.SUP.AdvancedSystemCare
DEPLACÉ dossier: C:\Users\chiva\AppData\LocalLow\Canon Easy-WebPrint EX  =>.SUP.Empty
DEPLACÉ dossier: C:\Users\chiva\AppData\LocalLow\Canon Easy-WebPrint EX2  =>.SUP.Empty

---\  BASE DE REGISTRES ( Clés, Valeurs, Données ). (4)
SUPPRIMÉ clé*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\BitTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-78175114-1472718087-2886374366-1001\Software\csastats []  =>Adware.InstallCore
SUPPRIMÉ clé**: HKCU\Software\csastats []  =>Adware.InstallCore
SUPPRIMÉ valeur: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DAEMON Tools Lite Automount [0x03000000A084F4D10467D401]  =>Heuristic.Suspect

---\  RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (10)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>PUP.Optional.OneSystemCare
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/  =>HackTool.WinActivator
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Temporary.OneDrive
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Temporary.Empty
https://nicolascoolman.eu/2017/04/08/pup-optional-y2go/  =>PUP.Optional.Y2Go
https://nicolascoolman.eu/2017/12/26/sup-advancedsystemcare/  =>.SUP.AdvancedSystemCare
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Empty
https://nicolascoolman.eu/2017/09/19/adware-installcore-3/  =>Adware.InstallCore
https://nicolascoolman.eu/2017/01/28/heuristic-suspect/  =>Heuristic.Suspect

---\  NETTOYAGE ADDITIONNEL. (16)
~ Suppression des Clés de registre Tracing. (16)
~ Suppression des anciens rapports ZHPCleaner. (0)

---\ BILAN DE LA REPARATION
~ Réparation réalisée avec succès.
~ Ce navigateur est absent  (Opera Software)

---\ STATISTIQUES
~ Items scannés : 1189
~ Items trouvés : 0
~ Items annulés : 0
~ Items options : 12/12
~ Gain de place (Octets) : 144
~ End of clean in 00h00mn21s

---\  LISTE DES RAPPORTS (2)
ZHPCleaner-[S]-20022019-21_20_10.txt
ZHPCleaner-[R]-20022019-21_21_44.txt

[heracles]

Re,

Yop,

Avant la correction, j'ai eu 5 alerts.

Depuis la correction, j'ai plus rien pour l'instant.

Ok pour l'information. Au vu de ta première image, l'infection était confinée dans le répertoire temporaire.

On va laisser passer le week-end au cas où l'infection reviendrait. Tu m'avertis Lundi et si tout va bien, on finalise le sujet.


Bon week-end

[chiva]

Yop,

Ok maitre

Je reconnecte pas encore mes comptes FF et Clouds alors ?