[résolu] Détection par Malwarebyte.

Re salut   Oui je suis matinal !
A l'ouverture de mon PC ce matin j'ai eu un défilé de fenêtres d'alertes , avec des domaines différents.
http://cjoint.com/?EBCgSVgoWZo
http://cjoint.com/?EBCgTMXFiL6
http://cjoint.com/?EBCgUxbECC4
http://cjoint.com/?EBCgVauZCpY
http://cjoint.com/?EBCgVHwQSfs
Toutes ces fenêtres s'affichent les unes après les autres, avant même que j'aille sur un site, j'étais en train de lire mon courrier ;c'est le défilé 
Et pendant que j'écris ce message les fenêtres continuent à défiler !
edit: Il est 10h30 ,il y a une heure j'avais une mise à jour à faire sur windowsupdate, je l'ai faite et depuis le redémarrage de mon PC les fenêtres d'alertes ont disparu, je n'y comprends plus rien !

y'a clairement un soucis là où alors Malwarebytes devient dingo  

Les fenêtres semblent liées aux mises à jour d'avira et de flash player, mais il les bloque c'est pas normal. Si tu fais une mise à jour manuellement d'avira ca bloque ou ca fonctionne?

fais ca (roguekiller) et poste le rapport : https://morbak-home.forumgratuit.org/t998p20-programmes-de-desinfection-les-modes-d-emplois#14675

Bonjour cher ami!
Voici le lien:
http://cjoint.com/?EBClnyMgUwV

fais analyser ce fichier sur virustotal : C:\Users\krikrou\AppData\Local\Temp\HWiNFO64A.SYS

Il n'y est pas ce fichier ?
http://cjoint.com/?EBClEK77zB4

Tu as affiché les fichiers protégés du système? (case à décocher quelques lignes sous "afficher les fichiers cachés" dans les options d'affichage)

Si il n'est pas visible malgré tout, fait une suppression avec roguekiller en selectionnant seulement ces deux lignes :
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HWiNFO32 (\??\C:\Users\krikrou\AppData\Local\Temp\HWiNFO64A.SYS) -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HWiNFO32 (\??\C:\Users\krikrou\AppData\Local\Temp\HWiNFO64A.SYS) -> Trouvé(e)

Ok, mais en plus de ces deux lignes que tu me demandes de supprimer il y à plusieurs lignes déja précochées qui sont en surbrillance orange, je les laisse cochées ou je les décoche ?

Si c'est précoché, laisse les cochées.

Ok c'est fait ! Et maintenant que vais-je faire ? Lol

Je suis obligé de sortir, je laisse mon ordi allumé en l'état, j'ai laissé roguekiller actif dans la barre des tâches a tout à l'heure merci

poste le rapport de roguekiller et tu pourra le fermer (désolé petit imprévu, j'ai du m'absenter)

Les ip sont forcément malicieuses, elles sont toutes presques identiques, pour 3 ou 4 programmes qui n'ont aucun rapport entre eux ca n'est pas normal du tout

Pour info :
https://www.virustotal.com/fr/ip-address/5.178.43.33/information/
https://www.virustotal.com/fr/ip-address/5.178.43.42/information/
https://www.virustotal.com/fr/ip-address/5.178.43.26/information/

Krikrou, utilise SEAF et cherche le terme akamai comme expliqué ici puis poste le rapport : https://morbak-home.forumgratuit.org/t641-seaf-pour-trouver-une-fichier-dossier-cle-de-registre
Pour les réglages, coche les 3 cases à gauche, règle le Checksum sur MD5 et a droite choisi "rechercher également dans le registre"

Et pour voir, télécharge RstHosts : https://toolslib.net/downloads/viewdownload/15-rsthosts/
LAnce le en tant qu'admin, et clique sur Créer un rapport
Poste le rapport qui s'ouvrira

Re salut les copains !
Bon voici le rapport que m'a demandé Casper
http://cjoint.com/?EBCpAHZfuzz
Maintenant j'attaque les instructions de Morbak 

Voici les 2 rapports ! J'attends vos instructions 
http://cjoint.com/?EBCpVZrOFpM
http://cjoint.com/?EBCpWErWn6J

copie les 3 lignes suivantes :
C:\Users\krikrou\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\F35P23RN\fbstatic-a.akamaihd.net
C:\Users\krikrou\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\F35P23RN\macromedia.com\support\flashplayer\sys\#fbstatic-a.akamaihd.net
C:\Users\krikrou\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#fbstatic-a.akamaihd.net

Et utilise OTM comme indiqué ici : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14668

ensuite purge ta connexion réseau par précaution : https://morbak-home.forumgratuit.org/t642-reparer-la-connexion-internet

Je dois m'absenter, je reviens avant 17h pour poursuivre.

Ok mais je préfère attendre 17h que tu sois là 

Pour le rapport OTM ça doit être ça :
http://cjoint.com/?EBCqFtsYOxs
OUPSSSSSSSSSS qu'est-ce-que c'est ce truc zarbi 

Pour la réparation réseau, je me fais du souci ! Une, parce que c'est du chinois pour moi
Deux parce que je n'ai pas de problème réseau !
Dis-m'en plus Morbak !

bon, alors ca se voit que j'ai pas utilisé otm depuis longtemps moi

Recopie ces lignes (avec le :files en premier) :
:files
C:\Users\krikrou\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\F35P23RN\fbstatic-a.akamaihd.net
C:\Users\krikrou\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\F35P23RN\macromedia.com\support\flashplayer\sys\#fbstatic-a.akamaihd.net
C:\Users\krikrou\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#fbstatic-a.akamaihd.net

Ensuite colle les dans OTM et clique sur Move It.

Pour la réparation de la connexion réseau c'est simple. Les adresses que les programmes veulent executer sont "normales". Ils demandent juste une mise à jour. Ce qui n'est pas normal c'est que les programmes tentent de se connecter à une adresse ip malicieuse qui n'a rien à voir avec l'adresse ip origiinale. Ce qui explique qu'ils veulent tous se connecter à la même adresse, c'est le même serveur.

Soit c'est dû une saleté qui a touché tes réglages réseaux, soit un rootkit qui provoque une redirection des requêtes, soit une redirection via le fichier hosts (d'ou le controle précédent).

Si tu ne comprends pas quelque chose dans le tuto, demande et on expliquera

Bon écoute Morbak je vais faire OTM pour le reste on va voir après ! Lol, par contre les fenêtres d'alertes je ne les ai plus depuis ce matin 10h00, elles ont eu peur quand je leur ai dit que j'appelais Casper et Morbak !!

Rapport OTM
http://cjoint.com/?EBCq3l1eQ96

C'est quoi ce rapport en forme de lecteur MP3 ?

c'est cjoint qui devient maboule, il reconnait les fichiers log comme des mp3...
OTM a tout viré correctement, si tu n'as plus d'alertes, tu peux zapper le tuto de réparation on verra ca si les alertes reviennent.

Tu peux supprimer OTM et le dossier C:\_OTM\MovedFiles aussi.

OK Merci Morbak ! Pour Roguekiller seaf  RSThosts etc... je vire tout ?

oui tu peux tout virer (delfix le fait normalement)

OK j'ai passé Delfix ! Merci mes amis pour votre généreuse dévotion 
On attend lundi ou mardi pour mettre en résolu ?!