gobeload

J'espère avoir fait comme il faut. Rapport : http://www.cjoint.com/c/EJommgW1yK4

GrantPerms by Farbar Ran by TOF (administrator) at 2015-10-14 08:33:04 =============================================== \\?\C:\Program Files\Avira Owner: BUILTIN\Administrateurs DACL(NP)(AI): BUILTIN\Administrateurs FULL ALLOW (CI)(OI) AUTORITE NT\Système FULL ALLOW (CI)(OI) BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI) NT SERVICE\TrustedInstaller FULL ALLOW (I) NT SERVICE\TrustedInstaller FULL ALLOW (CI)(IO)(I) AUTORITE NT\Système FULL ALLOW (I) AUTORITE NT\Système FULL ALLOW (CI)(OI)(IO)(I) BUILTIN\Administrateurs FULL ALLOW (I) BUILTIN\Administrateurs FULL ALLOW (CI)(OI)(IO)(I) BUILTIN\Utilisateurs READ/EXECUTE ALLOW (I) BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI)(IO)(I) CREATEUR PROPRIETAIRE FULL ALLOW (CI)(OI)(IO)(I) J'ai retenté une installation de l'antivirus ce matin. Environ 6 à 8 minutes après le début il à fait un blue screen. Redémarrage. Installation toujours en cours. Demande de redémarrage de la part d'avira. Redémarrage. Avira pas installé. Cet ordinateur est-il bien nettoyé de toute infection après la procédure déjà effectuée? Si oui, le problème viendrais d’ailleurs?

J'ai lancé l'outil sur le dossier d’installation de chrome. Je ne sais pas si c'est la bonne cible. Chrome range des fichiers de paramétrage dans pleins d'endroits. Le rapport : GrantPerms by Farbar Ran by TOF (administrator) at 2015-10-13 16:50:48 =============================================== \\?\C:\Program Files\Google\Chrome Owner: BUILTIN\Administrateurs DACL(NP)(AI): BUILTIN\Administrateurs FULL ALLOW (CI)(OI) AUTORITE NT\Système FULL ALLOW (CI)(OI) BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI) NT SERVICE\TrustedInstaller FULL ALLOW (I) NT SERVICE\TrustedInstaller FULL ALLOW (CI)(IO)(I) AUTORITE NT\Système FULL ALLOW (I) AUTORITE NT\Système FULL ALLOW (CI)(OI)(IO)(I) BUILTIN\Administrateurs FULL ALLOW (I) BUILTIN\Administrateurs FULL ALLOW (CI)(OI)(IO)(I) BUILTIN\Utilisateurs READ/EXECUTE ALLOW (I) BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI)(IO)(I) CREATEUR PROPRIETAIRE FULL ALLOW (CI)(OI)(IO)(I)

Dans Chrome (navigateur par défaut ici) la page de paramètres reste vierge. La commande de réinitialisation est donc inaccessible. L'antivirus n'est pas actif puisque il n'a pas réussi à s'installer. C'est le problème à l'origine de ce fil.

Je rencontre une difficulté pour réinitialiser Chrome. La page paramètres reste vierge ! Impossible d'accéder à la commande de réinitialisation. Les autres onglets, historique et extensions, fonctionnent.

Rapport ZHPCleaner : ~ ZHPCleaner v2015.10.11.362 by Nicolas Coolman (2015/10/11) ~ Run by TOF (Administrator) (13/10/2015 14:04:47) ~ Site : http://www.nicolascoolman.fr ~ Facebook : https://www.facebook.com/nicolascoolman1 ~ State version : Version OK ~ Type : Nettoyer ~ Report : C:\Users\TOF\Desktop\ZHPCleaner.txt ~ Quarantine : C:\Users\TOF\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt ~ UAC : Activate ~ Boot Mode : Normal (Normal boot) Windows 7 Ultimate, 32-bit Service Pack 1 (Build 7601) ---\\ Service. (0) ~ Aucun élément malicieux ou superflu trouvé. ---\\ Navigateur internet. (0) ~ Aucun élément malicieux ou superflu trouvé. ---\\ Fichier hôte. (1) ~ Le fichier hôte est légitime. (25) ---\\ Tâche planifiée. (0) ~ Aucun élément malicieux ou superflu trouvé. ---\\ Explorateur ( Dossiers, Fichiers ). (15) DEPLACÉ fichier: C:\Users\TOF\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk [bad : C:\Users\TOF\FLVPlayer\FLVPlayer.exe] =>PUP.Optional.FLVPlayer DEPLACÉ dossier: C:\Windows\Installer\MSI116E.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI12BB.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI13B6.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI2589.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI2701.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI4F0C.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI5027.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSI8B3D.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSIDC41.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSIDE56.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSIF0D6.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSIF1E0.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSIF329.tmp- =>Empty DEPLACÉ dossier: C:\Windows\Installer\MSIF454.tmp- =>Empty ---\\ Base de Registres ( Clés, Valeurs, Données ). (5) SUPPRIMÉ valeur: HKLM\SOFTWARE\Mozilla\Firefox\Extensions\\avg@toolbar [C:\ProgramData\AVG Secure Search\FireFoxExt\17.3.0.49] =>Toolbar.AVGSearch SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\protector_dll.protectorbho [Google Toolbar Notifier BHO] =>PUP.Optional.BProtector SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 [Google Toolbar Notifier BHO] =>PUP.Optional.BProtector SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\TypeLib\{0DBE1FC4-77AE-48C0-80B9-04E1C489F5FF} [metacrawlerCmn 1.0 Type Library] =>PUP.Optional.SearchYa SUPPRIMÉ clé*: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B73DC3B9-9E08-4781-BF75-12F6A54FBF89} [C:\Program Files\metaCrawler\1.8.19.0\ (Not File)] =>PUP.Optional.SearchYa ---\\ Bilan de la réparation ~ Réparation réalisée avec succès. ~ Ce navigateur est absent (Mozilla Firefox) ~ Ce navigateur est absent (Opera Software) ---\\ Statistiques ~ Items scannés : 409 ~ Items trouvés : 0 ~ Items annulés : 0 ~ Items réparés : 20 ~ End of clean in 0 minutes =================== ZHPCleaner-[R]-13102015-14_04_59.txt ZHPCleaner--13102015-14_03_36.txt

Voici le rapport ZHPFix : Rapport de ZHPFix 2015.8.24.7 par Nicolas Coolman, Update du 24/08/2015 Fichier d'export Registre : Run by TOF at 13/10/2015 13:30:34 High Elevated Privileges : OK Windows 7 Ultimate Edition, 32-bit Service Pack 1 (Build 7601) Corbeille vidée (00mn 10s) Dossier Prefetcher vidé Réparation des raccourcis navigateur ========== Clés du Registre ========== SUPPRIMÉ: CLSID BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7} SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Branche de Base de Registres IFEO non infectée ! ========== Valeurs du Registre ========== Aucune Valeur Standard Profile: FirewallRaz : Aucune Valeur Domain Profile: FirewallRaz : ProxyFix : Configuration proxy supprimée avec succès SUPPRIMÉ ProxyServer Value SUPPRIMÉ ProxyEnable Value SUPPRIMÉ EnableHttp1_1 Value SUPPRIMÉ ProxyHttp1.1 Value SUPPRIMÉ ProxyOverride Value ========== Dossiers ========== Aucun dossiers CLSID Local utilisateur vide SUPPRIMÉS Flash Cookies (0) ========== Fichiers ========== SUPPRIMÉ: c:\program files\google\google toolbar\googletoolbar_32.dll SUPPRIMÉS Flash Cookies (0) (0 octets) ========== Tache planifiée ========== SUPPRIMÉ: AVG-Secure-Search-Update_JUNE2013_TB_rmv SUPPRIMÉ: AVG-Secure-Search-Update_JUNE2013_TB_rmv ========== Restauration Système ========== Point de restauration du système créé avec succès ========== Récapitulatif ========== 3 : Clés du Registre 8 : Valeurs du Registre 2 : Dossiers 2 : Fichiers 2 : Tache planifiée 1 : Restauration Système End of clean in 00mn 33s ========== Chemin de fichier rapport ========== C:\Users\TOF\AppData\Roaming\ZHP\ZHPFix[R1].txt - 13/10/2015 13:30:45 [1636] Maintenant je lance ZHPCleaner ?

Bonjour à tous, Un collègue m'a passé son ordinateur parce qu’il a remarqué un problème. Symptôme : Son antivirus (Avast) est désactivé, et pas moyen de le réactiver. Ce que j'ai fait : Il (le propriétaire) me demande de désinstaller et remettre Avast. Après quelques essais infructueux pour réactiver Avast, je le désinstalle proprement (en mode sans échec avec avastclear), et le réinstalle. Avast est dans le même état qu'avant, installé mais pas actif. Dans les services, j'ai vu que Avast est à l'état "démarrage". J'ai désinstallé une nouvelle fois Avast et essayé d'installer un autre antivirus. L'installation n'est jamais arrivée à son terme. Le "Avira launcher" est présent, la protection web installée, mais pas l'antivirus. Je relance l'installation, après avoir bossé avira demande de redémarrer l'ordinateur. Redémarrage, antivirus pas installé. J'ai demandé au propriétaire s'il y avait eu un "événement déclencheur" à son problème, genre installation de logiciel ou téléchargement, il me dit que non. Je vous joint un rapport ZHPDiag. Y-a-t-il quelque-chose qui expliquerais le problème là dedans? http://www.cjoint.com/c/EJnjAUCxyK0 Merci pour votre aide.

Comment passer le sujet à [Résolu] ?

Je ne pourrais pas utiliser DelFix avant le début de la semaine prochaine. J'ai dis à mon ami d'utiliser son ordinateur normalement jusqu'à ce que je repasse pour enlever les outils de désinfection et diagnostique. Je passerais le sujet en Résolu à ce moment là. Un grand merci pour ton assistance et le temps que tu y a passé.

Rapport recherche UsbFix : http://cjoint.com/?3BetxsOPxU1 Rapport nettoyage UsbFix : http://cjoint.com/?3BetAddWwrH Scans effectués avec les périphériques du propriétaire du PC. Quelle est l'étape suivante ?

Merci pour la procédure UsbFix, je l'appliquerais dès que possible. Rapport ZHPDiag complet : http://cjoint.com/?3BbqwgKaMqm

Citation (le bouton n'a pas voulu m'obéir) : "Il faudra qu'on fasse une vérification des supports USB après la fin de la présente procédure, car un "autorun" peut faire soupçonner une infection USB. On en profitera pour vacciner les disques internes et supports externes." Cela veux-t-il dire que pour cette étape de vaccination il me faudra avoir à disposition tous les périphériques USB que le propriétaire utilise habituellement ? Autre question : L'étape suivante de ta procédure est la réinitialisation du navigateur. La liste des favoris sera-t-elle conservée ? Les modules complémentaires seront-ils supprimés ou seulement désactivés ?

Rapport Shortcut Cleaner, ras : Shortcut Cleaner 1.3.4 by Lawrence Abrams (Grinler) http://www.bleepingcomputer.com/ Copyright 2008-2015 BleepingComputer.com More Information about Shortcut Cleaner can be found at this link: http://www.bleepingcomputer.com/download/shortcut-cleaner/ Windows Version: Windows 8.1 Program started at: 02/01/2015 02:25:56 PM. Scanning for registry hijacks: * No issues found in the Registry. Searching for Hijacked Shortcuts: Searching C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\ Searching C:\ProgramData\Microsoft\Windows\Start Menu\ Searching C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ Searching C:\Users\Public\Desktop\ Searching C:\Users\pc\Desktop 0 bad shortcuts found. Program finished at: 02/01/2015 02:25:57 PM Execution time: 0 hours(s), 0 minute(s), and 1 seconds(s)

Malwarebytes, une détection dans la corbeille. Zut, je ne l'avais pas vidée après l'exécution de SFTGC. C'est chose faite maintenant. Rapport : Malwarebytes Anti-Malware www.malwarebytes.org Date de l'examen: 01/02/2015 Heure de l'examen: 11:54:32 Fichier journal: Administrateur: Oui Version: 2.00.4.1028 Base de données Malveillants: v2015.02.01.02 Base de données Rootkits: v2015.01.14.01 Licence: Gratuit Protection contre les malveillants: Désactivé(e) Protection contre les sites Web malveillants: Désactivé(e) Auto-protection: Désactivé(e) Système d'exploitation: Windows 8.1 Processeur: x64 Système de fichiers: NTFS Utilisateur: pc Type d'examen: Examen "Personnalisé" Résultat: Terminé Objets analysés: 529905 Temps écoulé: 1 h, 13 min, 9 sec Mémoire: Activé(e) Démarrage: Activé(e) Système de fichiers: Activé(e) Archives: Activé(e) Rootkits: Activé(e) Heuristique: Activé(e) PUP: Activé(e) PUM: Activé(e) Processus: 0 (Aucun élément malicieux detecté) Modules: 0 (Aucun élément malicieux detecté) Clés du Registre: 0 (Aucun élément malicieux detecté) Valeurs du Registre: 0 (Aucun élément malicieux detecté) Données du Registre: 0 (Aucun élément malicieux detecté) Dossiers: 0 (Aucun élément malicieux detecté) Fichiers: 1 Worm.AutoRun, F:\Recycled\INFO.EXE, Mis en quarantaine, [6ee38770068385b14a4e5427e31f1ee2], Secteurs physiques: 0 (Aucun élément malicieux detecté) (end) Shortcut Cleaner cette fois-ci.

Voila le rapport SFTGC : http://cjoint.com/?3BblZQHgQd8 Au tour de Malwarebytes.

Adwcleaner n'a rien trouvé. Rapport : # AdwCleaner v4.109 - Rapport créé le 01/02/2015 à 11:15:06 # Mis à jour le 24/01/2015 par Xplode # Database : 2015-01-26.1 [Live] # Système d'exploitation : Windows 8.1 (64 bits) # Nom d'utilisateur : pc - SAV # Exécuté depuis : C:\Users\pc\Desktop\adwcleaner_4.109.exe # Option : Nettoyer ***** [ Services ] ***** ***** [ Fichiers / Dossiers ] ***** ***** [ Tâches planifiées ] ***** ***** [ Raccourcis ] ***** ***** [ Registre ] ***** ***** [ Navigateurs ] ***** -\\ Internet Explorer v11.0.9600.17416 -\\ Google Chrome v ************************* AdwCleaner[R3].txt - [739 octets] - [01/02/2015 11:13:19] AdwCleaner[s3].txt - [661 octets] - [01/02/2015 11:15:06] ########## EOF - C:\AdwCleaner\AdwCleaner[s3].txt - [720 octets] ########## SFTGC maintenant...

Et le rapport de JRT : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.4.1 (12.28.2014:1) OS: Windows 8.1 x64 Ran by pc on 01/02/2015 at 11:00:38,63 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders Successfully deleted: [Folder] "C:\ProgramData\ammyy" ~~~ Event Viewer Logs were cleared ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 01/02/2015 at 11:01:56,68 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Adwcleaner à suivre.

ZHPCleaner a enlevé quelques nuisibles. Cela me rassure, j'avais découvert qu'il devait en rester, Avira ayant bloqué un adware au démarrage du PC ce matin. (alors qu'hier rien à signaler) Rapport ZHPCleaner après réparation : ~ ZHPCleaner v2015.1.31.45 by Nicolas Coolman (31/01/2015) ~ Run by pc (Administrator) (01/02/2015 10:31:51) ~ Forum : http://forum.nicolascoolman.fr ~ Facebook : https://www.facebook.com/nicolascoolman1 ~ State version : Version OK ~ Type : Réparer ~ Report : C:\Users\pc\Desktop\ZHPCleaner.txt ~ Quarantine : C:\Users\pc\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt ~ UAC : Activate ~ Windows 81, 64-bit (Build 9600) ---\\ Service. (0) ~ Aucun élément malicieux trouvé. ---\\ Navigateur internet. (1) REMPLACÉ Desktop: C:\Users\Public\Desktop\Photos Snapfish.lnk (http://www.snapfish.com/hp_notebook_desktopicon_2013_fr) ---\\ Fichier hôte. (1) ~ Le fichier hôte est légitime. (21) ---\\ Tâche planifiée. (0) ~ Aucun élément malicieux trouvé. ---\\ Explorateur ( Dossiers, Fichiers ). (2) DEPLACÉ fichier: C:\Users\pc\AppData\Roaming\Pokémon Trading Card Game Online\PokemonTradingCardGameOnline\Pokemon Trading Card Game Online.exe (PUP.Gameo) DEPLACÉ fichier: C:\Users\pc\Desktop\Pokémon Trading Card Game Online.lnk (PUP.Gameo) ---\\ Base de Registres ( Clés, Valeurs, Données ). (9) SUPPRIMÉ donnée: HKCR\htmlfile\Shell\Open\Command\\Default [bad : "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1] (Broken.OpenCommand) SUPPRIMÉ clé: HKCR\SoftwareUpdate.OnDemandCOMClassSvc [Google Update Legacy On Demand] (Adware.Boxore) SUPPRIMÉ clé: HKCR\SoftwareUpdate.OnDemandCOMClassSvc.1.0 [Google Update Legacy On Demand] (Adware.Boxore) SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3COMClassService [update3COMClass] (Adware.Boxore) SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3COMClassService.1.0 [update3COMClass] (Adware.Boxore) SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3WebSvc [softwareUpdate Update3Web] (Adware.Boxore) SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3WebSvc.1.0 [softwareUpdate Update3Web] (Adware.Boxore) SUPPRIMÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Update Browse Pax [] (PUP.BrowsePax) SUPPRIMÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Util Browse Pax [] (PUP.BrowsePax) ---\\ Bilan de la réparation ~ Réparation réalisée avec succès. ~ Ce navigateur est absent (Mozilla Firefox) ~ Ce navigateur est absent (Opera Software) ---\\ Statistiques ~ Items scannés : 72389 ~ Items trouvés : 0 ~ Items réparés : 12 End of clean at 10:34:55 =================== ZHPCleaner-[R]-01022015-10_34_55.txt ZHPCleaner--01022015-10_26_32.txt Je continue avec JRT...

Ok, pas taper ! Je reprend ton tuto depuis le début. Je télécharge ZHPCleaner depuis le site officiel bien sur. Et là premier doute : la taille du fichier indiquée sur le site ne correspond pas à celle du fichier reçu. 1.17 MB sur le site. 1.39 MB sur le fichier reçu. Est-ce normal, ou y-a-t-il un intrus ?

Quelques réponses en vrac : L'installation d'Avira est une mesure "psychologique" vis à vis du propriétaire du PC. Comme Windows defender ne l'avais pas protégé, n'avais pas non plus fait le ménage, il en voulais un autre. Je sais bien que le problème vient d'une méconnaissance des dangers d'internet et des bonnes pratiques de sécurité de la part de l'utilisateur. Et Avira n'y changera rien. Il va falloir que je tente de lui faire comprendre, et surtout lui apprendre à être prudent (dur dur). Les outils utilisés ? Beaucoup ! D'abord Malwarebytes et Adwcleaner. Des pup sont encore apparus après le passage de ces deux programmes ! C'est là que je me suis dit qu'il y avais un problème et que j'ai pris le PC chez moi. En plus des deux premiers j'ai aussi utilisé le scan en ligne de eset/nos32, tdsskiller, et Avira. Remarques : j'ai eu quelques difficultés à installer Avira, puis à réussir à faire fonctionner les mises à jour. Avira a encore supprimé des fichiers après le passage de tous les autres. Rapport ZHPFix : http://cjoint.com/?3AFxlFED2Kv Rapport ZHPDiag : http://cjoint.com/?3AFxtbhnpRy

Bonjour à toute l'équipe. C'est la première fois que je passe par un site d'aide à la désinfection. Il m'arrive de temps en temps de nettoyer les publicités et autres logiciels indésirables sur les ordinateurs de mes amis et collègues. Là, je suis tombé sur un cas qui m'a donné plus de mal que d'habitude (plusieurs interventions à domicile et même prise en pension de l'ordi pour m'en occuper au calme chez moi). J'aimerais m'assurer que l'ordinateur est enfin propre avant de le rendre à son propriétaire. Petite précision, Avira n'était pas installé avant que j'intervienne. Rapport ZHPDiag : http://cjoint.com/?3AFufntWcFq Merci pour votre aide.