[Résolu] Infections PUP sur PC portable Acer neuf

[Wullfk]

Bonjour,

 

mon fils à eut pour noël (c'est déjà bien loin) un PC portable ACER ASPIRE V3 731G avec Windows 8 64bit.

suite à une navigation hasardeuse (site de jeux, de musiques, de vidéos, etc...), il a malheureusement été infecté.

 

dans un premier temps, il à lui même fait 2 restaurations direct usine. soit ça fonctionne, mais j'ai quand même jeté un œil sur son PC, et fait quelques nettoyage de principe, en désinstallant certains soft pré-installé, et parfois même qui font doublon avec un autre.

ceci étant fait, j'ai téléchargé et installé MBAM, et effectué une analyse complète (Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits), Et szur le Tableau de bord, j'ai cliqué sur le lien Mettre à jour .

quel ne fut pas ma surprise de constaté au résultat du scan, qu'il y avait 102 infections PUP, et ceci sur un PC maigres tout neuf, puisque restauré en version usine et qui plus est au vu des rapports par des softs pré-installé. ce qui celons moi, veut dire qu'un PC portable est déjà infecté avant même sont achat. un comble !!!.

 

j'ai donc décidé de moi même (je sais c'est pas très bien), de téléchargé et passé un coup de nettoyage par 3 utilitaires :

• AdwCleaner
• JRT
• SFTGC
• ZhpDiag

Voici les rapports obtenus:

 

AdwCleaner (S0) : http://cjoint.com/?DFCrmZyzg6B

AdwCleaner (R0) : http://cjoint.com/?DFCrryp2Hph

 

JRT : http://cjoint.com/?DFCrovz4RTb

 

SFTGC : http://cjoint.com/?DFCrpHlxmum

 

ZhpDiag : http://cjoint.com/?DFCrqvbMXbs

 

pour l'instant j'en étais là, j'ai pu constaté sans avoir préalablement redémarrer le PC, que n'apparaissait plus ClassicShell que j'ai pourtant installé, de même que dans le systray, les éléments que j'avais mis comme exécutè et visible (comme par exemple TraySatus ou McAfee Internet Sécurité suite).

 

J'ai donc redémarré le PC, pour voir ce qu'il en était. OK tout est bien à nouveau présent.

 

j'en suis là actuellement.

 

dois je repasser un coup de MBAM, et attendre un éventuel script pour Zhpfix ?

 

Merci d'avance pour l’assistance que vous pourrez me fournir.

 

@+

[pear]

Bonjour,

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix.

sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre

Script ZHPFix

O4 - GS\QuickLaunch [Clément]: Advanced File Optimizer.lnk . (.Systweak - Advanced File Optimizer.) -- C:\Program Files (x86)\Advanced File Optimizer\AdvancedFileOptimizer.exe
O41 - Driver: ({57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64) . (.StdLib - StdLib.) - C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys
O41 - Driver: ({57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64) . (.StdLib - StdLib.) - C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys
O41 - Driver: ({a3f28269-ad17-41a8-b032-3e0313ef8979}w64) . (.StdLib - StdLib.) - C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys
O42 - Logiciel: Advanced File Optimizer - (.Systweak Software.) [HKLM][64Bits] -- Advanced File Optimizer_is1
[HKLM\Software\Wow6432Node\supWindowsProtectManger]
O43 - CFD: 18/06/2014 - 01:29:24 - [] ----D C:\Program Files (x86)\Advanced File Optimizer
O44 - LFC:[MD5.52DBA584A8D384F5FDE65E396EF98804] - 19/06/2014 - 14:27:34 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120]
O44 - LFC:[MD5.282BF6DF3E251715966F5CD177D8562D] - 27/06/2014 - 17:14:04 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys [61112]
O44 - LFC:[MD5.A50A086D4663F581B675FD9165DD3D6B] - 28/06/2014 - 00:39:33 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys [61112]
O58 - SDL:27/06/2014 - 17:14:04 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys [61112]
O58 - SDL:13/06/2014 - 12:36:28 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys [61112]
O58 - SDL:19/06/2014 - 14:27:34 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120]
HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Advanced File Optimizer_is1]
C:\Program Files (x86)\Advanced File Optimizer
[HKLM\Software\Wow6432Node\supWindowsProtectManger]
McAfee Security Scan Plus v3.8.150.1
O2 - BHO: MSS+ Identifier [64Bits] - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} . (.McAfee, Inc. - Quick Browser Identifier for MSS+ Tool.) -- C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll
O4 - HKLM\..\Wow6432Node\Run: [LManager] Clé orpheline
O9 - Extra button: Classic IE Settings [64Bits] - {56753E59-AF1D-4FBA-9E15-31557124ADA2} -- Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [Norton Security Scan for Cl‚ment] (...) -- C:\Program Files (x86)\NORTON~3\Engine\410~1.28\Nss.exe (.not file.) [0]
O41 - Driver: ({a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64) . (. - .) - C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys (.not file.)
O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM][64Bits] -- McAfee Security Scan
O43 - CFD: 22/06/2014 - 15:12:59 - [] ----D C:\ProgramData\McAfee Security Scan
SS - | Demand 09/04/2014 289256 | (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe
[HKCU\Software\ForumerIT]
[HKCU\Software\ForumerIT]


EmptyPrefetch
EmptyTemp
EmptyFlash
EmptyClsid
FirewallRaz
HostFix
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

Modifié le 28 juin 2014 par pear

[Wullfk]

Bonjour Pear,

 

Merci pour avoir pris en compte mon post.

 

le rapport Zhpfix : http://cjoint.com/?DFCs0KzDJML

 

redémarrage effectué, dois je repasser un coup de MBAM et/ou ZhpDiag. + un autre redémarrage.

de fait est ce qu'il faut que je supprime tout ce qui est en quarantaine dans MBAM.

 

ou tout simplement passer Delfix pour supprimer tout les outils utilisés.

 

@+

[pear]

Ca me semble propre.

Si ce n'est déjà fait:
Il faut Réinitialiser votre Navigateur
en cliquant ici

Cela désinstallera plugins et extensions que vous pourrez réinstaller avec la prudence nécessaire


A)Pubs intempestives ?
Un PUP (Potentially Unwanted Programs) est un programme indésirable.
Le but est de gagner de l'argent à chaque installation réussie.
Le PuP s'installe généralement à votre insu via le téléchargement de logiciels gratuits.
Il se propage via les sites 01net, CNET, BrotherSoft ou Softonic.
par exemple: 01NetToolbar,Conduit, Babylone,Delta Search ,LavasoftSecureSearch, Wajam Kiwee etc..
C'est ainsi que 01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.
Alors .ATTENTION

Les mises à jour Flash et Java sont à éviter lorsqu’elles sont proposées par un site WEB (Surtout si celui-ci prétend qu’il faut les faire pour visualiser ses vidéos: c'est à coup sûr une arnaque).
Il faut faire les mises à jour depuis les sites officiels :

Flash : http://get.adobe.com/fr/flashplayer/ (penser à décocher McAfee Security Scan qui ne sert strictement à rien).
Java : http://www.java.com/fr/download/ (mais il est conseillé de le désactiver) Pourquoi et comment Désactiver Java

Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

Cliquez sur le lien suivant Comment se protéger des Pups Indésirables
Il est recommandé d'éviter un navigateur propriétaire, pour des raisons de fiabilité, de sécurité
et surtout empècher qu'il transmette des données que vous utilisez ou visualisez : c’est le cas de Chrome avec Google.
Il est donc fortement recommandé d’utiliser plutot Firefox




Si ce n'est déjà fait,installez ces 4 extensions

pour Firefox:
Adblock
Ghostery
Noscript
Blockulicious
(L'extensionetant en cours de validation par Mozilla vous avez un avertissement: passez outre)


et ,si vous utilisez Chrome:
Adblock pour Chrome
Ghostery pour Chrome
Noscript pour Chrome
Blockulicious pour Chrome


B)Ce logiciel va désinstaller les outils utilisés pour la désinfection:

Télécharger DelFix de Xplode

Lancez-le.

Cochez [suppression des outils]
et Cliquez [Exécuter]


C)Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,
éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

[1] En bas de votre premier message, cliquer sur Modifier
[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.
[4] Enregistrer les modifications

[Wullfk]

Re,

 

J'ai pas encore effectuer ce que tu m'as conseiller de faire, à savoir la réinitialisation de Firefox (est ce vraiment obligatoire?) en laissant tel quel risque t'il d'y avoir encore une infection.

 

sinon d'après mon fils, il n'a plus aucun son système (même lorsqu'il surf Youtube) qu'est ce qu'il faut faire?

 

malgré cela, Je vais tout de même exécuté Delfix pour supprimer tout les outils utilisés.

 

++

[Wullfk]

Re,

 

ACER ASPIRE V3 731G

 

j'ai tout de même réinitialisé Firefox et réinstallé et configurer mes modules , puis j'ai redémarrer le PC, et la tout est OK , j'ai bien tout les sons système, donc tout refonctionne

 

je peux clôturer ce post et mettre en résolu.

 

Merci pour ton assistance.