[Résolu] USB défectueuses - PC infecté

[GUYHOUBIN]

Bonsoir Tous,

 

Sur les recommendations de PIERRE13 voici le rapport résultant l'analyse de ZHPDiag demandée par TONTON :

 

http://www.cjoint.com/c/GBhrKihwCka

 

Et celui demandé par PIERRE13 résultant de l'analyse de FichListServ.exe :

 

http://www.cjoint.com/c/GBhsn61ie3a

 

Comment désinfecter le PC ?

 

Merci d'avance.

 

GUYHOUBIN

 

 

 

Modifié le 11 février 2017 par GUYHOUBIN

[Pierre13]

Bonjour Guy,

 

Il n'était pas nécessaire de poster le rapport de FichListServ, je suis le seul qui a l'outil pour pouvoir le décoder.

De plus, il ne sert pas pour la désinfection.

Bon, pour les infections, faire ce qui suit dans l'ordre:

 

A désinstaller par Programmes et fonctionnalités si tu les trouves.

Si tu ne trouves pas un logiciel, passer au suivant:

 

QuickTime
Adobe Acrobat Reader DC
Adobe AIR
µTorrent
BitTorrent
Azureus
McAfee

 

Ensuite, après avoir redémarré le PC, faire ceci:

 

Désactiver les protections antivirus.

 

1er Nettoyage:

 

Ne passer les outils qu'une seule fois.

A lire avant de commencer.

• Télécharger ZHPFix de Nicolas Coolman sur cette page.
• Si la page est indisponible, utiliser ce lien
• Installer ZHPFix. ==>> Clic droit sur le fichier et choisir Exécuter en tant qu'administrateur. (Si XP : double cliquer sur le fichier)
• Sélectionner/copier ce code ci dessous en marron:
  
  ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
  
  Script ZHPFix
  FirewallRaz
  EmptyPrefetch
  EmptyTemp
  EmptyFlash

   

  ProxyFix
  O42 - Logiciel: QuickTime 7 - (.Apple Inc..) [HKLM][64Bits] -- {FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}
  O42 - Logiciel: Software Update Helper - (.Google Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
  HKCU\SOFTWARE\AppDataLow\Findizer
  3 - CFD: 26/04/2016 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
  3 - CFD: 18/11/2015 - [0] D -- C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
  [MD5.] [WIS][2015/10/19 15:13:49] (.The Software Group - Windows Installer XML Toolset (3.8.1128.0).) -- C:\Windows\Installer\c77749.msi [317400]
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}
  C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
  C:\Windows\Installer\c77749.msi
  [MD5.00000000000000000000000000000000] [APT] [{236462CF-C8F5-4B6E-A38A-3D0DD24EEE34}] (...) -- C:\Users\Guy\Downloads\USB3_Dell_WIN_A04_Setup-JTDY2_ZPE (3).exe (.not file.) [317400] (.Activate.) => Fichier absent
  [MD5.00000000000000000000000000000000] [APT] [{834AFCB6-FE97-440F-AF89-17D29788F2AA}] (...) -- C:\Users\Guy\Downloads\USB3_Dell_WIN_A04_Setup-JTDY2_ZPE.exe (.not file.) [317400] (.Activate.) => Fichier absent
  [MD5.00000000000000000000000000000000] [APT] [{B13A7F04-EA84-45CB-B9A7-A329C7AE8260}] (...) -- D:\EPSETUP.EXE (.not file.) [317400] (.Activate.) => Fichier absent
  O39 - APT: PCDEventLauncher - (...) -- C:\Windows\System32\Tasks\PCDEventLauncher [317400] (.Orphan.) =>.Superfluous.Orphan
  O39 - APT: {236462CF-C8F5-4B6E-A38A-3D0DD24EEE34} - (...) -- C:\Windows\System32\Tasks\{236462CF-C8F5-4B6E-A38A-3D0DD24EEE34} [317400] (.Orphan.) =>.Superfluous.Orphan
  O39 - APT: {834AFCB6-FE97-440F-AF89-17D29788F2AA} - (...) -- C:\Windows\System32\Tasks\{834AFCB6-FE97-440F-AF89-17D29788F2AA} [317400] (.Orphan.) =>.Superfluous.Orphan
  O39 - APT: {B13A7F04-EA84-45CB-B9A7-A329C7AE8260} - (...) -- C:\Windows\System32\Tasks\{B13A7F04-EA84-45CB-B9A7-A329C7AE8260} [317400] (.Orphan.) =>.Superfluous.Orphan
  HKLM\SOFTWARE\Wow6432Node\SpringFiles =>.Superfluous.SpringFiles
  O43 - CFD: 14/10/2011 - [] D -- C:\ProgramData\PhotoShow Shared Assets =>.Superfluous.SimpleStar
  O43 - CFD: 15/12/2015 - [0] D -- C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} => Empty Folder not necessary
  C:\ProgramData\PhotoShow Shared Assets =>.Superfluous.SimpleStar
  HKCU\SOFTWARE\BitTorrent => P2P.BitTorrent*
  O43 - CFD: 16/10/2015 - [] D -- C:\Users\Guy\AppData\Roaming\Azureus => P2P.Azureus*
  O43 - CFD: 28/01/2017 - [] D -- C:\Users\Guy\AppData\Roaming\uTorrent => P2P.µTorrent*
  
  ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
  

  • Lancer ZHPFix avec un clic droit et choisir Exécuter en tant qu'administrateur.
    
  • Cliquer sur « IMPORTER » ,
  • Le code doit apparaître dans l'interface sinon, recommencer.
  • Dans ZHPFix, cliquer sur GO.
  • Laisser travailler l'outil.
  • S'il demande à redémarrer le PC, accepter.
  • Un rapport sera sur le bureau..Poster le contenu.
• Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
• Me donner le lien vers ce rapport.

 

 

2ème nettoyage:

 

Ne passer les outils qu'une seule fois.

• Télécharger ZHPCleaner de Nicolas Coolman sur le bureau.
• Si la page est indisponible, utiliser ce lien.
• Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)
  
  
• Cliquer sur 1 Scanner
• Patienter jusqu'à la fin (100%)
• Cliquer sur 2 Nettoyer
• Confirmer le nettoyage si demandé.
• Patienter jusqu'à la fin (100%)
• Cliquer sur 3 Rapport
• Poster le rapport sur Cjoint.com
• Redémarrer le PC si demandé.

• Le rapport est sur le bureau.
• Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
• Me donner le lien vers ce rapport.

 

 

Rapports attendus:

 

ZHPFix

ZHPCleaner

 

Bonne journée..

 

@+

Modifié le 8 février 2017 par Pierre13

[GUYHOUBIN]

Bonsoir Pierre,

 

En lisant "Poster le lien du rapport ZHPDiag et celui de ce sujet" j'avais cru comprendre qu'il s'agissait de celui de FichListServ...

 

J'ai désinstallé par "Programmes et fonctionnalités" : Quick Time; Adobe Acrobat Reader DC et Adobe Air.

 

J'ai supprimé les 4 autres en allant sur l'explorateur Windows mais peut-être n'est-ce pas ce qu'il fallait faire?

 

Avant d'aller plus loin dis moi si le "code" à copier/coller est bien tout ce qui est en marron, y compris la page entière?

 

Merci de m'apporter ces précisions.

 

Bien cordialement.

Guy

[Pierre13]

Bonsoir Guy,

 

En supprimant avec l'explorateur, ça ne désinstalle pas les logiciels...

S'il le faut, il faudra les réinstaller et les désinstaller "proprement" avec Programmes et fonctionnalités.

Faut pas oublier que pas mal (en général la majorité) de logiciels installent des fichiers, des clés de registre et des fichiers temporaires..

 

Pour désinstaller McAfee:

Voir sur cette page comment utiliser l'outil MCPR pour supprimer McAfee.

Téléchargement de l'outil MCPR de McAfee.

 

 

Pour ce qui est de la liste à coller dans ZHPFix, c'est bien ce qui est en marron.

Je te la remets ci dessous:

__________________________________________________________________________________________________________________

Script ZHPFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash

 

ProxyFix
O42 - Logiciel: QuickTime 7 - (.Apple Inc..) [HKLM][64Bits] -- {FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}
O42 - Logiciel: Software Update Helper - (.Google Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKCU\SOFTWARE\AppDataLow\Findizer
3 - CFD: 26/04/2016 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
3 - CFD: 18/11/2015 - [0] D -- C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
[MD5.] [WIS][2015/10/19 15:13:49] (.The Software Group - Windows Installer XML Toolset (3.8.1128.0).) -- C:\Windows\Installer\c77749.msi [317400]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}
C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
C:\Windows\Installer\c77749.msi
[MD5.00000000000000000000000000000000] [APT] [{236462CF-C8F5-4B6E-A38A-3D0DD24EEE34}] (...) -- C:\Users\Guy\Downloads\USB3_Dell_WIN_A04_Setup-JTDY2_ZPE (3).exe (.not file.) [317400] (.Activate.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{834AFCB6-FE97-440F-AF89-17D29788F2AA}] (...) -- C:\Users\Guy\Downloads\USB3_Dell_WIN_A04_Setup-JTDY2_ZPE.exe (.not file.) [317400] (.Activate.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{B13A7F04-EA84-45CB-B9A7-A329C7AE8260}] (...) -- D:\EPSETUP.EXE (.not file.) [317400] (.Activate.) => Fichier absent
O39 - APT: PCDEventLauncher - (...) -- C:\Windows\System32\Tasks\PCDEventLauncher [317400] (.Orphan.) =>.Superfluous.Orphan
O39 - APT: {236462CF-C8F5-4B6E-A38A-3D0DD24EEE34} - (...) -- C:\Windows\System32\Tasks\{236462CF-C8F5-4B6E-A38A-3D0DD24EEE34} [317400] (.Orphan.) =>.Superfluous.Orphan
O39 - APT: {834AFCB6-FE97-440F-AF89-17D29788F2AA} - (...) -- C:\Windows\System32\Tasks\{834AFCB6-FE97-440F-AF89-17D29788F2AA} [317400] (.Orphan.) =>.Superfluous.Orphan
O39 - APT: {B13A7F04-EA84-45CB-B9A7-A329C7AE8260} - (...) -- C:\Windows\System32\Tasks\{B13A7F04-EA84-45CB-B9A7-A329C7AE8260} [317400] (.Orphan.) =>.Superfluous.Orphan
HKLM\SOFTWARE\Wow6432Node\SpringFiles =>.Superfluous.SpringFiles
O43 - CFD: 14/10/2011 - [] D -- C:\ProgramData\PhotoShow Shared Assets =>.Superfluous.SimpleStar
O43 - CFD: 15/12/2015 - [0] D -- C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} => Empty Folder not necessary
C:\ProgramData\PhotoShow Shared Assets =>.Superfluous.SimpleStar
HKCU\SOFTWARE\BitTorrent => P2P.BitTorrent*
O43 - CFD: 16/10/2015 - [] D -- C:\Users\Guy\AppData\Roaming\Azureus => P2P.Azureus*
O43 - CFD: 28/01/2017 - [] D -- C:\Users\Guy\AppData\Roaming\uTorrent => P2P.µTorrent*

______________________________________________________________________________________________________________________________________________________________

 

 

@++

[Pierre13]

Bonjour Guy,

 

Si tu as des soucis pour désinstaller les logiciels, essayer avec Revo:

Pense bien à désactiver l'anti virus avant...il pourrait gêner les désinstallations.

 

Tuto CCM Désinstaller un programme proprement avec Revo

 

 

Sinon, fais la suite avec ZHPFix et ZHPCleaner,

 

Bonne journée.

 

@+

Modifié le 9 février 2017 par Pierre13

[GUYHOUBIN]

Bonjour Pierre,

 

Voilà le rapport de ZHPFix : http://www.cjoint.com/c/GBjoGdHf4aa

 

Je m'occupe de celui de ZHP Cleaner

 

@+

 

Guy

[GUYHOUBIN]

Re Pierre,

 

Voici le rapport de ZHP Cleaner :

 

http://www.cjoint.com/c/GBjpfAhS7Fa

 

Est-ce que je peux faire du ménage dans mon bureau en supprimant les différents rapports et autres qui se sont accumulés depuis l'origine de ce sujet ?

[Pierre13]

Re,

 

Ok pour les rapports

 

Oui, bien sur tu peux faire le ménage des rapports et autres sur le bureau.

On va poursuivre avec ces autres outils pour s'assurer qu'il ne reste rien d'infectieux.

 

Ne passer les outils qu'une seule fois.

• Télécharger AdwCleaner (de Xplode) sur ton bureau.
• Lancer ADWCleaner : Clic droit => Exécuter en tant qu'administrateur (sauf sous XP =>> Double cliquer sur le fichier)
  
  
  
• Cliquer sur J'accepte.
  
  
• Cliquer sur Analyser.
  
  
• Patienter le temps de l'analyse.
  
  Si ADWCleaner a trouvé des adwares :
  
  
• Cliquer sur Ok.
  
  Note:
  
  Pour nettoyer, ADWCleaner va fermer tous les processus en cours et redémarrer le PC.
• Cliquer sur Nettoyer
  
  
• Patienter le temps du nettoyage.
• Cliquer sur Ok aux messages suivants et laisser le PC redémarrer.
• Après le redémarrage, poster le rapport qui s'est ouvert.
  
  Si ADWCleaner n'a rien trouvé:
  
  
• Cliquer sur Ok.
  
  
• Cliquer sur Rapport.
• Poster le rapport qui apparaît.
  
  **************************
  Pour poster des rapports:
  **************************
  Rapport Analyse:
• Après avoir cliqué sur le bouton Rapport, on a ceci:
  
  
• Onglet Analyser.
• Double cliquer sur le 1er en haut de la liste (le plus récent)
• Le rapport va s'ouvrir.
  
  
  Rapport Nettoyage
• Onglet Nettoyage
  
  
• Double cliquer sur le 1er en haut de la liste (le plus récent)
• Le rapport va s'ouvrir.
• Heberger le rapport sur le site Cjoint.com

Les rapports se trouvent dans : C:\AdwCleaner

Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
Me donner le lien vers ce rapport.

 

 

 

• Ne passer les outils qu'une seule fois.
  • Télécharger Junkware Removal Tool sur le bureau.
  • Fermer toutes les applications en cours.
  • Désactiver l'antivirus.
  • Lancer JRT.exe et appuyer sur une touche.
  
  Note Importante:
• Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)
  
  
  • À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir.
  • Héberger le rapport sur Cjoint et poster le lien obtenu dans la prochaine réponse.
• Le rapport se trouve sur le bureau (JRT.txt)
• Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
• Me donner le lien vers ce rapport.

 

 

Nettoyage des fichiers temporaires inutiles.

• Désactiver l'anti virus avant ! et lire ces instructions.
• Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Fermer tous les programmes en cours ==>> Important !.

 

• Télécharger SFT.exe sur le bureau (Nouvelle version 2.3.0.7)
  • Si SFT n'est pas sur le bureau, ce message (anglais et français) le signale et SFT se ferme.
    
  • Déplacer SFT sur le bureau et le relancer.
• Si l'antivirus fait des siennes: désactive-le provisoirement. Pour savoir comment faire, voir cet article.
• Enregistrer le fichier sur le bureau.
• Sous XP, double cliquer sur le fichier.
• Sous les autres versions de Windows, faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.
  

• Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...
• A la fin, un message demandera si on veut vider la corbeille..Accepter.

• A la fin du nettoyage, un rapport va s'ouvrir.
• Ce rapport est enregistré sur le bureau (SFT.txt)
• Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
• Me donner le lien vers ce rapport.

 

 

Ensuite, il faudra faire une analyse avec MBAM en ayant pris soin de faire la mise à jour avant de lancer l'analyse des menaces.

Poste moi le rapport de MBAM ensuite.

Si MBAM a trouvé des malwares :

Quand l'examen est terminé, cliquer sur Supprimer la sélection ==>> A ne pas oublier !!
Attendre l'affichage du message invitant à faire redémarrer le PC, puis cliquer sur Oui.
Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)
•Après le redémarrage, quand tu es de retour sur le Bureau, ouvre de nouveau MBAM.
•Cliquer sur l'onglet Historique > Journaux de l'application. (Scan log)



•Faire un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
•Cliquer sur Exporter.
•Cliquer sur Fichier texte (*.txt)



•Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquer sur le Bureau.
•Dans la zone Nom du fichier: saisir un nom pour le journal d'examen.



•Une boîte de message intitulée Fichier enregistré doit apparaître et annoncer que "Votre fichier a été exporté avec succès".


•Cliquer sur OK
•Attacher ce fichier dans la prochaine réponse.


Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
Me donner le lien vers ce rapport.

 

@+ tard...

Modifié le 9 février 2017 par Pierre13

[GUYHOUBIN]

Bonsoir Pierre,

 

Je t'envoie 3 liens correspondant aux rapports qui datent d'aujoud'hui, que j'ai trouvé dans C:\AdwCleaner .

http://www.cjoint.com/c/GBjv7WFTlha

 

http://www.cjoint.com/c/GBjwfp7G1Ia

 

http://www.cjoint.com/c/GBjwjt7yTQa

 

Est-ce bien ceux que tu attends ?

 

Je pense pouvoir continuer demain.

Cordialement.

Guy

[Pierre13]

Bonsoir Guy,

 

Le 1er et le 3ème lien ne servent à rien..

Le 2ème est le bon.

 

Le 1er est l'analyse d'ADWCleaner mais sans surpression.

Le 2ème est celui du nettoyage =>> Ok !

Le 3ème est la base de données des malwares de ADWCleaner sans intérêt pour nous.

 

Ok pour demain...Pas de souci.

 

Bonne nuit.

 

@+