[Résolu] PC infecté (toolbar, adware PriceGong, Bandoo)

[wilael]

Bonsoir,

 

Une amie ma demandé de regarder son pc. Elle rencontre des lenteurs au démarrage, des ouvertures de fenêtre de pub.

J'ai effectué un ZHPDiag.

Bilan, le Pc est infecté. (TOOLBAR, adware PriceGong, Bandoo.....)

 

Ci joint le rapport

 

Merci de votre aide.

 

Dans l'attente de vous lire

 

Amicalement

Wilael

Modifié le 4 octobre 2011 par wilael

[wilael]

Bonjour,

 

Après avoir écrit mon post, j'ai effectué:

Un scan avec Malwarebytes : ci joint le rapport

Et supprimer tout les logiciels TOOLBARS avec Revo Uninstaller

 

Et ce matin, après lecture de cette page sur le site de Malekal, j'ai effectué un scan. Ci joint le rapport et une suppression. ci joint le rapport

 

Et pour finir un ZHPDiag: Ci joint le rapport

 

Dans l'attente de votre retour.

 

Merci, Wilael

[chantal11]

Bonjour wilael,

 

Je regarde tes rapports et te donne réponse en suivant

[chantal11]

Re,

 

Tu avais déjà bien nettoyé.

 

On va nettoyer les restes par un script.

 

---------------------------------------------------------------------------------------------

 

ZHPFix :

 

 

• Copie toutes les lignes ci-dessous
  

  SysRestore
  R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (...) (No version) -- (.not file.)
  O3 - Toolbar: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (...) --  (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.) 
  O43 - CFD: 13/05/2010 - 18:55:46 - [28] ----D- C:\Program Files\Fluendo
  O45 - LFCP:[MD5.05AFB2AC85B160336101E8E4E81AE4C6] - 31/08/2011 - 20:06:43 ---A- - C:\Windows\Prefetch\OFFERBOX.EXE-39972C8C.pf
  [HKCU\Software\AppDataLow\AskBarDis]
  [HKCU\Software\AppDataLow\Software\Softonic_France] 
  [HKLM\Software\Softonic_France]
  [HKCU\Software\AppDataLow\AskBarDis] 
  [HKCU\Software\Babylon]
  [HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{2C8574B5-6935-4FCE-860E-F4E8602378FF}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5f05c28d-dea9-4ad6-a73a-064175988eab}] 
  [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{c878cd69-85db-426b-81a3-e71175aaeb91}] 
  [HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}] 
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}] 
  [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] 
  [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}] 
  [HKCU\Software\AppDataLow\Software\Softonic_France] 
  [HKLM\Software\Softonic_France] 
  C:\Users\sandrayvan\AppData\LocalLow\Softonic_France 
  C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
  C:\Program Files\Fluendo\Moovida 
  C:\Users\sandrayvan\AppData\LocalLow\BabylonToolbar
  EmptyTemp
  EmptyFlash
  FirewallRaz
  

  
   
  

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  
• Clique sur H
  Les lignes copiées apparaissent directement dans le cadre blanc (si ce n'est pas le cas clic-droit -> Coller)
   
  
• Clique sur GO
   
  
• Valide par Oui la désinstallation des programmes si demandé, mais refuse le redémarrage du PC, si proposé à ce moment là (cela stopperait l'action du fix)
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, cette fois-ci tu valides et tu redémarres le PC
   
  
• Le rapport s'affiche. Poste le rapport ZHPFixReport.txt, enregistré sur ton Bureau, en pièce jointe dans ta prochaine réponse.

 

---------------------------------------------------------------------------------------------

 

Security Check :

 

• Télécharge Security Check de screen317 et enregistre-le sur ton Bureau
   
   
  
• Double-clique sur SecurityCheck.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
   
  
• Une fenêtre cmd s'ouvre, appuie sur une touche pour continuer
   
   
  
• Patiente le temps de l'analyse
   
   
  
• Le rapport checkup.txt s'affiche, enregistre-le sur ton Bureau et poste le rapport en pièce jointe dans ta prochaine réponse
  

 

---------------------------------------------------------------------------------------------

 

Sont attendus les rapports :

• ZHPFixReport.txt
  
• checkup.txt
  

 

@+

[wilael]

Bonsoir Chantal11,

 

Merci de la prise en charge de ma demande.

Comme demandé, ci joint les rapports attendus :

 

ZHPFixReport.txt

checkup.txt

 

Dans l'attente de nouvelles instructions

 

Cdt,

Wilael

[chantal11]

Bonjour,

 

Excuse-moi pour le délai, je n'ai pas pu me reconnecter hier pour te répondre.

 

Comment se comporte maintenant le système ?

 

---------------------------------------------------------------------------------------------

 

Installe la dernière version Java :

 

Désinstalle via Programmes et fonctionnalités Java 6 Update 6.

Télécharge et installe cette dernière version Java

 

---------------------------------------------------------------------------------------------

 

Installe la dernière version Adobe Flash Player :

 

Télécharge et installe cette dernière version :

Adobe Flash Player

Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)

 

---------------------------------------------------------------------------------------------

 

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.

Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

 

Relance AdwCleaner et clique sur Désinstaller

Supprime SecurityCheck sur ton Bureau

 

---------------------------------------------------------------------------------------------

 

Désinstallation des outils avec ZHPFix :

 

 

• Ferme toutes les applications ouvertes
  
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Clique sur A
  
• Clique sur Tous puis sur Nettoyer
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  
• Supprime les différents rapports des outils

 

---------------------------------------------------------------------------------------------

 

Supprimer tous les anciens points de restauration et créer un nouveau point propre :

 

• Dans Panneau de configuration -> Système-> Protection du système (volet de gauche)
  
• Dans l’onglet Protection du système, décoche le disque C dans la fenêtre disques disponibles.
  Immédiatement un message d’alerte s’affiche, notifiant que tous les points de restauration vont être supprimés
  
• Clique sur Désactiver la restauration du système, puis sur Appliquer dans l’onglet Protection du système.
  Le disque C affiche « aucun point ».
  
• Coche de nouveau le disque C et clique sur Appliquer pour réactiver la protection du système.
  La restauration du système est de nouveau fonctionnelle.
  
• Clique sur Créer pour créer un nouveau point de restauration
  
• Tape Après désinfection comme description, puis clique sur Créer
  
• Un message de réussite doit apparaître
  
• Clique sur OK et referme la Protection du système

 

---------------------------------------------------------------------------------------------

 

Quelques précisions et conseils :

 

 

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi êtes vous infectés ?
   
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
   
  /!\ Bien lire les accords de licence avant toute installation
   
   
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
   
   
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  
  • Il faut l'installer Flash Player sous chaque navigateur présent sur le système
    
  • Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....

   

   

  [*]Au niveau de Firefox, tu peux sécuriser ta navigation avec ces 3 extensions :

   

  • NoScript -> NoScript :: Modules pour Firefox
    
  • Adblock Plus -> Adblock Plus :: Modules pour Firefox
    
  • WOT -> WOT :: Modules pour Firefox
    Avec WOT, tu es immédiatement alerté par les ronds rouges qui apparaissent sur la page des résultats de recherche Google,et signalent ainsi un site potentiellement dangereux.

   

   

  [*]Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.

  • Les risques sécuritaires du peer-to-peer en 10 points : Le P2P vu par Ogu
    
  • Pourquoi éviter le P2P ? Point législatif et dangers

   

 

N'hésite pas si tu as des questions.

 

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

 

@+

[wilael]

Bonsoir Chantal11

 

Le système est devenu sain et fonctionne nickel. Plus de Pub.

 

Les mises à jour logiciels, la désinstallation des outils et le point de restauration sont effectuées.

 

Merci pour ton aide...

 

@+

Wilael

 

Ps: j'ai pris l'initiative de marquer le sujet Résolu.

[chantal11]

Bonjour,

 

C'est parfait.

 

Bonne continuation et à bientôt sur les forums Zebulon