Un PC bien lent et une connexion bien lente. Piratage de ligne internet ?

[cactus93]

Bonsoir,
Depuis une bonne semaine, je suppute un piratage de ma ligne par un elément dans le PC je ne sais pas si ça peut exister ?
J'ai accès à internet mais que c'est laborieux.
Merci d'avance à vous.

[chantal11]

Bonjour,

Nous allons vérifier côté infections en commençant par établir un rapport de diagnostic pour cibler les éventuels éléments néfastes avec cet outil :

---------------------------------------------------------------------------------------------

FRST :

• Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  
  Pour un système en 32 bits -> FRST
  Pour un système en 64 bits -> FRST64
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
  Rappel : FRST doit être enregistré sur ton Bureau <-- Important
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

@+

[cactus93]

Bonjour

Addition.txt = https://up.security-x.fr/file.php?h=R70 ... ae4bb46246

FRST.txt = https://up.security-x.fr/file.php?h=Rdb ... 04d37caa02

[chantal11]

Bonjour,

Pas d'infection active relevée sur ce système, juste quelques éléments résiduels à nettoyer.
Mais auparavant, il me faudrait quelques précisions.

A quoi sert SanDiskSecureAccess_Manager.exe ?
Tu en as un réel besoin ?

C'est toi qui a paramétré ces DNS 178.32.122.65 ?
Penses-tu que ton attitude soit bien responsable et ne représente pas un risque majeur au niveau de la sécurité de ton système ?

Ensuite nous appliquerons un correctif avec FRST.

@+

[cactus93]

Bonjour

Merci pour ce 1er retour.

A quoi sert SanDiskSecureAccess_Manager.exe ?
Tu en as un réel besoin ?
J'ai eu une clé USB SanDisk à une époque mais il y a quelques mois/années que je ne l'utilise plus.

C'est toi qui a paramétré ces DNS 178.32.122.65 ?
Penses-tu que ton attitude soit bien responsable et ne représente pas un risque majeur au niveau de la sécurité de ton système ?
De mémoire j'avais du indiquer cela lorsque j'utilisais le site T411 mais je n'y vais plus, je me suis assagi car la patrouille m'a attrapé, je dois être irréprochable pendant 1 an.
Pour la sécurité du syst, seul toi peux me le dire, tu es un(e) spécialiste et pas moi. Je me rangerai à tes conseils.

Merci à toi.

[chantal11]

Re,

Merci pour tes réponses.

A quoi sert SanDiskSecureAccess_Manager.exe ?
Tu en as un réel besoin ?

J'ai eu une clé USB SanDisk à une époque mais il y a quelques mois/années que je ne l'utilise plus.

OK, désinstalle donc via le Panneau de configuration -> Désinstaller un programme
SanDiskSecureAccess_Manager

Désinstalle aussi cette Toolbar indésirable :
AudioToAudio Internet Explorer Toolbar

ainsi que ces versions obsolètes et vulnérables :
Adobe Flash Player 22 NPAPI
Adobe Shockwave Player 12.2

C'est toi qui a paramétré ces DNS 178.32.122.65 ?
Penses-tu que ton attitude soit bien responsable et ne représente pas un risque majeur au niveau de la sécurité de ton système ?

De mémoire j'avais du indiquer cela lorsque j'utilisais le site T411 mais je n'y vais plus, je me suis assagi car la patrouille m'a attrapé, je dois être irréprochable pendant 1 an.

Je ne pensais pas à cet aspect du problème (le côté législatif), mais c'est finalement une bonne chose que cela t'ait incité à être plus raisonnable et surtout responsable sur le net et dans la gestion de ton système.
C'est surtout le côté sécuritaire que j'évoquais, le site T411 est réputé "pourri" et est un vecteur d'infections.

A y être, désinstalle aussi eMule


Nous allons donc appliquer un correctif avec FRST :

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  

  start
  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Policies\Explorer\Run: [2867357343] => C:\PROGRA~3\mscat.exe
  GroupPolicy\User: Restriction
  GroupPolicyUsers\S-1-5-21-644722515-1267731375-3469652439-1006\User: Restriction
  GroupPolicyUsers\S-1-5-21-644722515-1267731375-3469652439-1005\User: Restriction
  Tcpip\..\Interfaces\{ec498f0e-6a25-41df-bba9-824a22f4a12b}: [NameServer] 178.32.122.65,37.187.0.40
  SearchScopes: HKU\S-1-5-21-644722515-1267731375-3469652439-1000 -> {56EC19AC-86F7-4061-9912-F12600B34395} URL = hxxp://ask-tb.com/web?tpid=FF-RG&o=Y10003&pf=V7&p2=^B9O^YYYYYY^CA^FR&gct=&itbv=12.38.0.3324&apn_uid=872A67C6-C651-42E2-B3D0-6E29106339E1&apn_ptnrs=^B9O&apn_dtid=^YYYYYY^CA^FR&apn_dbr=iexplore.exe_6_11.0.9600.18163&doi=2016-01-24&trgb=ALL&q={searchTerms}&psv=&pt=tb
  SearchScopes: HKU\S-1-5-21-644722515-1267731375-3469652439-1000 -> {AFBCB7E0-F91A-4951-9F31-58FEE57A25C4} URL = hxxps://nortonsafe.search.ask.com/web?q={searchTerms}&o=APN11913&l=dis&prt=NS&chn=1000&geo=FR&ver=22&locale=fr_FR&guid=0E703CEF-341B-11DF-A294-4061867C56E9&doi=2016-09-01&gct=kwd&qsrc=2869
  SearchScopes: HKU\S-1-5-21-644722515-1267731375-3469652439-1000 -> {D0E0A030-57D0-4808-86B4-8C15E9703C6A} URL =
  cmd: ipconfig /flushdns
  EmptyTemp:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Analyser :

• Télécharge AdwCleaner de Malwarebytes et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(Sx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
AdwCleaner-Analyser

Ensuite nous nous occuperons de ton DD qui a un problème de bloc défectueux et qui est donc endommagé.
Pense à faire des sauvegardes de tes données personnelles sur un support externe.

@+

[cactus93]

Bonsoir

Ci-après les rapports attendus :

Fixlog = https://up.security-x.fr/file.php?h=Ra0 ... 24e358a32b

AdwCleaner-Analyser = https://up.security-x.fr/file.php?h=Rbd ... a58ab270ea

Par ailleurs, je ne parviens pas à désinstaller AudioToAudio Internet Explorer Toolbar --> message d'erreur : https://up.security-x.fr/file.php?h=R2d ... e4ee850350

[chantal11]

Bonjour,

Ce n'est pas grave pour le message d'erreur, AdwCleaner va le traiter.

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware (version gratuite) et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium". La case Exécuter Malwarebytes Anti-Malware reste cochée.
• Clique sur Terminer. Malwarebyte's s'ouvre
• Pour mettre en français si ce n'est pas le cas, dans Settings, puis General Settings, dans Language, sélectionne French
• Dans Version de la base de données, clique sur le lien Mettre à jour pour installer les mises à jour et laisse l'outil les installer
• Dans Paramètres, puis Détection et protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
• Dans Analyse, clique sur Analyse des Menaces puis clique sur Lancer l'analyse
• Si l'outil te propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
• Patiente le temps de l'analyse
• Pour supprimer les éléments détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Oui
• Au redémarrage, relance Malwarebytes
• Dans Historique, clique sur Journaux de l'application
• Double-clique sur le Journal d'analyse le plus récent, le journal d'examen s'affiche
• Clique sur Exporter puis sur Fichier texte (*.txt)
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
AdwCleaner-Nettoyer
Malwarebytes

@+

[cactus93]

Bonjour

AdwCleaner-Nettoyer : https://up.security-x.fr/file.php?h=Re5 ... efa62202e0

Malwarebytes : https://up.security-x.fr/file.php?h=R6f ... 2f2aa65501

[chantal11]

Re,

C'est parfait.

Comment se comporte le système maintenant ?


Procédure à appliquer aussi pour le problème avec le disque dur :

• Dans Démarrer -> Rechercher -> tu tapes cmd
• Clic-droit sur cmd.exe -> Exécuter en tant qu'administrateur
• Dans l'invite de commandes, tu tapes chkdsk C: /f /r
  
  Attention aux espaces
  _ représentant un espace, la commande est chkdsk_C:_/f_/r
  
  
• Tu valides par Entrée, puis tape o (o pour oui) pour "Voulez-vous que ce volume soit vérifié au prochain redémarrage du système"
• Referme l'invite de commandes et redémarre le système
• Patiente le temps de l'analyse (elle peut être assez longue)

Pour récupérer le rapport CHKDSK :

• Télécharge Report_CHDSK.exe de Laddy sur ton bureau
• Double-clique sur Report_CHDSK.exe pour l'exécuter
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Le rapport s'ouvre, poste ce rapport dans ta prochaine réponse.

Le rapport RapportCHK_DD-MM-AAAA.txt est enregistré sur le Bureau

@+