[Résolu] Infections multiples

[Oulh]

Bonjour,

 

Je viens ici de la part de mon voisin qui n'y connait rien en informatique et qui est embêté avec son PC sous windows XP. N'ayant pas fait de maintenance depuis plusieurs années, les virus et autres malwares ont eu le temps de bien s'installer. J'ai déjà dégrossi le truc avec Malwarebytes, Adwcleaner, Spybot S&D et Ccleaner, mais il reste comme souvent des récalcitrants ...

 

Les inconvénients que j'ai remarqué pour le moment sont ceux-ci : Le pc rame pas mal et les téléchargements d'exe (comme les mises à jour firefox, par exemple) finissent par le message "... n'est pas une application win32 valide" lors du lancement de l'éxécutable.

 

Pourriez-vous m'aider à nettoyer svp ?

Merci.

 

ZHPDiag 1

 

PS1 : j'ai débloqué le compte administrateur en mode sans échec mais il ne prend pas en charge le réseau.

PS2 : je ne pourrai pas forcément répondre le jour même. Merci de votre compréhension.

Modifié le 24 juin 2013 par Oulh

[Apollo]

Bonjour,

 

Je vais te prendre en charge.

Pendant la désinfection, ne télécharge aucun autre outil que ceux que je te dirai d'utiliser, n'installe aucun programme et ne reste pas une éternité avant de répondre.

 

Une désinfection doit se faire jusqu'au bout et doit se terminer par la sécurisation de la machine. (mises à jour d'applications faillibles, etc.)

 

Merci.

 

-------------------------

1) Désinstaller Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

 

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

 

 

Tu peux alors désinstaller Spybot S&D par ajouter/supprimer des programmes, ou par Programmes et Fonctionnalités dans Vista/Seven.

 

Jesses Entraide

 

-----------------------------

2) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

M3 - MFPP: Plugins - [Emilie] -- C:\Documents and Settings\Emilie\Application Data\Mozilla\Firefox\Profiles\uzs03r91.default\searchplugins\BearShareWebSearch.xml =>PUP.BearShare

M3 - MFPP: Plugins - [Emilie] -- C:\Program Files\Mozilla FireFox\searchplugins\BearShareWebSearch.xml =>PUP.BearShare

[HKCU\Software\BearShare] =>PUP.BearShare

[HKCU\Software\InstallCore] =>PUP.InstallCore

[HKCU\Software\SmartbarLog] =>Hijacker.SmartBar

O43 - CFD: 31/05/2013 - 13:45:58 - [0] ----D C:\Program Files\BearShare Applications =>PUP.BearShare

O43 - CFD: 20/11/2011 - 22:00:54 - [66,664] ----D C:\Documents and Settings\Emilie\Local Settings\Application Data\BearShare =>PUP.BearShare

O47 - AAKE:Key Export SP - "C:\Program Files\BearShare Applications\BearShare\BearShare.exe" [Enabled] .(...) -- C:\Program Files\BearShare Applications\BearShare\BearShare.exe (.not file.) =>PUP.BearShare

O47 - AAKE:Key Export DP - "C:\Program Files\BearShare Applications\BearShare\BearShare.exe" [Enabled] .(...) -- C:\Program Files\BearShare Applications\BearShare\BearShare.exe (.not file.) =>PUP.BearShare

O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} - (Web Search) - Search =>PUP.BearShare

[MD5.E1E7EFB0EB66DA816AE09DD4F497D3DA] [sPRF][24/02/2013] (...) -- C:\Documents and Settings\Emilie\Application Data\BabMaint.exe [9808] => Infection PUP (Hijacker.BabSolution)

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] =>PUP.BearShare

[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] =>PUP.BearShare

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\EB525538DB364CE4495200ECDA84942C] =>Adware.SPointer

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9] =>Adware.MyWebSearch

[HKCU\Software\BabylonChromeExtension] =>Toolbar.Babylon

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\clickpotato] =>Adware.ClickPotato

[HKCU\Software\SmartbarLog] =>Hijacker.SmartBar

[HKLM\Software\Classes\Prod.cap] =>Toolbar.Babylon

[HKCU\Software\InstallCore] =>Adware.InstallCore

[HKLM\Software\Classes\Widestream6.Spointer.1] =>Adware.SPointer

[HKLM\Software\Classes\Widestream6.SpointerCtrl.1] =>Adware.SPointer

[HKLM\Software\Classes\Widestream6.SpointerWebDisp.1] =>Adware.SPointer

C:\Program Files\BearShare Applications =>PUP.BearShare

[HKCU\Software\Ask.com.tmp] => Toolbar.Ask

[HKLM\Software\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}] =>Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}] =>Toolbar.Conduit

[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}] =>Toolbar.Conduit

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E] =>Toolbar.Ask

[HKCU\Software\Ask.com.tmp] =>Toolbar.Ask

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2] =>Toolbar.Ask

C:\Documents and Settings\Emilie\Application Data\Mozilla\Firefox\Profiles\uzs03r91.default\bearsharemediabartb

firewallraz

emptytemp

emptyflash

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

-----------------------------

3) Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: Accueil de Cjoint.com

 

 

 

 

-----------------------------

4) Refaire un scan ZHPDiag et héberger son rapport stp.

 

@++

[Oulh]

Merci Apollo.

 

J'ai déjà désinstallé Spybot ... je réinstalle et désinstalle en suivant ta procédure ?

Modifié le 22 juin 2013 par Oulh

[Apollo]

Non, c'est trop tard car Spybot ne doit pas être désinstallé n'importe comment; c'est un enquiquineur celui-là!

 

On verra si on peut effacer ses restes plus tard.

 

@++

[Oulh]

ok.

 

ZHPFix 1

 

Merci de patienter ... traitement en cours.

[Apollo]

Ne pas éditer svp sinon je ne reçois pas de mail de notification de réponse.

 

Merci.

[Oulh]

ok, j'essaierai autant que je peux de mettre tout d'un seul coup.

 

JRT

ZHPDiag 2

 

Merci.

Modifié le 22 juin 2013 par Oulh

[Apollo]

1) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si besoin.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

-----------------------

2) Fais ces vérifications de sécurité stp: ne pas oublier LES navigateurs.

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

----------------------

Donne-moi ensuite des nouvelles de la machine.

 

@++

[Oulh]

SFTGC

 

Je fais tout le reste mais là, je vais devoir partir et je ne pourrai pas te donner de nouvelles avant lundi !

En tout cas, ça a l'air d'aller déjà mieux ...

 

Merci, bon week-end et à lundi ...

[Oulh]

Je viens de remarquer qu'il y avait toujours le problème d'application win32 non valide après un téléchargement ...