Votre question
Résolu

Comment être sur que mon PC soit clean ?

Tags :
  • Formatage disque dur
  • Virus
  • Clés USB
Dernière réponse : dans Sécurité et virus
3 Juillet 2017 09:23:25

Bonjour,

Hier, j'ai eu un problème de clé USB.

Je suis prof et ma clé passe par bon nombre d'ordi et hier en la mettant dans mon PC, je me suis aperçu que tous les noms de dossiers étaient cryptés en caractères spéciaux et leurs dates de modification allaient de 1973 à 2095 bref, il y avait un soucis.

J'ai une sauvegarde pas trop vieille du coup, j'ai formaté la clef... Seulement le formatage rapide à fonctionné mais pas le formatage complet (arrivé à 100% un message d'erreur s'est affiché). J'ai essayé de l'effacer complètement avec Cclener, mais là encore ça a BUGgué. Et voulu voir ce que faisait mon PC j'ai fait une recherche sur C: de tous les fichiers classés par date de modification et je trouvais une vingtaine de dossiers et fichiers modifiés chaque minutes. J'ai pensé que mon PC était infecté, et comme je n'avait absolument rien d'important dessus, je l'ai reformaté aussi.

(Pour info Avast et Malwarebytes ne trouvaient rien hier avant le formatage, ni après d'ailleurs.)

Et là, ce matin, ça a encore l'air un peu agité au niveau des fichiers mis à jour.


Quelqu'un pourrait-il m'aider à m'assurer que mon PC est clean et ensuite m'indiquer comment être sur que ma clé USB l'est aussi ?

D'avance merci à vous pour votre aide.



PS: pendant que j'y pense, même après reformatage de la clé USB hier, il reste toujours 738 ko dessus sans qu'on puisse voir le moindre fichier. C'est un problème ?

Autres pages sur : clean

3 Juillet 2017 12:00:50

Bonjour
Je suis longaripa.


Je suis en formation sécurité , et je vais prendre votre sujet en charge .
Toutes mes interventions seront validées par un expert en sécurité de ce forum .



Nous allons commencer par établir un diagnostic du PC . Pour cela ,

Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)

Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.

Cliquer ici pour la version 32 bits
Cliquer ici pour la version 64 bits


Info : comment savoir quelle version de Windows j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
  • Cliquer sur le bouton Analyser.



  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.


  • Poster les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
    Une aide à l'utilisation ici



    J'attends les rapports :
    frst.txt
    addition.txt
    m
    0
    l
    Contenus similaires
    4 Juillet 2017 16:26:00

    Bonjour

    Il n'y a pas grand chose d'inquiétant dans vos rapports.

    Vous aviez un produit McAfee, auparavant ?
    il en reste des séquelles.

    pour nettoyer ces restes , téléchargez et utilisez l'outil adéquat :
    http://us.mcafee.com/apps/supporttools/mcpr/mcpr.asp

    Il y a une adresse DNS , correspondant à une societé pharmaceutique aux Etats-Unis, qui est présente.
    Est-ce volontaire ? Savez-vous de quoi il s'agit ?

    Nous allons faire un premier nettoyage:

    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit sur FRST64.exe-> Exécuter en tant qu'administrateur
    • Appuyer simultanément sur les touches Ctrl + y. Un fichier fixlist.txt s'ouvre
    • Copier/coller la totalité du contenu de la zone Code ci-dessous dans ce fichier


      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
      EmptyTemp:
      end


    • Appuyer simultanément sur les touches Ctrl + s pour enregistrer, puis refermer le fichier fixlist.txt
    • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction

    • Accepter le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\


    Nous allons utiliser un autre outil , pour vérifier votre clé USB :


    Téléchargez UsbFix sur votre Bureau.
    Sur la page cliquer sur la ligne Download UsbFix Windows Installer
      Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
    • Branchez la clé USB sans l' ouvrir.
      IMPORTANT Fermer toutes les applications en cours (notamment le navigateur)
      Lancer UsbFix.exe. clique-droit > exécuter en tant qu'administrateur
    • Cliquez sur Recherche.validez par OK les différents messages d'informations.

      Laissez travailler l'outil sans l'interrompre
      À la fin du scan, un rapport va s'afficher,postez le
      Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).


  • Il y a donc 2 rapports à poster :
    fixlog.txt
    usbfix.txt
  • [/b]
    m
    0
    l
    4 Juillet 2017 18:04:31

    1) Oui MacAfee préinstallé avec Windows. Aussitôt remplacé par avast. J'ai lancé votre outil, mais j'ai reçu un message m'indiquant qu'il n'était pas possible de tout retirer et un rapport s'est ouvert, vous le voulez ?

    2) "Il y a une adresse DNS , correspondant à une société pharmaceutique aux Etats-Unis, qui est présente. Est-ce volontaire ? Savez-vous de quoi il s'agit ? "
    Absolument aucune idée. Je n'ai aucun lien avec une pharmacie.

    3) Procédure suivante effectuée, mais au redémarrage, c'est la merde. Sur votre site (et peut-être sur d'autre, pas testé) certain mots sont remplacé par des liens qui ouvrent une fenêtre quand je clique dessus...


    Par reflexe j'ai fermé la fenetre et j'ai aussitôt eu une alerte avast j'ai essayé un print screen mais cela n'a pas fonctionné j'ai tout de même cela :


    C'est pas top tout ça ?
    m
    0
    l
    4 Juillet 2017 18:06:21

    Les images ne passent pas. Je colle les liens à la place : http://www.hostingpics.net/viewer.php?id=606001Avast2.p...

    et
    http://www.hostingpics.net/viewer.php?id=177067Avast1.p...

    Du coup c'est pas bon le fichier trouvé. Le h***//w3p.checktr*x.com/w3p.js (J'ai mis des * pour que ça ne crée pas de lien et que personne ne clique par inadvertance, ce n'était peut-être pas obligatoire...(?))

    Voici le rapport fixlog ==> https://up.security-x.fr/file.php?h=R94510099fd456543c5...
    m
    0
    l
    4 Juillet 2017 18:11:41

    Re

    1) : oui , si vous pouviez poster le rapport ..

    2) . ok , on la supprimera

    3). Je ne vois pas trop ce qui s'est passé ..
    Arretez le pc , redémarrez le .

    refaites un scan avec FRST , comme dans mon 1er message , et postez les liens des rapports.


    m
    0
    l
    4 Juillet 2017 18:15:38

    Mince, j'étais en train de modifier mon précédent message avec le rapport.
    m
    0
    l
    4 Juillet 2017 18:27:08

    Pour info, depuis qu'avast s'est déclenché à mon précédent redémarrage, je n'ai plus les liens qui ouvrent des fenêtre au milieu des pages.
    m
    0
    l
    4 Juillet 2017 18:38:06

    Re

    Avast a bloqué le script qui affichait les liens sur des mots du texte.
    C'est bizarre que cela se soit produit sur ce site, je ne l'avais pas vu avant ...
    Mais c'est bloqué , ca ne se reproduira plus ...

    Les rapports FRST sont OK .
    Les restes de McAfee ont ete nettoyés, sauf quelques fichiers.

    Faites la procédure UsbFix , comme indiqué précedemment ..
    Et postez le rapport

    m
    0
    l
    4 Juillet 2017 18:52:09

    Je dois m’éclipser je rentrerai vers 23h. Donc à plus tard. Merci pour votre aide.

    Avez-vous tout de même une idée de comment un virus a pu s'introduire dans mon PC alors que je ne suis allé sur aucun site a part celui-ci et ceux qui sont aux bouts des liens que vous m'avez indiqué ? Ce serait lié au DNS de la pharmacie ? A autre chose ?
    m
    0
    l
    4 Juillet 2017 18:55:17

    Ok , on verra la suite demain...

    Il n'y a pas eu de virus qui s'est introduit dans le pc.
    ce qui a été bloqué est un script publicitaire, présent sur les sites.

    ce qui m'étonne, c'est qu'il soit présent sur ce forum..
    Peut-etre si on n'est pas connecté avec son pseudo ..
    je vais rechercher ...

    Edit : en fait , ces pop-ups apparaissent si on passe la souris sur un mot souligné , si on vient sur le site sans etre connecté avec son pseudo.
    C'est ce qui a du vous arriver ....
    Une fois connecté, ils n'apparaissent plus .

    Bonne soirée
    m
    0
    l
    4 Juillet 2017 19:09:17

    Exactement. J'étais déconnecté.

    Tout s'explique. Mais c'est pas cool pour les gens non connecté cette histoire :p  !

    A demain.
    m
    0
    l
    4 Juillet 2017 23:23:53

    J'ai 3 clés USB qui sont passé par mon ordi avant que je ne le formate. J'ai donc scanné les 3, mais en 2 étapes car je n'ai que 2 emplacement pour clés USB :p 

    1) 1 Clé avec quelques fichiers de sauvegarde de dimanche => https://up.security-x.fr/file.php?h=R15d04d5269fdebbb7f...

    2) 2 Clés dont l'une (la petite) était vide dimanche mais est rentré dans l'ordi. Et l'autre la 64Go est celle qui m'a posé problème. Et qui a été reformaté dimanche.
    => https://up.security-x.fr/file.php?h=R2c31498ecc272acd51...


    Je précise que USBfix m'a demandé de télécharger une nouvelle version de lui-même sur le site usb-antivirus.com.
    Et je n'ai pas osé vraiment désactiver ma protection en temps réel comme il me le demandait. J'ai donc laissé avast tourner pendant le scan.

    Faut-il que je recommence en fermant vraiment avast ?
    m
    0
    l
    5 Juillet 2017 11:18:46

    Re

    les rapports UsbFix sont OK .
    Il n'y a pas d'infection , ni sur le pc , ni sur les clés .

    On va régler cette histoire de DNS des USA .

    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit sur FRST64.exe-> Exécuter en tant qu'administrateur
    • Appuyer simultanément sur les touches Ctrl + y. Un fichier fixlist.txt s'ouvre
    • Copier/coller la totalité du contenu de la zone Code ci-dessous dans ce fichier


      start
      CreateRestorePoint:
      CloseProcesses:
      Tcpip\..\Interfaces\{ccaee71a-5146-4e39-8a3e-327d7fcb8cdb}: [DhcpNameServer] 40.53.1.12
      C:\Program Files\Common Files\McAfee
      C:\WINDOWS\System32\Tasks\McAfee
      EmptyTemp:
      end


    • Appuyer simultanément sur les touches Ctrl + s pour enregistrer, puis refermer le fichier fixlist.txt
    • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction

    • Accepter le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    1 rapport à poster :
    fixlist.txt
    m
    0
    l
    5 Juillet 2017 15:19:59

    Re

    Oui , pour moi , tout est clean .
    Les 3 clés et le pc .

    On va pouvoir terminer : nettoyage des outils utilisés, et quelques conseils :

    Télécharger DelFix (de Xplode) sur le bureau.

  • Fermer toutes tes fenêtres, puis faites un clic droit -> "Exécuter en tant qu'administrateur" DelFix.exe pour le lancer.
  • Ne pas toucher pas aux options cochées, il ne doit y avoir que : "Supprimer les outils de desinfection"
  • Cliquer sur le bouton "Exécuter"
  • Laisser travailler l'outil.
  • Le rapport est enregistré dans à la base du disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans la prochaine réponse.

    /!\ Quelques conseils de prudence et de prévention: /!\


    Des fichiers malveillants se sont introduits sur votre ordinateur, le plus souvent lors d'installation de logiciels téléchargés.
    Ils peuvent ralentir votre ordinateur, vous inonder de publicités , collecter/dérober des informations personnelles, crypter vos fichiers et d'autres actions désagréables.
    • Il faut prendre le temps de lire les conditions d'utilisation qui s'affichent lors d'une installation, avant de les accepter, ou de les refuser .
    • Il faut aussi refuser l'installation de logiciels proposés (par l'intermédiaire de cases cochées d'avance)
    • Ne télécharger des logiciels que sur des sites de confiance , de préférence sur le site de l'éditeur .


  • Un peu de lecture : Stop aux pubs et aussi Un exemple d'application "piégée"


    Méfiez vous aussi des pièces jointes reçues dans votre messagerie. Ne cliquez jamais dessus directement.
    Enregistrez la , et scannez la avec un antivirus , et si vous ne connaissez pas l'expéditeur, direction poubelle sans l'ouvrir.

    Méfiez vous de l'utilisation de logiciels P2P,(peer-to-peer,comme µTorrent), cracks ( Ils sont très souvent être infectés).
    A lire aussi !
    N'installez pas de logiciel "miracle" censé accélérer votre ordinateur, ou le réparer.

    Scannez régulièrement votre système avec votre antivirus .
    Maintenez votre système et vos logiciels à jour , surtout l' antivirus et les navigateurs .

    N'oubliez pas qu'un comportement responsable et prudent est la première et la meilleure des protections


    Un dernier rapport à fournir :

    delfix.txt
    m
    0
    l

    Meilleure solution

    6 Juillet 2017 09:08:54

    Bonjour

    He bien , c'est tout bon .

    Bonne continuation , et prudence sur le net ...

    Pour une meilleure lisibilité du forum, n'oubliez pas de marquer en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses).
    partage
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS