Aller au contenu
la_noiraude

[Résolu] Infection à traiter

Messages recommandés

suite au sujet commencé ici, il s'avère que j'ai des bidouilles à nettoyer de ma machine (portable HP 350 neuf, sous windows 8.1).

 

 

 

 

Bonjour,

 

Le PC est infecté.

---\\ Récapitulatif des détections trouvées sur votre stationhttp://nicolascoolman.fr/pup-astromenda  =>PUP.Astromendahttp://nicolascoolman.fr/pup-optimizerpro  =>PUP.OptimizerPro

C'est pas très méchant, mais inutile.

Si possible, désinstaller OptimizerPro par Programmes et fonctionnalités.

Il faut supprimer McAfee avec cet outil MCPR

Les autres anti virus inutiles sont à désinstaller par Programmes et fonctionnalités.

Voir sur cette page comment désactiver Windows Defender sous Win 8 et 8.1

Et si besoin, cette page pour le réactiver.

 

Créer un sujet dans le forum désinfection.

Je ne pourrai pas poursuivre aujourd'hui...absence non prévue...

Merci.

 

Concernant McAfee, j'ai suivi le conseil de Pierre13 et je pense que c'est bon.

 

Pour OptimizerPro, je ne le trouve pas dans la liste des programmes dans le panneau de config, ni astromenda.

 

Pouvez-vous me donner un coup de main pour m'en débarrasser ?

 

Merci d'avance.

Modifié par la_noiraude

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

1) ZHPFix :

  • Ferme toutes les applications ouvertes
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

    Important:

    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

  • Copie les lignes ci-dessous dans la fenêtre
sauf le mot citation.

 

Script ZhpFix

[MD5.00000000000000000000000000000000] [APT] [WSE_Astromenda] (...) -- C:\Users\admin\AppData\Roaming\WSE_AS~1\UpdateProc\UpdateTask.exe (.not file.) [0]

O39 - APT: WSE_Astromenda - (...) -- C:\Windows\Tasks\WSE_Astromenda.job [320]

O39 - APT: WSE_Astromenda - (...) -- C:\Windows\System32\Tasks\WSE_Astromenda [320]

O45 - LFCP:[MD5.A53804AB784DDF109195615A1D31E376] - 25/10/2014 - 22:21:36 ---A- - C:\Windows\Prefetch\OPTIMIZERPRO.TMP-74462E83.pf

C:\Windows\Tasks\WSE_Astromenda.job

C:\Windows\System32\Tasks\WSE_Astromenda

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

  • Le script doit automatiquement apparaitre dans ZHPFix.

     

    Clique sur le bouton GO pour lancer le nettoyage

  • Valide par Oui la désinstallation des programmes si demandé.
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

--------------------------------

2) Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

jrt02-4364c79.jpg

 

Site éditeur: http://thisisudax.org/

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera.

 

JRT_New sera créé sur le bureau;

 

Jette l'ancien JRT et renomme JRT_New en JRT .

 

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

 

capture1-3bf0deb_zpsf4ca5241.jpg

 

capture2-3bf0dfa_zps7abd8f5a.jpg

 

-----------------------

3) Télécharge AdwCleaner par Xplode:

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

mon rapport zhpfix a disparu dans la matrice...

je l'avais collé ici, mais JRT a tout fait planter ensuite ; et l'ordi a encore une fois ramé comme pas possible pour redémarrer.

 

rapport JRT : http://cjoint.com/?3Kfp3vQu42J

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Junkware Removal Tool (JRT) by ThisisuVersion: 6.3.5 (10.31.2014:1)OS: Windows 8.1 x64Ran by admin on 05/11/2014 at 14:28:07,65~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Services~~~ Registry Values~~~ Registry Keys~~~ Files~~~ Folders~~~ Event Viewer Logs were cleared~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Scan was completed on 05/11/2014 at 14:34:37,62End of JRT log~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

(autant dire qu'il est vide...)

 

je ne sais pas s'il faut recommencer mais je n'en ai pas vraiment envie vu l'effet de la première fois : à l'affichage du rapport, plus de bureau, plus rien, et une fois réussi à sauver le rapport et demander un redémarrage, problème initial accru)

 

adw cleaner pas fait encore.

 

Je fouille voir si je retrouve mon rapport zhpfix en attendant des instructions.

Modifié par la_noiraude

Partager ce message


Lien à poster
Partager sur d’autres sites

j'ai fini par trouver le rapport zhpfix, mais c'était pas de la tarte :

 

Rapport de ZHPFix 2014.10.24.12 par Nicolas Coolman, Update du 24/10/2014
Fichier d'export Registre :
Run by admin at 05/11/2014 14:22:52
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (9600)

Corbeille vidée (00mn 03s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : {9E3D57FC-7C37-4424-9352-4831E97D029D}
SUPPRIMÉ: FirewallRaz (Domain) : {548DCF8C-BFF2-4BA4-AA88-FBAF9AC8BCC6}
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : {4E7A04A5-005E-43A5-84D9-9D73673EAFC7}
SUPPRIMÉ: FirewallRaz (None) : {7796C83C-16BB-4478-B165-B9ACFCE467EC}
SUPPRIMÉ: FirewallRaz (Public) : {94F22ACD-5031-4485-8C2A-5F2BC0CB4726}
SUPPRIMÉ: FirewallRaz (Public) : {C9BC035F-9D50-4326-BEC9-BD857CB196B9}
SUPPRIMÉ: FirewallRaz (Private) : {12394E95-B54F-4B85-B6F3-2AD0EF72E768}
SUPPRIMÉ: FirewallRaz (Private) : {302423DA-4642-4811-A48D-EEC6441A04CA}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (0)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉ: c:\windows\prefetch\optimizerpro.tmp-74462e83.pf
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Tache planifiée ==========
SUPPRIMÉ: WSE_Astromenda


========== Récapitulatif ==========
1 : Clés du Registre
24 : Valeurs du Registre
3 : Dossiers
3 : Fichiers
1 : Tache planifiée


End of clean in 00mn 21s

========== Chemin de fichier rapport ==========
C:\Users\admin\AppData\Roaming\ZHP\ZHPFix[R1].txt - 05/11/2014 14:22:56 [2366]

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

Bientôt, on viendra dire que c'est notre faute si un outil a mal fait son boulot ou a fait planter une machine.

 

Si problème avec un outil, faire remonter l'info ou le faux-positif au Développeur.

 

Si tu as une version 4.xxx d'AdwCleaner, lancer l'outil, cliquer sur désinstaller et supprimer l'exécutable.

 

Télécharger la version 3.311 comme demandé plus haut. https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

Bientôt, on viendra dire que c'est notre faute si un outil a mal fait son boulot ou a fait planter une machine.

Ce n'est pas du tout ce que je voulais dire par là.

Je décrivais juste le plus précisément possible ce qui s'est passé et ce pourquoi j'étais peu motivée à retenter une action identique pour expliquer ma demande de conseil pour la suite (modifier la procédure, retenter, continuer avec la suite...)

 

Merci des conseils.

 

pour le développeur de JRT, si je trouve comment faire, je veux bien lui signaler mon souci.

Je m'attèle donc à ADW.

Partager ce message


Lien à poster
Partager sur d’autres sites

ok, je regarderais ça.

 

adw cleaner ok, redémarrage suivant ok.

je cherche le rapport - je reviens dès que je mets la main dessus (il n'est pas sur le bureau)

 

edit le voici :

# AdwCleaner v3.311 - Rapport créé le 05/11/2014 à 17:55:23
# Mis à jour le 30/09/2014 par Xplode
# Système d'exploitation : Windows 8.1 (64 bits)
# Nom d'utilisateur : admin - SÉVERINE
# Exécuté depuis : C:\Users\sév\Desktop\adwcleaner_3.311.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\sév\AppData\Roaming\wse_astromenda

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2E00D31D-D171-423D-836D-1A4D7EA7F1A9}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2E00D31D-D171-423D-836D-1A4D7EA7F1A9}

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16384


*************************

AdwCleaner[R0].txt - [1093 octets] - [05/11/2014 17:51:53]
AdwCleaner[s0].txt - [900 octets] - [05/11/2014 17:55:23]

########## EOF - \AdwCleaner\AdwCleaner[s0].txt - [959 octets] ##########

 

(y'a un truc spé avec la recherche sous windows 8.1 ou bien avec cet ordi : aucune de mes recherches via l'appli du bureau n'est fructueuse)

 

et -chose incongrue- il est apparu sur le bureau un raccourci "groupe résidentiel", je ne sais pas pourquoi.

Modifié par la_noiraude

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai dit où il se trouverait: "Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]"

 

 

"il est apparu sur le bureau un raccourci "groupe résidentiel", je ne sais pas pourquoi."

 

Moi non plus car je n'ai jamais vu ça avec AdwCleaner.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir la_noiraude,Appolo,

 

 

"il est apparu sur le bureau un raccourci "groupe résidentiel", je ne sais pas pourquoi."

Moi non plus car je n'ai jamais vu ça avec AdwCleaner.

 

Supprimer l'icône du Groupe Résidentiel

1) touche Win+R -> services.msc
Chercher Écouteur HomeGroup(ou Groupe Résidentiel)" puis Fournisseur HomeGroup (ou Groupe Résidentiel )
Passer le type de démarrage en désactivé.
Clic sur sur Arrêter appliquer et OK.

Clic droit sur le bureau
->Personnaliser
-> Changer les icônes du bureau
-> Décocher "Réseau"
- >Appliquer

2)Cette procédure nécessite de supprimer une clé du registre.
Il est généralement recommandé de le sauvegarder avant toute manipulation.

Lancer à regedit par Windows + R puis saisir regedit + Entrée
Naviguer jusqu'à la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace

L'entrée pour l'icône Groupe Résidentiel est :

B4FB3F98-C1EA-428d-A78A-D1F5659CBA93

La supprimer avec la touche Suppr et sortir de regedit
En actualisant le bureau par F5, l'icône devrait avoir disparue

 

C'est vrai en théorie.

Mais, seul utilisateur du pc, j'ai supprimé l'utilisation du groupe résidentiel.

Cependant de temps à autre l'icône réapparait sur le bureau et disparait à sa guise.

Donc, pas d'affolement!

 

Bonne soirée!

Modifié par pear

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×