[Résolu] Fichiers TMP • page 2

[heracles]

Re,

Yop,

Ok maitre

Je reconnecte pas encore mes comptes FF et Clouds alors ?

Tu peux reconnecter tes comptes FF et Clouds.

Bonne soirée

[chiva]

Yop,

Pas encore reconnecter mes comptes et voila deux alertes.

Va falloir creuser encore plus loin a mon avis.

[heracles]

Re,


C'est en ouvrant Firefox ?


Si tu as Malwarebytes, effectue une analyse. Je te redonne la procédure.

• Télécharge Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
  
• Sous W7/W8/10 clique-droit > exécuter en tant qu'administrateur
  A la fin de l'installation,
  Clique sur Terminer. Malwarebyte's s'ouvre
  Dans l'onglet parametres >> protection , Positionnez les parametres comme sur l'image ci-dessous.
  
  
  
  
• Lance l'examen >> Analyse Maintenant
  
• Important : quand l'examen est terminé, SI des éléments ont été Détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Quarantaine sélectionnée
• Si un redémarrage est demandé, clique sur OUI.
  Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
  
  
• Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
  
  
• Clique sur l'onglet Exporter le résumé .
  
• Fait un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
  
• Clique sur Afficher Exporter.
  
• Clique sur Fichier texte (*.txt)
  
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, clique sur le Bureau.
  
• Dans la zone Nom du fichier: saisis un nom pour le journal d'examen. Exemple malwarebytesRapport
  
• Une boîte de message intitulée Fichier enregistré doit apparaître et t'annoncer que "Votre fichier a été exporté avec succès".
  
• Clique sur OK
  
• Héberge le contenu du rapport

Est attendu le rapport malwarebytesRapport.txt

[chiva]

Yop,

Ce matin, il y avais encore 5 alertes.

Il y avais FF ouvert oui ( il est en continu )

Malwarebytes donne clean, rien comme menace.

La je viens de désactiver 3 petit programmes qui tourne en continu aussi pour voir si c'est pas eux. M'étonnerais car ça fait des années que je les utilise.

La je vais laisser le pc allumé avec rien d'allumé que Panda. Ce soir j'allume FF et je vous dit quoi demain.

Profite de ton dimanche surtout et te casse pas la tête auj'.

[heracles]

Yop,



Sur ton image de ton premier post, un cheval de Troie est détecté sur le logiciel Easus. Tu as téléchargé ce logiciel sur le site officiel ou sur un site quelconque ?

Désactive la synchronisation de Firefox.
Télécharge ce correctif sur ton bureau. Clique droit sur FRST64.exe puis sélectionne exécuter en tant qu'administrateur et clique sur corriger.

fixlist.txt

Bonne journée

[chiva]

Yop,

Pour Easus, je sais pas te répondre, c'est mon ancien collègue qui me l'as mis. Moi je l'ai enlevé car j'en ai plus l'utilité pour l'instant.

Le synchronisation de FF est désactivé depuis que tu me l'as demandé.

Je viens de faire la correction et dés que j'ai allumé FF pour venir ici j'ai eu une alerte.

Le synchronisation qu'on vois dans Panda n'as rien à voir avec les clouds ou autre, c'est juste une synchronisation avec leurs serveurs pour les MAJ.

Je te mets le rapport et puis je te laisse jusqu'a demain matin, on va profiter du beau temps.

Code: Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20.02.2019 02
Exécuté par chiva (24-02-2019 13:32:32) Run:2
Exécuté depuis C:\Users\chiva\Desktop
Profils chargés: chiva (Profils disponibles: chiva)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
C:\Windows\Temp\ose00000.exe
FF NewTabOverride: Mozilla\Firefox\Profiles\rib7js1m.default-1550762437005 -> Enabled: newtaboverride@agenedia.com
FF Extension: (New Tab Override) - C:\Users\chiva\AppData\Roaming\Mozilla\Firefox\Profiles\rib7js1m.default-1550762437005\Extensions\newtaboverride@agenedia.com.xpi [2019-02-21]
2018-10-18 17:33 - 2018-10-19 07:16 - 000000624 _____ () C:\Users\chiva\AppData\Roaming\All CPU MeterV3_Settings.ini
RemoveProxy:
Hosts:
Cmd: netstat -b
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"C:\Windows\Temp\ose00000.exe" => non trouvé(e)
"Firefox NewTabOverride (newtaboverride@agenedia.com) " => supprimé(es) avec succès
C:\Users\chiva\AppData\Roaming\Mozilla\Firefox\Profiles\rib7js1m.default-1550762437005\Extensions\newtaboverride@agenedia.com.xpi => déplacé(es) avec succès
C:\Users\chiva\AppData\Roaming\All CPU MeterV3_Settings.ini => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-78175114-1472718087-2886374366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-78175114-1472718087-2886374366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= netstat -b =========


Connexions actives

  Proto  Adresse locale         Adresse distante       tat
  TCP    192.168.1.54:2869      mymodem:38579          TIME_WAIT
  TCP    192.168.1.54:2869      mymodem:38580          TIME_WAIT
  TCP    192.168.1.54:54705     40.67.248.104:https    ESTABLISHED
  WpnService
 [svchost.exe]
  TCP    192.168.1.54:56753     ams16s30-in-f78:https  TIME_WAIT
  TCP    192.168.1.54:56817     104.18.54.251:https    TIME_WAIT
  TCP    192.168.1.54:56845     230:http               TIME_WAIT
  TCP    192.168.1.54:56848     ams15s32-in-f3:https   TIME_WAIT
  TCP    192.168.1.54:56864     server-13-249-11-45:https  TIME_WAIT
  TCP    192.168.1.54:56866     server-13-249-13-204:https  TIME_WAIT
  TCP    192.168.1.54:56867     server-13-249-11-22:https  TIME_WAIT
  TCP    192.168.1.54:56870     ec2-34-241-163-218:https  TIME_WAIT
  TCP    192.168.1.54:56871     ef-in-f156:https       TIME_WAIT
  TCP    192.168.1.54:56893     par21s05-in-f14:https  TIME_WAIT
  TCP    192.168.1.54:56904     ams15s33-in-f13:https  TIME_WAIT
  TCP    192.168.1.54:56905     ams15s33-in-f3:https   TIME_WAIT
  TCP    192.168.1.54:56907     ns:https               TIME_WAIT
  TCP    192.168.1.54:56913     104.20.128.30:http     TIME_WAIT
  TCP    192.168.1.54:56914     93.184.220.29:http     ESTABLISHED
  CryptSvc
 [svchost.exe]
  TCP    192.168.1.54:56915     relay-bf874796:http    ESTABLISHED
 [AnyDesk.exe]
  TCP    192.168.1.54:56916     mymodem:9000           TIME_WAIT
  TCP    192.168.1.54:56917     mymodem:9000           TIME_WAIT
  TCP    192.168.1.54:56919     mymodem:9000           TIME_WAIT
  TCP    192.168.1.54:56921     mymodem:49153          TIME_WAIT
  TCP    192.168.1.54:56923     mymodem:49153          TIME_WAIT
  TCP    192.168.1.54:56924     mymodem:49153          TIME_WAIT
  TCP    192.168.1.54:56925     mymodem:49153          TIME_WAIT
  TCP    192.168.1.54:56928     mymodem:49153          TIME_WAIT
  TCP    [2a02:a03f:42e5:6300:8177:315:aec1:5951]:56847  [2606:4700:30::681c:1769]:https  TIME_WAIT

========= Fin de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9461760 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12641534 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 2888 B
Edge => 0 B
Chrome => 0 B
Firefox => 749530915 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1838 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
chiva => 3250477 B

RecycleBin => 50531123 B
EmptyTemp: => 787.2 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 13:34:09 ====

[heracles]

Re,


Les rapports frst.txt, additions.txt et shortcut.txt ne montre plus rien concernant ton problème.


1)As-tu essayé de démarre Firefox en mode sans échecs ?

• Clique sur démarrer puis exécuter
• Dans la fenêtre exécuter, copie colle ceci: firefox.exe -safe-mode
  puis valide par OK

Indique moi si tu as des alertes dans ce mode de lancement.




2) Si des alertes reviennent sur Firefox, je t'invite à configurer Adblock Plus de la manière suivante :

• Clique sur l'icône d'Adblock Plus.
• Dans la petite fenêtre qui s'ouvre, clique sur la roue dentée
• Dans l'onglet paramètres généraux; sous la rubrique publicité acceptable; décoche la case Autoriser seulement les pubs sans traçage tiers.

3) Ensuite, on va effectué un scan online:

• Accède à ce lien puis clique sur je scanne
• Télécharge et enregistre le logiciel Esetonlinescanner_fra.exe sur ton bureau.
• Fait un clic droit sur Esetonlinescanner_fra.exe puis sélectionne exécuter en tant qu'administrateur
• Dans la fenêtre qui s'ouvre, clique sur Analyser l'ordinateur
• Choisis Analyse complète
• Sélectionne l'option "Activer la détection et la mise en quarantaine des applications potentiellement indésirables par ESET" puis clic sur .lancer l'analyse.

A te relire

[chiva]

Yop,

Je vais tester ça.

Le rapport =>

Code: Tout sélectionner

25/02/2019 06:47:50
Fichiers analysés: 203144
Fichiers infectés: 4
Menaces nettoyées: 4
Temps d'analyse total 00:58:53
État de l'analyse: Terminé
C:\Users\chiva\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\eBay.lnk   Win32/Adware.ADON application potentiellement indésirable   nettoyé par suppression
C:\Users\chiva\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk   Win32/Adware.ADON application potentiellement indésirable   nettoyé par suppression
C:\Users\chiva\Desktop\produkey_setup.exe   une variante de Win32/PSWTool.ProductKey application potentiellement dangereuse   nettoyé par suppression
C:\Users\chiva\Downloads\ccsetup553.exe   Win32/Bundled.Toolbar.Google.D application potentiellement dangereuse   nettoyé par suppression


[chiva]

Yop,

Désolé du double post mais je sais pas si Mr Antibiotique ( ) as déjà lu celui avant.

Docn j'ai plus eu d'alertes pour l'instant.
J'ai remis FF en mode normal et je teste encore la journée, si il y a des changements, je préviens.

[chiva]

Yop,

Plus d'alertes.
Je crois qu'on peut finaliser le topic.

En attente.

[diogene]

Bonjour,

Je crois qu'on peut finaliser le topic.

C'est fait. Bravo à tous les deux !

[chiva]

Yop,

Merci @ EZ d'avoir transféré le topic

Merci @ Heracles pour son boulot

Merci @ Diogene d'avoir clôturé

Si il y a encore quelque chose à faire Heracles, tu fais savoir ?

[heracles]

Bonjour Chiva,



Tout est bon pour moi, on finalise le sujet.



On purge la quarantaine de Malwarebytes:

• Relance Malwarebytes (clic droit==> exécuter en tant qu'administrateur)
• Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer
• Confirme la demande de suppression en cliquant sur yes
• Ferme Malwarebytes

Suppression des logiciels:

• Télécharge DelFix (de Xplode) sur ton bureau.
• Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
• Nota:(Sous Vista, Windows 7, 8, 8.1, 10 faites un clic droit -> "Exécuter en tant qu'administrateur"
• Ne touche pas à l'option précochée Supprimer les outils de désinfection
• Coche en plus la case Purger la restauration système
  
• Clique sur le bouton "Exécuter"
• Laisse travailler l'outil.
• Le rapport sera enregistré sous, C:\DelFix.txt.
• Héberge ce rapport sur ce site d'hébergement de fichiers et indique le lien fourni dans ta réponse.

====================================================================

Consignes de sécurité à vérifier pour éviter les failles de sécurités:

• Tu dois impérativement veiller à maintenir tes logiciels et ton système à jour :
• Recommandation, installe le logiciel ci-dessous et vérifie périodiquement que des mises à jours soient disponibles.

• Télécharge UCheck portable (64 bits) sur ton bureau.
• Accepter les conditions d'utilisation, le navigateur s'ouvrira sur la page "Adlice Software" de UCheck...
• Cliquer sur [Démarrer] pour lancer la détection...
• Quand "Terminé" est affiché, cliquer sur "Détails" en regard de "Mises à jour en attente"
• Sélectionner la case à cocher "Tout (Dé)Sélectionner" et appuyer ensuite sur le bouton [Mettre à jour Sélectionné] pour lancer le processus de mise à jour automatique.
  Pour chaque programme on peut faire "Action" -> "Télécharger" puis "Action" -> "Installer"
  (il est possible de cliquer sur "Ouvrir le site officiel" pour faire les mises à jour manuellement)
• L'outil détecte également les mises à jour de Windows

Consignes préventives à retenir:

• Important: Adopte une bonne attitude de surf: tu réfléchies, tu cliques et non l'inverse.
• /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
• /!\ Etre vigilant au moment de l'installation d'une application
• Maintient ton Système à jours ainsi que tes logiciels de sécurité.
• Sauvegarde régulièrement les données personnelles sur un support externe
• Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
• Évite d'installer des programmes depuis des sites inconnus ou douteux (Softonic, TutoPC4, 01 du Net, sites de Cracks, P2P, porno, etc.). Privilégie plutôt le site de l'éditeur.
• Lis bien les clauses avant d'installer un programme et décoche d'éventuelle toolbar ou logiciel qui pourrait infecté ton PC
  

Afin de te sensibiliser toi et ton entourage pour éviter l'installation d'adwares et toolbars néfastes, je te propose un petit jeux inoffensif te montrant ce que tu télécharges inconsciemment si tu ne fais pas attention.
Entraîne-toi à ne pas tomber dans ces pièges en utilisant cet outil pédagogique. C'est amusant et sans risque du tout pour ton PC.

• Télécharge Adware Prevention (de guigui0001) sur ton bureau.
• Lance-le en double-cliquant dessus. Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !

Note : cet outil pédagogique évolue constamment, n'hésite pas à faire remonter un dysfonctionnement ou éventuellement une amélioration pour le besoin de tous.


Voici le tutoriel imagé pour facilité son installation

• Après ce jeux, tu devras toujours faire attention à tout les logiciels que tu télécharges sur le net car ceux-ci infecterons irrémédiablement ton PC cette fois ci.

Est attendu le rapport:


C:\DelFix.txt




A te relire

[chiva]

Yop,

Je te met le rapport direct ici car il est tellement petit

Code: Tout sélectionner

# DelFix v1.013 - Rapport créé le 26/02/2019 à 14:22:12
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : chiva - PORTABLE
# Système d'exploitation : Windows 10 Home  (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\FRST
Supprimé : C:\Users\chiva\Desktop\FRST64.exe
Supprimé : C:\Users\chiva\Desktop\ZHPCleaner.lnk
Supprimé : C:\Users\Public\Desktop\RogueKiller.lnk

~ Purge de la restauration système ...

Supprimé : RP #13 [Point de contrôle planifié | 02/11/2019 09:24:58]
Supprimé : RP #14 [Point de contrôle planifié | 02/20/2019 14:00:21]

Nouveau point de restauration créé !

########## - EOF - ##########


Encore merci à toi

[heracles]

Yop,



Ok pour le rapport Delfix.
Tu peux supprimer manuellement Esetonlinescanner_fra.exe (clic droit sur le fichier Esetonlinescanner_fra.exe puis clic sur supprimer



Bonne soirée