Votre question
Résolu

fichier xxx.tmp.exe dans le gestionnaire de taches

Tags :
  • Malware
  • Lenovo
  • PC
  • Virus
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juillet 2017 06:03:25

Bonjour à tous,

J'ai un souci sur mon pc portable, j'ai un lenovo g50-80.
Dans le gestionnaire des taches, il y a des éléments du types "g48A9.tmp.exe" et d'autres "xxx.tmp.exe". J'ai lu sur d'autres forums, que c'était du à une infection. Dans mon cas je ne sais pas quoi faire, pourriez-vous m'aider à réparer mon pc svp ?
J'ai téléchargé FRST.exe et je vous mets les fichiers addition.txt et FRST.txt
addition.txt : https://up.security-x.fr/file.php?h=Ra7f15852e7876125fe...
FRST.txt : https://up.security-x.fr/file.php?h=R34a422ae0da61b715c...

Voila j'espère vraiment que vous allez pouvoir m'aider
Merci :) 

Autres pages sur : fichier xxx tmp exe gestionnaire taches

a c 1023 8 Sécurité
6 Juillet 2017 08:05:40

Bonjour,

Je regarde tes rapports et t'indique la suite.

@+
m
0
l
a c 1023 8 Sécurité
6 Juillet 2017 09:22:37

Re,

Avant de débuter la désinfection (ton système est très infecté), comment a été activé Microsoft Office Professionnel Plus 2016 ?

@+
m
0
l
Contenus similaires
6 Juillet 2017 12:29:33

Bonjour,
D'accord j'espère que c'est rattrapable. J'avoue que je l'ai active avec kms :/ 

Merci de ton aide chantal
m
0
l
a c 1023 8 Sécurité
6 Juillet 2017 13:55:56

Re,

Citation :
D'accord j'espère que c'est rattrapable. J'avoue que je l'ai active avec kms

Oui, je m'en doutais, et cet Office que tu as téléchargé je ne sais où et activé illégalement est à l'origine des multiples infections qui se sont installées sur ton système.

Je t'invite donc à désinstaller Microsoft Office Professionnel Plus 2016 par le Panneau de configuration avant la désinfection, l'activation va de toute façon s'annuler lors la procédure.
Si tu ne veux pas acquérir une licence Office, il existe des alternatives gratuites comme LibreOffice.

Indique quand tu auras désinstallé Office que nous puissions débuter la procédure.

@+
m
0
l
6 Juillet 2017 14:12:42

Re bonjour,

Alors ca y est j'ai désinstallé microsoft office professionnel plus 2016 par le panneau de configuration.
m
0
l
a c 1023 8 Sécurité
6 Juillet 2017 17:36:30

Re,

OK, nous commençons donc la procédure ;) 


Tu appliques les procédures dans l'ordre où elles sont présentées.

/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

--------------------------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

Adwares/Programmes indésirables :
DragonBoost

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copie la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> http://textup.fr/210354qG

  • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction

  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    AdwCleaner - Analyser :

    • Télécharge AdwCleaner de Malwarebytes et enregistre le fichier sur ton Bureau
      Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
    • Ferme toutes les applications, y compris ton navigateur
    • Exécute AdwCleaner.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Analyser
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
    • Un rapport AdwCleaner(Sx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)


  • Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports
    Fixlog
    AdwCleaner-Analyser


    @+
    m
    0
    l
    6 Juillet 2017 19:54:57

    Re,
    Il n'y a pas de dragonboost dans la liste des programmes. J'exécute quamd même les étapes suivantes ?
    m
    0
    l
    a c 1023 8 Sécurité
    6 Juillet 2017 21:13:13

    Re,

    DragonBoost est pourtant bien listé dans la liste des programmes à désinstaller, tu peux vérifier ?

    Sinon, tant pis, tu passes à la suite.

    @+
    m
    0
    l
    6 Juillet 2017 21:20:47

    Bonsoir,
    J'ai bien vérifié dans la liste il n'y a pas de dragon boost. J'ai fait l'étape suivante du couo mais ca bloque : lorsque je clique sur corriger ca me met "aucun fichier fixlist.txt n'a ete trouvé. Le fichier fixlist.txt doit etre dans le même dossier que l'outil."
    m
    0
    l
    a c 1023 8 Sécurité
    6 Juillet 2017 21:31:42

    Re,

    Suis bien la procédure indiquée, il n'y a pas de fixlist à créer.

    Tu lances FRST par clic-droit -> Exécuter en tant qu'admnistrateur
    Tu ouvres ce lien http://textup.fr/210354qG
    Tu copies la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier)
    Puis tu cliques sur Corriger dans l'interface de l'outil FRST ..... c'est tout

    Ensuite en fin de correction, après redémarrage du système si demandé, le rapport Fixlog s'affiche.

    Poste ce rapport dans ta prochaine réponse.

    @+
    m
    0
    l
    6 Juillet 2017 21:57:42

    Rebonsoir,

    Desole chantal mais j'ai fait à la lettre ce que tu m'as indiqué mais je ne sais pourquoi il y a cette fenetre qui apparait. Je n'ai rie fait d'autre, toutes les applications sont fermées. Il faut peut etre que j'attende ?
    m
    0
    l
    a c 1023 8 Sécurité
    6 Juillet 2017 22:26:39

    Re,

    Nous allons faire autrement, je vais t'indiquer une autre procédure.

    --------------------------------------------------------------------------------------------------------------

    FRST - Correctif :

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Run: [gplyra] => C:\Users\marwa\AppData\Roaming\gplyra\gplyra\start.cmd
      HKLM-x32\...\Run: [AppTrailers] => C:\Users\marwa\AppData\Roaming\AppTrailers\AppTrailers.exe su
      HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
      HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
      HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
      HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
      HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
      HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
      HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
      HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
      HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
      HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
      HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
      HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
      HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
      HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
      HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
      HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
      HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
      HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
      HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
      HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
      HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
      HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
      HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
      HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
      HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
      HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
      HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
      HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
      HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
      HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
      HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
      HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
      HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
      HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
      HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
      HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
      HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
      HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
      HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
      HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
      HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
      HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
      HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
      HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
      HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
      HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
      HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [5cuapq3lzr2] => "C:\Users\marwa\AppData\Roaming\yv4k3ks2v01\q0fww0svhvu.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [nquebkcy25g] => "C:\Users\marwa\AppData\Roaming\ircxzyzn5pe\t53y1hoiw4a.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [W7I5ILR9MUTFMFC] => "C:\Program Files\XT02S0ZST8\XT02S0ZST.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [XOWUMMB9XYR8EU2] => "C:\Program Files (x86)\5snehh3t53p\G5U5E.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [ashauhdymhj] => "C:\Users\marwa\AppData\Roaming\nfi1c5mj105\tmk5ch3u4xd.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [1N24QEU8JMIB409] => "C:\Program Files\OP57W3FSAH\OP57W3FSA.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [gqu3tjss3cz] => "C:\Users\marwa\AppData\Roaming\sanoaahuwvz\1femeo3pmnc.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [ap5ikh40oko] => "C:\Users\marwa\AppData\Roaming\hfqt4oa1evh\m5rhcoqihtr.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [MRM594P482GQPL2] => "C:\Program Files\40CYHYVXBD\HPJDPY1YA.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [H1OYEETCDSX2DT0] => "C:\Program Files\2BGY5E4FBO\F0MDDDAGA.exe"
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe /autostart
      ShellExecuteHooks: Pas de nom - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\Windows\C_02iu47.dat [2017280 2017-07-05] (Micrasaft Carparation)
      HKU\S-1-5-21-357811342-410807459-2560439114-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=H76zamobl20488AU,f2cc08d8-ada0-4a3a-ae7e-2aa31853cc06,&vp=ch&prd=set_ie
      SearchScopes: HKU\S-1-5-21-357811342-410807459-2560439114-1001 -> DefaultScope {DC0F76D7-A4DC-48E2-875F-8AC632C3486E} URL =
      SearchScopes: HKU\S-1-5-21-357811342-410807459-2560439114-1001 -> {626A7107-3CE7-429E-AB7F-E8D819B82ED4} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H76zamobl20488AU,f2cc08d8-ada0-4a3a-ae7e-2aa31853cc06,
      SearchScopes: HKU\S-1-5-21-357811342-410807459-2560439114-1001 -> {DC0F76D7-A4DC-48E2-875F-8AC632C3486E} URL =
      R2 SMUpd; C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe [2989056 2017-07-06] (Search Module Ltd.) [Fichier non signé]
      S2 OtherSearch; rundll32.exe "C:\Program Files (x86)\4tiJ2qaHvo\kl.dll",Svc [X]
      S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X]
      S2 svchostwork; "C:\Program Files (x86)\jetstrmedia\NetMedia\svchostwork.exe" "C:\WINDOWS\system32\svchostwork.cfg" --service
      R3 SMUpdd; C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys [52992 2017-07-06] ()
      2017-07-06 03:42 - 2017-07-06 05:03 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
      2017-07-06 03:42 - 2017-07-06 03:42 - 00000000 ____D C:\ProgramData\SearchModule
      2017-07-06 03:21 - 2017-07-06 03:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
      2017-07-06 03:21 - 2017-07-05 14:22 - 02017280 ___SH (Micrasaft Carparation) C:\WINDOWS\C_02iu47.dat
      2017-07-06 03:20 - 2017-07-06 03:20 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Healer
      2017-07-06 03:17 - 2017-07-06 03:19 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
      2017-07-06 03:17 - 2017-07-06 03:19 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
      2017-07-06 03:16 - 2017-07-06 03:16 - 00000000 ____D C:\Program Files\Common Files\Noobzo
      2017-07-06 03:13 - 2017-07-06 03:13 - 00000000 ____D C:\Users\marwa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppTrailers
      2017-07-06 02:58 - 2017-07-06 03:20 - 00000002 _____ C:\END
      2017-06-07 19:19 - 2012-01-06 03:02 - 00809496 ____R (Creative Labs Inc.) C:\WINDOWS\SysWOW64\tmpBBC7.tmp
      2017-06-07 17:24 - 2017-06-07 17:24 - 00000000 ___HD C:\WINDOWS\msdownld.tmp
      C:\Program Files\XT02S0ZST8
      C:\Program Files (x86)\5snehh3t53p
      C:\Program Files\OP57W3FSAH
      C:\Program Files\40CYHYVXBD
      C:\Program Files\2BGY5E4FBO
      C:\Program Files (x86)\YeaDesktop
      C:\Program Files (x86)\jetstrmedia
      C:\Program Files (x86)\ProxyGate
      C:\Users\marwa\AppData\Roaming\gplyra
      C:\Users\marwa\AppData\Roaming\AppTrailers
      C:\Users\marwa\AppData\Roaming\yv4k3ks2v01
      C:\Users\marwa\AppData\Roaming\ircxzyzn5pe
      C:\Users\marwa\AppData\Roaming\nfi1c5mj105
      C:\Users\marwa\AppData\Roaming\sanoaahuwvz
      C:\Users\marwa\AppData\Roaming\hfqt4oa1evh
      Task: {187C4B1C-0125-4AFB-A911-F721E73AD2E4} - \System HealerPeriod -> Pas de fichier
      Task: {496A444F-87F4-4CB1-966B-B3E91A5A983D} - System32\Tasks\AutoPico Daily Restart => C:\Users\marwa\AppData\Local\Temp\RarSFX0\AutoPico.exe
      Task: {61EC3AE1-73B5-4B22-AFF7-74091B8BD1CF} - \{7E0B0547-0E04-0804-7D11-080E7F0D1104} -> Pas de fichier
      Task: {62236D69-B72C-49AE-8076-19DF84E8162C} - \k8PApmaciY -> Pas de fichier
      Task: {7199D2A5-53D0-4FC9-B0A2-F46D64A9143A} - \SystemHealer Monitor -> Pas de fichier
      Task: {7FFDB000-9CA4-46CF-B76C-74C1775D1FE7} - \Trainchips-net -> Pas de fichier
      Task: {87DFFAF7-76BC-4BBF-988E-3D6273DF3DC9} - \SoftUpgrade -> Pas de fichier
      Task: {D1E911C5-AFD6-4292-B8AA-DDD0A793DD25} - \System HealerStartUp -> Pas de fichier
      Task: {D65BD321-9676-483F-852F-4C9F5163E11F} - \System Healer Task -> Pas de fichier
      Task: {DE9B2602-2E72-45C7-88B2-A7878844460F} - \SystemHealer Run Delay -> Pas de fichier
      Task: {F457FF9B-9196-4035-87C7-F96939E20AA3} - \SMW_P -> Pas de fichier
      Task: {FCDC2316-81F9-4710-8F33-4FFF7F083BF0} - \SMW_UpdateTask_Time_323539363135353737302d574a324178345a2a376c455a -> Pas de fichier
      Task: {FFABD68D-C430-4AB7-9B40-A9D7639B095D} - \316516e22c96b63377486d8a0524e8b1 -> Pas de fichier
      WMI_ActiveScriptEventConsumer_ASEC:
      ShortcutWithArgument: C:\Users\marwa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h76zamobl20488au,f2cc08d8-ada0-4a3a-ae7e-2aa31853cc06,
      ShortcutWithArgument: C:\Users\marwa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\marwa\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/
      ShortcutWithArgument: C:\Users\marwa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\marwa\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/
      ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\marwa\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/
      ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\marwa\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/
      FirewallRules: [{B332BA7D-6283-432B-BC99-CB33CC3DEAD7}] => (Allow) C:\Users\marwa\AppData\Local\Temp\RarSFX1\AutoPico.exe
      FirewallRules: [{4F15F695-ECDC-4BBD-ABDE-11CEC9F912B7}] => (Allow) C:\Users\marwa\AppData\Local\Temp\RarSFX1\AutoPico.exe
      Hosts:
      EmptyTemp:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

    • Accepte le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Poste le rapport Fixlog et fais la suite avec AdwCleaner.

    @+
    m
    0
    l
    a c 1023 8 Sécurité
    6 Juillet 2017 23:31:13

    Re,

    OK, nous continuons le nettoyage.

    --------------------------------------------------------------------------------------------------------------

    AdwCleaner - Nettoyer :

    • Ferme toutes les applications, y compris ton navigateur
    • Exécute AdwCleaner.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Analyser
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
    • Patiente le temps de l'analyse et valide le message d'informations
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)


  • Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

    --------------------------------------------------------------------------------------------------------------

    Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware (version gratuite) et enregistre le sur le Bureau
    • Exécute mb3-setup-consumer.exe par clic-droit -> Exécuter en tant qu'administrateur
    • La version Premium est automatiquement installée pour un essai gratuit de 14 jours
    • Clique sur Terminer. Malwarebytes s'ouvre

    • Si dans Etat de l'analyse, Mises à jour est orange, cliquer sur la flèche tournante
    • Dans Paramètres, puis Protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
    • Dans Analyse, clique sur Analyse des Menaces puis clique sur Lancer l'analyse
    • Patiente le temps de l'analyse
    • En fin d'analyse, clique sur Afficher les résultats d'analyse
    • Pour supprimer les éléments détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Quarantaine sélectionnée
    • Un résumé d'analyse s'affiche. Clique sur Exporter le résumé puis sur Fichier texte (*.txt) pour enregistrer le rapport d'analyse
    • Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
      Si un redémarrage est demandé, valide par Oui et laisse le système redémarrer.
      Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs


  • Tutoriel d'utilisation Malwarebytes en images

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports
    AdwCleaner-Nettoyer
    Malwarebytes


    Comment se comporte le système maintenant par rapport aux symptômes signalés au début ?

    @+
    m
    0
    l
    7 Juillet 2017 00:05:25

    Re,

    Un redémarrage m'a bien été demandé. Par contre le chemin que j'ai suivi est C : \ ProgramData\Malwarebytes\MBAMService (c'est le seul dossier affiché dans Malwarebytes)\logs.
    Mais dans ce dossier, il y a deux fichiers en .log et un fichier en .xpe
    J'ai trouvé le rapport dans Malwarebytes\Comptes-rendus, c'est le compte-rendu d'analyse
    Voila le fichier adwcleaner : https://up.security-x.fr/file.php?h=R621452265ad7927cb3...
    et voila le rapport malwarebytes : https://up.security-x.fr/file.php?h=R7effd36a3ec6ad7567...

    Le système répond mieux, le processeur est moins sollicité (je le vois dans le gestionnaire des taches) du coup le ventilo tourne moins vite, il y a juste ce souci de sites web bloqué au redemarrage qui m'inquiète.
    Comment peut-on être sur que tout va bien maintenant ?

    m
    0
    l
    7 Juillet 2017 00:07:40
    m
    0
    l

    Meilleure solution

    a c 1023 8 Sécurité
    7 Juillet 2017 08:07:04

    Bonjour,

    Les notifications Malwarebytes étaient pour signaler le blocage d'un site Web.


    Citation :
    J'ai redemarré le système et il n' y a plus de notifications J'ai redemarré le système et il n' y a plus de notifications

    Donc tout va bien ?

    Nous pouvons donc finaliser la procédure.

    ---------------------------------------------------------------------------------------------

    Adobe Flash Player :

    Ouvre Firefox, télécharge et installe cette dernière version :
    Adobe Flash Player

    Pense à décocher les options proposées en même temps telles que la Barre d'outils Google ou McAfee Security Scan Plus
    Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

    ---------------------------------------------------------------------------------------------

    Java :

    Télécharge et installe cette dernière version Java

    Pense à décocher le sponsor Yahoo qui est proposée


    Ensuite, dans le Panneau de configuration Java, dans l'onglet Avancé -> rubrique Divers -> coche la case Supprimer les offres de parrainage lors de l'installation ou la mise à jour de Java -> Appliquer


    ---------------------------------------------------------------------------------------------

    DelFix :

    • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
      Installation d'une application sponsorisée, les pièges à éviter !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
      SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    7 Juillet 2017 14:16:27

    Bonjour chantal,

    Voila mon rapport Delfix.txt : https://up.security-x.fr/file.php?h=R2c089b4585e1c4a21e...
    Merci infiniment pour ton temps et ton aide. J'ai retenu la leçon, plus de crack, d'ailleurs j'ai téléchargé libreoffice ;) 
    En tout cas merci beaucoup :) 
    m
    0
    l
    a c 1023 8 Sécurité
    il y a 9 minutes

    Re,

    Citation :
    J'ai retenu la leçon, plus de crack, d'ailleurs j'ai téléchargé libreoffice

    Sage décision :) 


    Bonne continuation .... et Prudence sur le net

    @+
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS