[Résolu] Ai-je réussi à tout nettoyer ?

[gobeload]

Bonjour à toute l'équipe.

 

C'est la première fois que je passe par un site d'aide à la désinfection.

 

Il m'arrive de temps en temps de nettoyer les publicités et autres logiciels indésirables
sur les ordinateurs de mes amis et collègues.

 

Là, je suis tombé sur un cas qui m'a donné plus de mal que d'habitude (plusieurs interventions
à domicile et même prise en pension de l'ordi pour m'en occuper au calme chez moi).

 

J'aimerais m'assurer que l'ordinateur est enfin propre avant de le rendre à son propriétaire.

 

Petite précision, Avira n'était pas installé avant que j'intervienne.

 

Rapport ZHPDiag :

http://cjoint.com/?3AFufntWcFq

 

Merci pour votre aide.

Modifié le 11 février 2015 par gobeload

[Apollo]

Bonsoir,

 

Cela n'était pas nécessaire d'installer Avira vu que Windows 8 dispose d'un antivirus qui le vaut bien (d'origine).

 

Quels sont les outils qui ont été passés sur cette machine?

 

1)ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

M2 - MFEP: RegExtension {B41C7027-DDC2-0DF3-F919-4DA93D199376} . (...) -- C:\Program Files (x86)\ver8TheBestDeals\186.xpi (.not file.)

[MD5.00000000000000000000000000000000] [APT] [TWLPQP] (...) -- C:\Users\pc\AppData\Roaming\TWLPQP.exe (.not file.) [0]

[MD5.00000000000000000000000000000000] [APT] [{AACE4269-7AA1-4CC2-9766-CC3C6C7D5327}] (...) -- C:\Users\pc\AppData\Roaming\sweet-page\UninstallManager.exe (.not file.) [0]

[HKCU\Software\Browse Pax]

[HKLM\Software\P1-App]

[HKLM\Software\Wow6432Node\2248b4d3-58a8-a170-b95d-6b4af092feb6]

[HKLM\Software\Wow6432Node\Browse Pax]

[HKLM\Software\Wow6432Node\P1-App]

[MD5.2621F3B704F396EB22C82C7EF17F5556] [WIS][12/12/2014] (.The Software Group - Software Update Helper.) -- C:\Windows\Installer\3c2ba.msi [45056]

C:\Users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\EP: RegExtension {B41C7027-DDC2-0DF3-F919-4DA93D199376} . (...) -- C:\extensions\Program Files (x86)\ver8TheBestDeals\186.xpi (.not file.)

C:\Program Files (x86)\Software

C:\Windows\Installer\3c2ba.msi

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-------------------------------

2) Vérifications de sécurité: http://theknitter-apollo.xooit.com/t2957-A-verifier-de-tempes-en-temps-important.htm

 

----------------------------

3) Refais un scan ZhpDiag stp.

 

@++

[gobeload]

Quelques réponses en vrac :

 

L'installation d'Avira est une mesure "psychologique" vis à vis du propriétaire du PC.
Comme Windows defender ne l'avais pas protégé, n'avais pas non plus fait le ménage, il en voulais un autre.
Je sais bien que le problème vient d'une méconnaissance des dangers d'internet et des bonnes pratiques de
sécurité de la part de l'utilisateur. Et Avira n'y changera rien.
Il va falloir que je tente de lui faire comprendre, et surtout lui apprendre à être prudent (dur dur).

 

Les outils utilisés ?
Beaucoup !
D'abord Malwarebytes et Adwcleaner.
Des pup sont encore apparus après le passage de ces deux programmes ! C'est là que je me suis dit qu'il y
avais un problème et que j'ai pris le PC chez moi.
En plus des deux premiers j'ai aussi utilisé le scan en ligne de eset/nos32, tdsskiller, et Avira.
Remarques : j'ai eu quelques difficultés à installer Avira, puis à réussir à faire fonctionner les mises à jour.
Avira a encore supprimé des fichiers après le passage de tous les autres.

Rapport ZHPFix :
http://cjoint.com/?3AFxlFED2Kv

Rapport ZHPDiag :
http://cjoint.com/?3AFxtbhnpRy

[Apollo]

Une procédure de désinfection doit se faire depuis un diagnostic de départ comme ZHPDiag et surtout pas en lançant certains outils au petit bonheur la chance.

 

Pour exemple, combien de fois ai-je vu membres venir crier au secours parce qu'ils imitaient certains inconscients sur des forums, (ComboFix par exemple) et se retrouvaient avec une machine quasi HS. Oui, un bug toujours possible d'un outil aussi performant et c'est la cata.

 

Il y a une procédure toute détaillée via ma signature pour attaquer les "infections" les plus courantes de nos jours, càd les toolbars et Adwares.

 

Il y a un ordre à respecter et surtout ne pas aller lancer des outils qui peuvent se révéler très dangereux sans expérience de désinfection.

 

http://theknitter-apollo.xooit.com/t3459-Supprimer-toolbars-et-Adwares.htm

 

Une fois cette procédure suivie à la lettre, pas mal de nuisibles sont éliminés; le reste n'étant que nettoyage de restes éventuels et un scan en ligne (eset online par exemple).

 

Quant à l'information, si l'internaute ne s'y intéresse nullement, il reviendra toutes les semaines... il y a quelques cas ici, à croire qu'ils sont abonnés aux infections.

 

Ils se disent peut-être: "bah! il y aura toujours un helper qui m'aidera..." Avec moi, cela ne prend pas, ce genre d'attitude; gaffe aux avertissements et conseils, sinon pour moi c'est niet! On consacre du temps libre gratuitement alors je n'aime pas qu'on exagère et surtout pas nous prendre pour des larbins.

 

-------------------------------------

Fais ces contrôles de sécurité puis donne-moi des nouvelles de la machine, le rapport semble clean. http://theknitter-apollo.xooit.com/t2957-A-verifier-de-tempes-en-temps-important.htm

 

@++

[gobeload]

Ok, pas taper !

 

Je reprend ton tuto depuis le début.

 

Je télécharge ZHPCleaner depuis le site officiel bien sur.

Et là premier doute : la taille du fichier indiquée sur le site ne correspond pas à celle du fichier reçu.

1.17 MB sur le site.

1.39 MB sur le fichier reçu.

 

Est-ce normal, ou y-a-t-il un intrus ?

[Apollo]

Bonjour,

 

Ok, pas taper !

Mais non, je dis ça pour les gens qui ne font pas attention lol. C'est général quoi, rien de personnel.

 

1.39 Mb, c'est normal pour ZHPCleaner. (mais il est souvent mis à jour donc ça peut varier).

 

@++

[gobeload]

ZHPCleaner a enlevé quelques nuisibles.

Cela me rassure, j'avais découvert qu'il devait en rester, Avira ayant bloqué un adware au démarrage du PC ce matin. (alors qu'hier rien à signaler)

 

Rapport ZHPCleaner après réparation :

~ ZHPCleaner v2015.1.31.45 by Nicolas Coolman (31/01/2015)
~ Run by pc (Administrator) (01/02/2015 10:31:51)
~ Forum : http://forum.nicolascoolman.fr
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Réparer
~ Report : C:\Users\pc\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\pc\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Windows 81, 64-bit (Build 9600)

---\\ Service. (0)
~ Aucun élément malicieux trouvé.

---\\ Navigateur internet. (1)
REMPLACÉ Desktop: C:\Users\Public\Desktop\Photos Snapfish.lnk (http://www.snapfish.com/hp_notebook_desktopicon_2013_fr)

---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)

---\\ Tâche planifiée. (0)
~ Aucun élément malicieux trouvé.

---\\ Explorateur ( Dossiers, Fichiers ). (2)
DEPLACÉ fichier: C:\Users\pc\AppData\Roaming\Pokémon Trading Card Game Online\PokemonTradingCardGameOnline\Pokemon Trading Card Game Online.exe (PUP.Gameo)
DEPLACÉ fichier: C:\Users\pc\Desktop\Pokémon Trading Card Game Online.lnk (PUP.Gameo)

---\\ Base de Registres ( Clés, Valeurs, Données ). (9)
SUPPRIMÉ donnée: HKCR\htmlfile\Shell\Open\Command\\Default [bad : "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1] (Broken.OpenCommand)
SUPPRIMÉ clé: HKCR\SoftwareUpdate.OnDemandCOMClassSvc [Google Update Legacy On Demand] (Adware.Boxore)
SUPPRIMÉ clé: HKCR\SoftwareUpdate.OnDemandCOMClassSvc.1.0 [Google Update Legacy On Demand] (Adware.Boxore)
SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3COMClassService [update3COMClass] (Adware.Boxore)
SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3COMClassService.1.0 [update3COMClass] (Adware.Boxore)
SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3WebSvc [softwareUpdate Update3Web] (Adware.Boxore)
SUPPRIMÉ clé: HKCR\SoftwareUpdate.Update3WebSvc.1.0 [softwareUpdate Update3Web] (Adware.Boxore)
SUPPRIMÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Update Browse Pax [] (PUP.BrowsePax)
SUPPRIMÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Util Browse Pax [] (PUP.BrowsePax)

 

---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Mozilla Firefox)
~ Ce navigateur est absent (Opera Software)

---\\ Statistiques
~ Items scannés : 72389
~ Items trouvés : 0
~ Items réparés : 12

End of clean at 10:34:55
===================
ZHPCleaner-[R]-01022015-10_34_55.txt
ZHPCleaner--01022015-10_26_32.txt

 

Je continue avec JRT...

[gobeload]

Et le rapport de JRT :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Windows 8.1 x64
Ran by pc on 01/02/2015 at 11:00:38,63
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

~~~ Services

 

~~~ Registry Values

 

~~~ Registry Keys

 

~~~ Files

 

~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\ammyy"

 

~~~ Event Viewer Logs were cleared

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 01/02/2015 at 11:01:56,68
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Adwcleaner à suivre.

[gobeload]

Adwcleaner n'a rien trouvé. Rapport :

 

# AdwCleaner v4.109 - Rapport créé le 01/02/2015 à 11:15:06
# Mis à jour le 24/01/2015 par Xplode
# Database : 2015-01-26.1 [Live]
# Système d'exploitation : Windows 8.1 (64 bits)
# Nom d'utilisateur : pc - SAV
# Exécuté depuis : C:\Users\pc\Desktop\adwcleaner_4.109.exe
# Option : Nettoyer

***** [ Services ] *****

***** [ Fichiers / Dossiers ] *****

***** [ Tâches planifiées ] *****

***** [ Raccourcis ] *****

***** [ Registre ] *****

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17416

-\\ Google Chrome v

*************************

AdwCleaner[R3].txt - [739 octets] - [01/02/2015 11:13:19]
AdwCleaner[s3].txt - [661 octets] - [01/02/2015 11:15:06]

########## EOF - C:\AdwCleaner\AdwCleaner[s3].txt - [720 octets] ##########

 

SFTGC maintenant...

[gobeload]

Voila le rapport SFTGC :

http://cjoint.com/?3BblZQHgQd8

 

Au tour de Malwarebytes.