[Loic_Romio]

Bonjour,

Je vous contacte car j'arrive pas à trouver une solution définitive à mon soucis du type "site inacessible, ERR_CONNECTION_CLOSED"

Contexte :
-Win10 64bits
-KMS pico (source du problème je pense)

J'ai un proxy en permanence actif dans les paramètres windows : "http://127.0.0.1:86/"
Si je le désactive, il se réactive de lui même.

De plus, depuis le Centre Réseau et partage => options internet => Connexions :
Les pAramètres de réseau local sont inaccessibles avec un message : "Certains paramètres sont gérés par votre administrateur système"
Or je suis le seul sur le PC.

Tout me fait penser à un malware,
Roguekiller résous le soucis jusqu'au prochain démarrage,
ZHPCleaner résous le soucis jusqu'au prochain démarrage,

FRST, scanne et vois aussi les choses, mais je ne maitrise pas son outil de nettoyage avec le fixlist.txt.
FRST.txt : https://www.cjoint.com/c/KEFqmUKK6Rh
Addition.txt : https://www.cjoint.com/c/KEFqnxNjgDh
Il me dit :
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)
AutoConfigURL: [HKLM] => hxxp://127.0.0.1:86/
AutoConfigURL: [HKLM-x32] => hxxp://127.0.0.1:86/
AutoConfigURL: [{2305FC54-F92F-4C30-B1AB-E7F8F3244EC4}] => hxxp://127.0.0.1:86/
AutoConfigURL: [{449DDA03-D508-4E35-8264-380F5D70756C}] => hxxp://127.0.0.1:86/
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION

==================== Hosts contenu: =========================

(Si nécessaire, la commande Hosts: peut être incluse dans le fichier fixlist.txt afin de réinitialiser le fichier hosts.)

2021-04-20 18:51 - 2021-04-20 18:51 - 000002392 _____ C:\Windows\system32\drivers\etc\hosts
127.0.0.1 hl2rcv.adobe.com
127.0.0.1 adobeereg.com
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobe-dns-5.adobe.com
127.0.0.1 hh-software.com
127.0.0.1 www.hh-software.com
127.0.0.1 activate.adobe.de
127.0.0.1 practivate.adobe.de
127.0.0.1 ereg.adobe.de
127.0.0.1 activate.wip3.adobe.de
127.0.0.1 wip3.adobe.de
127.0.0.1 3dns-3.adobe.de

Addition.txt :
Date: 2021-04-20 18:48:36
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid ... terprise=0
Nom : HackTool:Win32/Patcher
ID : 2147659947
Gravité : Élevée
Catégorie : Outil
Chemin : file:_C:\Users\romio\AppData\Local\Temp\Rar$EXb8972.14134\AMTEmu.v.0.9.2\amtemu.v0.9.2-painter.exe (je n'arrive pas à accéder à ce dossier, c'est impossible)
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-FBQVH2D\romio
Nom du processus : C:\Program Files\WinRAR\WinRAR.exe
Version de la veille de sécurité : AV: 1.335.1263.0, AS: 1.335.1263.0, NIS: 1.335.1263.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5


Fichiers ZHPCleaner dans l'ordre des analyses :
1-https://www.cjoint.com/c/KEFp5XXEGhh avant réparation de mémoire
2- https://www.cjoint.com/c/KEFp5Dq6yRh après réparation de mémoire
3-https://www.cjoint.com/c/KEFqiXGWsZh le lendemain, aujourd'hui


ROGUEKILLER
Scan : https://www.cjoint.com/c/KEFqqAIzSzh


J'ai aussi essayé les rest ip via cmd ipconfig, et les flushdns
A votre dispo

Merci d'avance !

[ab_web]

Bonsoir

je regarde tout ça et je reviens

[ab_web]

Hello

Commence par désinstaller WinRAR

Ensuite nous allons faire une correction avec FRST
Pour la correction

1 - Copie la totalité du texte hébergé sur cette page >> CORRECTIF-FRST
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur

ATTENTION: Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

Continu avec Adwcleaner
Télécharge AdwCleaner Sur le bureau obligatoirement !

Fait exécute le fichier en tant qu'administrateur.
Afin de ne pas fausser les rapports, Analyser et Nettoyer ne doivent être lancés qu'une seule fois

• Clique sur j'accepte dans la première fenêtre
• Clique sur Analyser Maintenant

En cas de présence d'un proxy, un message apparaît avec cette question suivie de l'adresse IP du proxy.:
Avez-vous installé ce proxy ?
Si tu n'a pas installé de Proxy, clique sur Non pour en accepter la réparation.

Ensuite si des éléments sont trouvés Clique sur quarantaine !

Applications préinstallées
Le résultat inclut désormais ces applications au même titre que les adwares. on peut les supprimer en sélectionnant certains ou en choisissant de tous les supprimer ou de ne pas en supprimer . a toi de voir !

Après redémarrage de la machine
le rapport de nettoyage se trouve sous C/Adwcleaner/Logs
Héberge le rapport et met le lien , dans ta réponse !

et enfin Malwarebytes

• Télécharge Malwarebytes Anti-Malware
  lien de téléchargement direct Mbam
  ou MbamAntiMlawares
  
  Lance l'installation par clic droit >exécuter en tant qu'administrateur .
  
  Une application tierce est proposée a l'installation , ne l'accèpte pas , malwarebytes va sinstaller en version premium d'essai !
  
  Une fois installé Lance Malwarebytes en tant qu'administrateur
  Ouvre les paramètres de malwarebytes ( petite roue crantée en haut ) onglet compte >> désactive la licence d'essai .
  
  Reviens a l'accueil Clique sur Analyse
  
  
  
  laisse tourner l'analyse jusqu'à la fin
  
  
  
  Si des éléments sont trouvés clique sur quarantaine
  Clique ensuite sur afficher le compte rendu
  
  
• Une autre fenêtre s'ouvre... tu cliques sur Exporter puis sur Exporter au format .
  
  
  
• Nomme le rapport MBAM.txt
• Enregistre le rapport sur le bureau.
• Héberge ce rapport sur cjoint > https://cjoint.com
  Copie/Colle le lien généré dans ta réponse.

[Loic_Romio]

Waou rien que ça,

J'ai bien tout lu et merci de ton temps ab_web ! *Pouce en l'air*
Je m'en occupe après le taff ce soir

Sauf si je me plante, il manque l'étape de création du "fixlist.txt" non ?

Si je résume :
-Uninstall WinRAR
-FRST correction
-AdwCleaner analyse puis nettoyage (je n'ai pas de proxy pour info)
REBOOT
-MBAM


Par contre, j'ai lu que AdwCleaner avait été racheté par MBAM, ça reste deux logiciels différents à lancer ou du coup c'est tout en un ?
Je cite wiki : "En juillet 2016, pour diverses raisons, AdwCleaner est cédé aux fondateurs de la plateforme ToolsLib5, Jérôme Boursier et Corentin Chepeau.
Le 19 octobre 2016, AdwCleaner est racheté par Malwarebytes4 et devient Malwarebytes AdwCleaner6."

A ce soir

[ab_web]

Bonjour

Sauf si je me plante, il manque l'étape de création du "fixlist.txt" non ?

Non suis simplement et scrupuleusement les indications que je donne .

Si je résume :
-Uninstall WinRAR
-FRST correction
-AdwCleaner analyse puis nettoyage (je n'ai pas de proxy pour info)
REBOOT
-MBAM

Exact

Par contre, j'ai lu que AdwCleaner avait été racheté par MBAM, ça reste deux logiciels différents à lancer ou du coup c'est tout en un ?

Ce sont bien deux programmes différents , sinon je n'aurais pas mis deux procédures différentes

[Loic_Romio]

Alors alors j'ai fait mes devoirs

WinRAR : OK
Correctif FRST : OK lien : https://www.cjoint.com/c/KFbrjO5K3nh
Adwcleaner : J'ai fait l'analyse, mais très courte (6sec je crois) et rien de trouvé donc il m'a proposé une réparation basique que j'ai fait lien : https://www.cjoint.com/c/KFbrmlysLlh


MBAM
Bon là il reste des choses, 22/24 réparées https://www.cjoint.com/c/KFbrmT3Eioh
Résultat de l'analyse : https://www.cjoint.com/c/KFbrnsxCYXh
Il reste deux valeurs de registre :
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3884, -1, 0.0.0, , action, , ,
Hijack.AutoConfigURL.PrxySvrRST, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3884, -1, 0.0.0, , action, , ,

Fichier de fin d'analyse complet: https://www.cjoint.com/c/KFbrnPfLuZh

Voilàààà

[ab_web]

Bonsoir

Merci du retour un sacré nettoyage de fait
Refait moi une analyse avec FRST , héberge les rapports et donne les liens dans ta réponse .

[Loic_Romio]

Je n'ai pas reboot,

Veux-tu que je le fasse histoire de voir si il se remet ?

[ab_web]

Oui reboot , et fait l'analyse FRST après

[Loic_Romio]

Bon,
Je te laisse me dire, mais ca a l'air d'aller !
Addition : https://www.cjoint.com/c/KFbunuYB1Mh
FRST : https://www.cjoint.com/c/KFbunPMjZNh
Dans les proxy il y a plus rien !

Si tu confirmes,
Je pense que ce qui a fait la diff' c'est FRST dans la mesure où ni Adw ni MBAM ni ZHP ni RogueK n'ont fait le boulot