[Résolu] Comment se débarrasser de iStartsurf ?

[vorkosigan]

Hello,

Effectivement !

Voici les résultats de MBAM.

En 3 fichiers j'ai stupidement oublié d'activer la recherche de rootkit lors de la 1ère analyse. J'ai donc fait une 2e analyse en "réparant" mon anerie !

 

1er fichier résultat de la 1ère analyse :

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 29/06/2015
Heure de l'analyse: 00:38:30
Fichier journal: 1ère analyse.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.06.28.04
Base de données de rootkits: v2015.06.26.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows Vista Service Pack 2
Processeur: x64
Système de fichiers: NTFS
Utilisateur: philippe

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 661584
Temps écoulé: 15 min, 41 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 0
(Aucun élément malveillant détecté)

Valeurs du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)

(end)

 

2e fichier :résultat de la 2e analyse :

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 29/06/2015
Heure de l'analyse: 01:00:49
Fichier journal: 2e analyse.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.06.28.04
Base de données de rootkits: v2015.06.26.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows Vista Service Pack 2
Processeur: x64
Système de fichiers: NTFS
Utilisateur: philippe

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 653557
Temps écoulé: 29 min, 38 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 1
PUP.Optional.Babylon.A, HKU\S-1-5-18\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}, En quarantaine, [6aaae5db54368da9b145066edd2634cc],

Valeurs du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 7
PUP.Optional.PriceMeter.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\pricemeter.exe, En quarantaine, [31e3fdc3e8a21323de34673e966bfe02],
PUP.Optional.PriceMeter.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\pricemeterw.exe, En quarantaine, [6da7437d6a20a195d63c13926f92e818],
PUP.Optional.PCPerformer.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\roboot64.exe, En quarantaine, [a86c3d83a8e262d4b75bf92aac5433cd],
PUP.Optional.APNToolBar.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\Offercast_AVIRAV7_.exe, En quarantaine, [41d3536de7a33df9faad99cbb44e16ea],
PUP.Optional.PriceMeter.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\PriceMeter.DIR\pricemeter.exe, En quarantaine, [15ff7947bfcbc6709f736f36f011b947],
PUP.Optional.PriceMeter.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\PriceMeter.DIR\pricemeterw.exe, En quarantaine, [7c98caf68208142266acd8cd60a1fe02],
PUP.Optional.SupremeSavings.A, C:\Users\philippe\AppData\Roaming\ZHP\Quarantine\Supreme Savings\Uninstall.exe, En quarantaine, [df35932dc4c656e0f8fff19c728fe61a],

Secteurs physiques: 0
(Aucun élément malveillant détecté)

(end)

 

3e fichier : tout ce qui a été mis en quarantaine nommé journal de protection

 

alwarebytes Anti-Malware
www.malwarebytes.org

Update, 29/06/2015 00:35:12, SYSTEM, PC-ANIS-BARTOLI, Manual, Remediation Database, 2015.3.9.1, 2015.6.26.1,
Update, 29/06/2015 00:35:12, SYSTEM, PC-ANIS-BARTOLI, Manual, IP Database, 0.0.0.0, 2015.6.12.1,
Update, 29/06/2015 00:35:12, SYSTEM, PC-ANIS-BARTOLI, Manual, Domain Database, 0.0.0.0, 2015.6.12.1,
Update, 29/06/2015 00:35:12, SYSTEM, PC-ANIS-BARTOLI, Manual, Rootkit Database, 2015.2.25.1, 2015.6.26.1,
Update, 29/06/2015 00:35:41, SYSTEM, PC-ANIS-BARTOLI, Manual, Malware Database, 2015.3.9.5, 2015.6.28.4,
Update, 29/06/2015 00:35:56, SYSTEM, PC-ANIS-BARTOLI, Manual, program, 2.1.6.1022, 2.1.8.0,
Error, 29/06/2015 00:37:33, SYSTEM, PC-ANIS-BARTOLI, Update, Bad md5 or size: akadomains, 11,
Error, 29/06/2015 00:37:33, SYSTEM, PC-ANIS-BARTOLI, Update, Bad md5 or size: akaips, 11,
Update, 29/06/2015 00:37:33, SYSTEM, PC-ANIS-BARTOLI, Manual, Remediation Database, 2015.5.13.1, 2015.6.26.1,
Update, 29/06/2015 00:37:33, SYSTEM, PC-ANIS-BARTOLI, Manual, IP Database, 0.0.0.0, 2015.6.12.1,
Update, 29/06/2015 00:37:33, SYSTEM, PC-ANIS-BARTOLI, Manual, Domain Database, 0.0.0.0, 2015.6.12.1,
Update, 29/06/2015 00:37:33, SYSTEM, PC-ANIS-BARTOLI, Manual, Rootkit Database, 2015.6.2.1, 2015.6.26.1,
Update, 29/06/2015 00:37:34, SYSTEM, PC-ANIS-BARTOLI, Manual, AKA IP Database, 0.0.0.0, 2015.6.12.1,
Update, 29/06/2015 00:37:34, SYSTEM, PC-ANIS-BARTOLI, Manual, AKA Domain Database, 0.0.0.0, 2015.6.12.1,
Update, 29/06/2015 00:37:49, SYSTEM, PC-ANIS-BARTOLI, Manual, Malware Database, 2015.6.3.3, 2015.6.28.4,
Scan, 29/06/2015 01:31:36, SYSTEM, PC-ANIS-BARTOLI, Manual, Départ : 29/06/2015 01:00:49, Durée : 29 min 38 s, Analyse des menaces, Terminé, 0 détections de programmes malveillants, 8 détections de programmes non malveillants,

(end)

 

 

Dois-je supprimer tout ce qui se trouve en quarantaine ?

 

A bientôt et encore merci

 

Philippe

[Apollo]

Bonjour,

 

Attends quelques jours avant de vider la quarantaine de MBAM, rien ne risque d'en sortir tout seul

 

Fais ces vérifications de sécurité stp.

 

 

Fais ensuite un nouveau scan ZHPDiag et héberge son rapport sur http://www.cjoint.com

 

Poste le lien généré.

 

Ca va être terminé, on sécurise d'abord puis on finalisera.

 

@++

[vorkosigan]

Bonsoir,

 

J'ai mis à jour ce qui devait l'être : ce n'était pas du luxe !

 

Le lien pour le rapport de ZHPCleaner figure ci-dessous :

 

http://www.cjoint.com/c/EFDvSgzTLw7

 

Merci beaucoup pour votre patience et votre gentillesse.

 

Philippe

 

PS Je suis épaté de voir que ZHPCleaner a encore trouvé quelque chose !

 

J'ai fait tourner Secunia PSI : il tourne très très longuement ! Est-ce normal ?

 

 

[Apollo]

Secunia ne doit pas durer des heures, si ça ne marche pas bien, vire-le.

 

Je n'ai pas demandé de nouveau scan ZHPCleaner moi... de toutes façons celui-ci n'a trouvé que des dossiers vides.

 

mais un ZHPDiag:

 

Nouveau:

 

Pour établir un diagnostic:

 

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

   

  http://www.nicolascoolman.fr/download/zhpdiag/

   

  http://www.nicolascoolman.com/fr/download/zhpdiag/

• Double-clique sur ZHPDiag.exe pour lancer l'installation
  • Important:

    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
• Double-clique sur ZHPDiag pour lancer l'exécution
  • Important:

    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  Clique sur Scanner.
• 
• Tu patientes jusqu'à ce que le scan affiche 100%

  Clique sur Rapport

• Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

  Ce rapport étant trop long pour le forum, héberge le :

  • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum
  <<< Seulement pour le forum Vista-XP.fr!
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.
• ou http://dl.free.fr/

   

  http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

   

  

   

   

  @++

Modifié le 29 juin 2015 par Apollo

[Apollo]

J'ai mis à jour ce qui devait l'être : ce n'était pas du luxe !

Il est primordial d'avoir ses applications bien à jour sinon c'est bourré de failles de sécurité.

[vorkosigan]

Hello,

 

Je vais faire ce type de manipulation à une heure où mon cerveau fonctionne encore !

 

Ci-desous le lien pour le rapport de ZHPDiag (Si, si ! C'est possible ....je finis toujours par comprendre ... du moins je l'espère !) :

 

http://www.cjoint.com/c/EFEjk6w0yYb

 

Petit additif :

 

Je ne vois pas la fonction qui me permets d'ajouter une pièce jointe à ce message : encore un effet de ma rapidité de compréhension, je le crains.

 

Le micro fonctionne beaucoup, beaucoup, beaucoup mieux cependant je vais être lynché par mes enfants : nous jouons habituellement à un jeu en ligne SWTOR (Starwar) : le launcher ne fonctionne plus depuis la "dératisation" ! Help ! J'ai fais un diag avec l'outil fourni par l'éditeur (EA/Bioware) : je le transmets via cijoint.com au cas où tu aurais une idéee pour corriger le problème. A plus tard ...si je suis encore vivant .... Blague à part, ce n'est pas essentiel !

 

http://www.cjoint.com/c/EFEjYUCH4Ob

 

Merci à toi

 

Philippe

[Apollo]

Re,

 

"joindre des messages" ... si tu me lis bien plus haut, tu verras que ce n'est pas prévu pour ce site-ci mais pour celui Vista-XP.fr

 

Pour ton jeu, cela n'est pas mon domaine, voir forum Software.

 

ZHPFix :

 

Télécharger sur le BUREAU: http://www.nicolascoolman.fr/download/zhpfix/ (provisoire).

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

 

Script ZhpFix

O39 - APT:Automatic Planified Task - (...) -- C:\Windows\Tasks\EPSON XP-610 Series Update {AE784156-D411-4AC4-A52F-C9326BE5F76F}.job [911]

O39 - APT:Automatic Planified Task - (...) -- C:\Windows\System32\Tasks\EPSON XP-610 Series Update {AE784156-D411-4AC4-A52F-C9326BE5F76F} [3978]

O42 - Logiciel: Official Video Converter - (.Aedge Performance BCN SL.) [HKLM][64Bits] -- {4DD1AF59-5121-421F-B92D-EEBF3F20345A}

O42 - Logiciel: Rocket - (.Rocket.) [HKCU][64Bits] -- Rocket

HKLM\SOFTWARE\Wow6432Node\OfficialVideoConverter

HKCU\SOFTWARE\Rocket

3 - CFD: 2010/04/00 - 47:19:19 - [0] D -- C:\Users\philippe\AppData\Roaming\WD

O68 - StartMenuInternet: <Rocket.AUM4I5KXR2Z7QKELGU7N2R3UZ4> <Rocket>[HKLM\..\Shell\open\Command] (...) -- C:\Users\philippe\AppData\Local\Rocket\Application\rocket.exe http://www.istartsurf.com/

O68 - StartMenuInternet: <Rocket.AUM4I5KXR2Z7QKELGU7N2R3UZ4> <Rocket>[HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\Users\philippe\AppData\Local\Rocket\Application\rocket.exe

O68 - StartMenuInternet: <Rocket.AUM4I5KXR2Z7QKELGU7N2R3UZ4> <Rocket>[HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Users\philippe\AppData\Local\Rocket\Application\rocket.exe

O68 - StartMenuInternet: <Rocket.AUM4I5KXR2Z7QKELGU7N2R3UZ4> <Rocket>[HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Users\philippe\AppData\Local\Rocket\Application\rocket.exe

C:\Windows\Tasks\EPSON XP-610 Series Update {AE784156-D411-4AC4-A52F-C9326BE5F76F}.job

C:\Windows\System32\Tasks\EPSON XP-610 Series Update {AE784156-D411-4AC4-A52F-C9326BE5F76F}

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4DD1AF59-5121-421F-B92D-EEBF3F20345A}

C:\Users\philippe\AppData\Local\Rocket\Application\rocket.exe

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide. Modifié le 30 juin 2015 par Apollo

[vorkosigan]

Hello,

 

Il faut décidément que je lise avec attention !

 

Je regrette - bien que je le comprenne : on ne saurait être un expert en toute chose ! - que tu ne puisses prendre en charge mon problème de jeu et je m'en réjouis en même temps : je vais avoir l'opportunité de rencontrer une autre personne formidable.

 

En ce qui concerne ZHPFix, il refuse de s'installer. Tu trouveras un copie "manuelle" du message d'erreur qui s'affiche quand j'essaie de le lancer ... en mode administrateur cela va sans dire !

 

L'assistant d'installation n'a pu créer le dossier " C:\Users\philippe\AppData\Local\Temp\is-ESM6V.tmp".

Erreur 5 : Accès refusé

 

Merci encore.

 

Philippe

[Apollo]

Sûrement une restriction:

• Télécharger CTR.exe sur le bureau.

   

  ou ici: Voir le Fichier : CTR.exe

• Double cliquer sur le fichier pour le lancer.
• L'analyse ne dure que quelques instants.
• Poster le contenu du rapport.
• Le rapport est sur le bureau (CTR.txt)

NB: Certains antivirus réagissent à ce programme, il faut le désactiver provisoirement pour laisser travailler l'outil..

 

Si tu ne sais pas comment faire, reporte-toi à cet article.

 

 

Redémarrer le pc.

 

 

Réessayer ZHPFix.

 

@++

[vorkosigan]

Hello,

 

Ci-joint :

 

Le rapport CTR.txt : il est non significatif car je l'ai fait, stupidement, tourné 2 fois. Il y avait bien la mention d'une restriction levée dans le 1er rapport

 

Rapport de Contrôle restrictions Pierre13 (CTR version 2.0.0.2 ) du 30\06\2015 à 17:14:34
PC de philippe
Windows Vista Home Premium Service Pack 2 (64 bits)

Réparation erreur 2203 effectuée.

Contrôle présence restrictions

PC vacciné contre sponsor Java.
Service Pare feu Windows activé.
Paramètres Pare feu Windows rétablis par défaut et activé.

232 restrictions contrôlées.

Aucune restriction trouvée.

Le rapport est sur le bureau (C:\Users\philippe\Desktop\CTR.txt)

En ce qui concerne ZHPFixReport.txt le rapport figure ci-dessous :

apport de ZHPFix 2015.4.9.5 par Nicolas Coolman, Update du 18/03/2015
Fichier d'export Registre :
Run by philippe at 30/06/2015 20:38:00
High Elevated Privileges : OK
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)

Corbeille vidée (00mn 02s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Logiciels ==========
SUPPRIMÉ: Official Video Converter
ABSENT Uninstall Process: c:\users\philippe\appdata\local\rocket\application\31.0.1650.23\installer\setup.exe

========== Clés du Registre ==========
SUPPRIMÉ: [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4DD1AF59-5121-421F-B92D-EEBF3F20345A}]
SUPPRIMÉ Logiciel Key: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Rocket]
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\OfficialVideoConverter
SUPPRIMÉ: HKCU\SOFTWARE\Rocket
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (113)
SUPPRIMÉS Flash Cookies (19)

========== Fichiers ==========
SUPPRIMÉ: c:\windows\tasks\epson xp-610 series update {ae784156-d411-4ac4-a52f-c9326be5f76f}.job
SUPPRIMÉ: c:\windows\system32\tasks\epson xp-610 series update {ae784156-d411-4ac4-a52f-c9326be5f76f}
SUPPRIMÉS Temporaires Windows (73) (1 211 981 octets)
SUPPRIMÉS Flash Cookies (4) (19 745 octets)

========== Autre ==========
NON TRAITÉ 3 - CFD: 2010/04/00 - 47:19:19 - [0] D -- C:\Users\philippe\AppData\Roaming\WD

========== Récapitulatif ==========
5 : Clés du Registre
8 : Valeurs du Registre
3 : Dossiers
4 : Fichiers
2 : Logiciels
1 : Autre

End of clean in 03mn 59s

========== Chemin de fichier rapport ==========
C:\Users\philippe\AppData\Roaming\ZHP\ZHPFix[R1].txt - 30/06/2015 20:38:04 [2079]

J'espère avoir appliqué correctement tes directives. J'ai une chance, il est tôt : je devrais avoir l'esprit moins embrouillé

De toute façon, merci beaucoup.