[Résolu] Besoin d'aide pour éradication de malwares (merci Pierre)

[Pierre13]

Pour copier/coller un lien, essayer ceci:

 

Cliquer sur l'icône en haut à gauche dans l'éditeur de réponse.

 

Même si ZHPCleaner n'a rien trouvé, merci de me poster le rapport..

Modifié le 7 novembre 2016 par Pierre13

[manly]

http://www.cjoint.com/c/FKhmD72mIsB merci, mais dans chrome, ça marchait tout seul.

[Pierre13]

Oui, je sais..c'est un souci du forum avec IE..

Des fois, le "ça marche tout seul" n'est pas toujours le meilleur..

 

Bon, Ok pour le rapport.

 

On va poursuivre avec les autres outils (JRT et ADWCleaner)

Et ensuite, si les rapports sont Ok, on fera un rapport ZHPDiag pour voir ce que ça donne.

 

Rappel important:

 

Il faut absolument télécharger la version la plus récente des outils et supprimer les "anciennes".

 

1- JRT

 

• Ne passer les outils qu'une seule fois.
  
  
  • Télécharger Junkware Removal Tool sur le bureau.
  • Fermer toutes les applications en cours.
  • Désactiver l'antivirus.
  • Lancer JRT.exe et appuyer sur une touche.

  
  Note Importante: [*]Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)
  
  
  
  

  • À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir.
  • Héberger le rapport sur Cjoint et poster le lien obtenu dans la prochaine réponse.

  [*]Le rapport se trouve sur le bureau (JRT.txt)
  [*]Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport. [*]Me donner le lien vers ce rapport.

 

2- ADWCleaner

 

Ne passer les outils qu'une seule fois.

• Télécharger AdwCleaner (de Xplode) sur ton bureau.
• Lancer ADWCleaner : Clic droit => Exécuter en tant qu'administrateur (sauf sous XP =>> Double cliquer sur le fichier)
  
  
  
• Cliquer sur J'accepte.
  
  
  
• Cliquer sur Analyser.
  
  
  
• Patienter le temps de l'analyse.
  
  Si ADWCleaner a trouvé des adwares :
  
  
  
• Cliquer sur Ok.
  
  Note:
  
  Pour nettoyer, ADWCleaner va fermer tous les processus en cours et redémarrer le PC.
  
• Cliquer sur Nettoyer
  
  
  
• Patienter le temps du nettoyage.
• Cliquer sur Ok aux messages suivants et laisser le PC redémarrer.
  
• Après le redémarrage, poster le rapport qui s'est ouvert.
  
  Si ADWCleaner n'a rien trouvé:
  
  
  
• Cliquer sur Ok.
  
  
  
• Cliquer sur Rapport.
• Poster le rapport qui apparaît.
  
  **************************
  Pour poster des rapports:
  **************************
  Rapport Analyse:
  
• Après avoir cliqué sur le bouton Rapport, on a ceci:
  
  
  
• Onglet Analyser.
• Double cliquer sur le 1er en haut de la liste (le plus récent)
• Le rapport va s'ouvrir.
  
  
  Rapport Nettoyage
  
• Onglet Nettoyage
  
  
  
• Double cliquer sur le 1er en haut de la liste (le plus récent)
• Le rapport va s'ouvrir.
• Heberger le rapport sur le site Cjoint.com
  

Les rapports se trouvent dans : C:\AdwCleaner

Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
Me donner le lien vers ce rapport.

 

3- ZHPDiag

 

A lire avant de commencer.

• Comment lever la protection SmartScreen :
  
  • Depuis la sortie de sa version 8, Microsoft intègre un système de protection contre les sites malweillants nommé « SmartScreen ».
  • Mais il s’avère que ce filtre bloque le téléchargement de nombreux logiciels légitimes.

[*]

• Note : Info de Nicolas Coolman :

Pourquoi le filtre "SmartScreen" bloque le téléchargement de ZHPDiag ?

• Téléchargement ZHPDiag :
  
  • Télécharger ZHPDiag sur le site officiel de Nicolas Coolman
  • Installer ZHPDiag =>> clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)
  • Une icône est créée sur le Bureau.
  • Cliquer sur l’icône ZHPDiag pour démarrer le logiciel et faire apparaître l’interface.
  • Le navigateur sera fermé.

[*]

• Démarrer la recherche :
  
  • – Cliquer sur « Scanner » pour démarrer la recherche.
  • – En cours de recherche, un compteur indique le nombre de détections.

[*]

• • – Laisser s'effectuer la recherche jusqu’à ce que la barre de progression atteigne le 100%
  • – Pour annuler la recherche, cliquer sur la touche « Echap ».
  • -- Cliquer sur Rapport à la fin du scan.
  • -- Heberger le rapport sur Cjoint (le rapport est sur le bureau)
  • -- Poster le lien vers ce rapport.

[*]Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport. [*]Me donner le lien vers ce rapport.

Le rapport sera aussi ici =>> c:\ZHP\ZHPDiag.txt

 

 

Cela fait donc 3 rapports..(JRT, ADWCleaner et ZHPDiag) à poster.

 

@+

[manly]

Voilà

1) JRT http://www.cjoint.com/c/FKhnnCnURkB

[manly]

2) adwcleaner http://www.cjoint.com/c/FKhnwVgpEFB

[manly]

3)ZHPDiag http://www.cjoint.com/c/FKhnMT2rKrB

 

Non tu es sûr que tu n'as pas de corde pour que je me pende ?

[Pierre13]

Effectivement, ça commence à énerver...

 

Bon, restons calme...

 

On va procéder par ordre.

 

En 1er, je vais te donner un script pour nettoyer ce qui a été trouvé par ZHPDiag.

 

Ne passer les outils qu'une seule fois.

A lire avant de commencer.

• Télécharger ZHPFix de Nicolas Coolman sur cette page.
• Installer ZHPFix. ==>> Clic droit sur le fichier et choisir Exécuter en tant qu'administrateur. (Si XP : double cliquer sur le fichier)
  
• Sélectionner/copier ce code ci dessous en marron:
  
  ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
  
  Script ZHPFix
  FirewallRaz
  PROXYFix
  EmptyPrefetch
  EmptyTemp
  EmptyFlash
  HKLM\SOFTWARE\Wow6432Node\857df8fe56eeb13
  HKCU\SOFTWARE\BabSolution
  HKCU\SOFTWARE\IGearSettings
  O39 - APT: Unknown - (...) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1257253267-3921607629-919814608-1000Core.job [910] => Facebook Update Task User
  O39 - APT: Unknown - (...) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1257253267-3921607629-919814608-1000UA.job [932] => Facebook Update Task User
  O39 - APT: Unknown - (...) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1257253267-3921607629-919814608-1000Core [3652] => Facebook Update Task User
  O39 - APT: Unknown - (...) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1257253267-3921607629-919814608-1000UA [4020] => Facebook Update Task User
  O4 - GS\Startup [Public]: McAfee Security Scan Plus.lnk . (...) C:\Program Files\McAfee Security Scan\3.11.266\SSScheduler.exe => McAfee, Inc
  HKLM\SOFTWARE\Wow6432Node\Delta =>.Superfluous.DeltaSearch
  HKCU\SOFTWARE\Delta =>.Superfluous.DeltaSearch
  HKCU\SOFTWARE\Softonic =>.Superfluous.Softonic
  HKCU\SOFTWARE\AppDataLow\Software\Conduit =>.Superfluous.Conduit
  O87 - FAEL: "{779AE2A3-34BC-4D71-A329-49F830EB3DC8}" [in-None-P6-TRUE] .(...) -- C:\Users\maison\AppData\Roaming\uTorrent\uTorrent.exe (.not file.) => P2P.µTorrent*
  O87 - FAEL: "{0556F545-F4A8-4A11-A02D-34C1E08DBC97}" [in-None-P17-TRUE] .(...) -- C:\Users\maison\AppData\Roaming\uTorrent\uTorrent.exe (.not file.) => P2P.µTorrent*
  O39 - APT: Unknown - (...) -- C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job [352]
  O39 - APT: Unknown - (...) -- C:\Windows\System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv [2966]
  HKCU\SOFTWARE\AppDataLow\Toolbar
  O43 - CFD: 28/02/2015 - [] D -- C:\Program Files (x86)\Songbird
  
  ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
  
  
  • Lancer ZHPFix avec un clic droit et choisir Exécuter en tant qu'administrateur.
    
  • Cliquer sur « IMPORTER » ,
  • Le code doit apparaître dans l'interface sinon, recommencer.
  • Dans ZHPFix, cliquer sur GO.
  • Laisser travailler l'outil.
  • S'il demande à redémarrer le PC, accepter.
  • Un rapport sera sur le bureau..Poster le contenu.

  [*]Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport. [*]Me donner le lien vers ce rapport.

Il faudrait vider le cache des navigateurs => Voir sur cette page comment vider le cache du(des) navigateur(s) internet.

 

Nettoyer les fichiers inutiles avec SFT:

 

• Désactiver l'anti virus avant ! et lire ces instructions.
• Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Fermer tous les programmes en cours.
  
  • Télécharger SFT.exe (Nouvelle version)
  • Si l'antivirus fait des siennes: désactive-le provisoirement. Pour savoir comment faire, voir cet article.
    

  
  

  • Enregistrer le fichier sur le bureau.
  • Sous XP, double cliquer sur le fichier.
  • Sous les autres versions de Windows, faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.
    

  
  
  
  

  • Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...
  • A la fin, un message demandera si on veut vider la corbeille..Accepter.
    

  
  
  
  
  

  • A la fin du nettoyage, un rapport va s'ouvrir.
  • Ce rapport est enregistré sur le bureau (SFT.txt)
  • Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
  • Me donner le lien vers ce rapport.
    

Une fois tout ceci fait, redémarrer le PC et me refaire un nouveau rapport ZHPDiag stp.

 

@+

[Pierre13]

Une question: Est ce que tu pourrais faire une recherche dans le registre de cette clé : HKCU\SOFTWARE\Softonic

 

C'est dans : HKEY_CURRENT_USER\Software

 

Vérifier si tu trouves une clé nommée Softonic.

 

Sinon, essayer avec cet outil:

 

• Télécharge SEAF (de C_XX) sur ton bureau !
• Lance SEAF, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche la case "Informations supplémentaires (...)"
• Sélectionne "Chercher également dans le registre"
• Sélectionne MD5
• Au dessous de Recherche, taper : Softonic
• Cliquer sur Lancer la recherche.
• Patienter le temps de la recherche...
  
  
  
  
• Une fois le scan terminé rends-toi sur le bureau, un rapport va s'ouvrir, copie/colle son contenu dans ta réponse

 

On verra bien si cette clé ou fichier existe quelque part...

Ma crainte est un bug dans ZHPDiag..ça m'étonnerai, mais..

 

@+

[manly]

1) ZHPFix http://www.cjoint.com/c/FKhpdtTDM7B

 

Le reste plus tard ( après 19 heures, je dois encore aller me chercher de quoi manger pour ce soir et du pain (pour ce midi loll)

J'ai été plus lente à réagir, la propriétaire du notebook est passée voir. EN fait elle part en vacances et a bien compris que ses vacances seront sans son ordi.

J'ai donc une huitaine de jours devant moi.

Mais je continue ce soir ( ou un peu avant si la maison est calme après le retour de l'école du petit)

@+

[Pierre13]

Ok..Pas de souci..

Si tu veux, on peut reprendre que demain..Y a pas le feu au PC..

 

D'après le rapport ZHPFix, les clés que j'avais mis dans le script n'ont pas été supprimées, du moins, elles n'y sont pas..

Alors, je me pose la question de savoir d'où vient le souci..?

 

Ce que je vais faire, c'est une simulation d'infection en ajoutant ces clés dans le registre et ainsi je verrai bien si ZHPDiag et ZHPFix les détectent et les suppriment ou pas.

 

@ + tard...