[Résolu] Le PC du fiston est infecté

[Waterflow]

Bonjour,

Mon fils m'a demandé un coup de main pour faire les mises jours de son PC.

Il y a malheureusement des infections dont je ne connais pas la gravité.

Voici le rapport ZHP_Diag.

Merci 

[tomtom95]

Bonjour Waterflow,

Présence d'infection par adwares/hijackers qui se sont installés avec ton consentement,
Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels.

Désinstalle via Panneau de configuration >> programmes et fonctionnalités (si présents) :
Clique droit Démarrer >> dans le menu Panneau de Configuration >> Programmes >> Programmes et fonctionnalités
uTorrent BitTorrent p2p (Source d'infection multiple risque de vols et perte de données)

• Télécharge ZHPFix de Nicolas Coolman enregistre-le sur ton Bureau
• Pour lancer l'installation clique-droit sur ZHPFix.exe > exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau

• Puis Clique-droit >sur l'icône ZHPFix ,présent sur votre Bureau clique-droit > exécuter en tant qu'administrateur
  

• Surlignez tout le texte ci-dessous puis cliquez droit Copier

  Script ZHPFix
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\001
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\004
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\005
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\006
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\007
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\008
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\009
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\010
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\011
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\012
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\013
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\014
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\015
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\016
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\017
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\018
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\019
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\020
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\021
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\022
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\023
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\024
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\025
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\026
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\027
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\028
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\029
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\030
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\031
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\032
  C:\Users\adrie\AppData\Local\Google\Chrome\User Data\Default\File System\Plugins
  C:\Program Files (x86)\McAfee
  C:\ProgramData\AVAST Software
  C:\Program Files (x86)\Common Files\AV
  O2 - BHO: Groove GFS Browser Helper [64Bits] - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} . (...) -- C:\Program Files\MICROS~4\Office14\GROOVEEX.DLL (.not file.)
  O2 - BHO: URLRedirectionBHO [64Bits] - {B4F3A835-0E21-4959-BA22-42B3008E02FF} . (...) -- C:\Program Files\MICROS~4\Office14\URLREDIR.DLL (.not file.)
  O20 - AppInit_DLLs: . (...) - C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC64LO~1.DLL (.not file.)
  O69 - SBI: SearchScopes [HKCU] [64Bits]{015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} - (Trovi) - http://www.trovi.com/
  HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
  HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
  HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\XXX Groove GFS Context Menu Handler XXX
  HKLM\Software\Classes\CLSID\{6C467336-8281-4E60-8204-430CED96822D}
  HKLM\Software\Wow6432Node\Classes\CLSID\{6C467336-8281-4E60-8204-430CED96822D}
  HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\XXX Groove GFS Context Menu Handler XXX
  HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\XXX Groove GFS Context Menu Handler XXX
  HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\XXX Groove GFS Context Menu Handler XXX
  HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\ASZip
  HKLM\Software\Classes\CLSID\{d03d3e68-0f44-3d45-b15f-bcfd8a8b4c7e}
  HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
  HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\XXX Groove GFS Context Menu Handler XXX

  ShortcutFix
  Ifeofix
  PROXYFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore
  

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK

  

  IMPORTANT :Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus et par-feu)
  Attention :vérifiez que que toutes les lignes se sont collées
  

• Puis Cliquez sur "GO"
  

• Confirmez les nettoyages des données en cliquant sur "Oui"
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
  

• Une fois le scan terminé  le fichier ZHPFixReport à été crée sur le bureau.
  

• Hébergez le rapport ZHPFixReport  sur le site d'hébergement de fichiers
  puis copier/coller le lien fourni dans votre prochaine réponse.

• Télécharges Adwcleaner  sur ton Bureau
  Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur
  Cliquez sur oui pour Accepter la licence
  
  Clique sur Analyser Maintenant
  Lorsque le scan est terminé les éléments détectés s'affichent
  Choisir l'option Nettoyer/réparer
  Accepte l'avertissement en cliquant sur redémarrer maintenant l'ordinateur.
  Ensuite clique sur voir le rapport
  Héberge  le contenu du rapport
  sur le site ce site d'hébergement de fichiers
  Puis copie/colle le lien fourni dans votre prochaine réponse.

• Télécharge ZHPCleaner  sur votre bureau.
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Pour le lancer l'outil clique-droit > exécuter en tant qu'administrateur
  Accepte "les conditions d'utilisation"
  
  Cliquer sur Analyser
  Lorsque le scan est terminé
  Clique sur  Nettoyer (ferme la page du navigateur qui s'ouvre)
  L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
  Cliquer sur Nettoyer pour lancer la suppression des éléments détectés
  Si un redémarrage est nécessaire pour compléter le nettoyage, cliquer sur OK et redémarrer le système
  Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche.
  Héberge le rapport ZHPCleaner.txt sur le site ce service de rapport en ligne
  Puis copier/coller le lien fourni dans votre prochaine réponse.
  Tutoriel ZHPCleaner

En attente des 3 rapports.

A plus.

[Waterflow]

Bonjour tomtom95 et merci de m'occuper de mon cas,

Je n'ai malheureusement pas réussi à faire fonctionner ZHPFix qui s'est bloqué à mi-parcours puis dès le départ.

J'ai fait un nouveau ZHP_Diag.

J'ai du faire des erreurs de manipulation notamment en ayant à nouveau relu toute la procédure la désactivation complète de la protection Windows Defender car j'ai désactivé seulement les filtres smartscreen. ZHPFix a bloqué dès le début après correction.

Pardon pour ce contre-temps.

Modifié le 10 mai 2018 par Waterflow
Mise en forme et précision

[tomtom95]

Re,

Ok ce n'est pas trop grave.

Exécute les deux autres outils ( Adwcleaner et ZHPCleaner ) puis Héberge les rapports .

Puis copier/coller le lien fourni dans votre prochaine réponse.

Pour télécharger les outils Lire avant régler le navigateur

[Waterflow]

Voilà les rapports

AdwCleaner[C01]

ZHPCleaner

Merci

[tomtom95]

Très bien complet avec un scan de MBAM

• Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
  Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  Clique-droit > exécuter en tant qu'administrateur sur le fichier mbam-setup.exe pour lancer l'installation.
  A la fin de l'installation,
  Clique sur Terminer. Malwarebyte's s'ouvre
  Lancer l'examen >> Analyse Maintenant
  Quand l'examen est terminé, SI des éléments ont été Détectés,
  Appliquer les actions cliquez sur Quarantaine sélectionnée
  Pour laisser MBAM nettoyer ce qui a été détecté.
  Si un redémarrage est demandé, clique sur OUI.
  Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui. .

  Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

  Cliquez sur l'onglet Comptes-rendus .
  Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
  Cliquez sur Afficher Exporter.
  Cliquez sur Fichier texte (*.txt)
  Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
  Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
  Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
  Cliquez sur OK
  Hébergez  le contenu du rapport sur le site ce service de rapport en ligne
  Puis copie/colle le lien fourni dans votre prochaine réponse.
  Tutoriel Malwarebytes en images

Ensuite dis moi comment se comporte le système maintenant par rapport aux symptômes signalés au début ?
Si c'est bon je te donne le reste des démarches pour terminé cette désinfection.

[Waterflow]

Le rapport MALB 

Pour l'analyse, cela va être long je crois. Entre les études, son boulot tous les weekend et ses sorties, je ne vois pas souvent mon fils cadet.

J'ai profité d'énervements un soir sur le temps d'ouverture puis de transformation en PDF de rapports et de plans pour lui proposer de jeter un œil sur son PC (Mise à jour logiciel, nettoyage et vérification d'infection.)

Je te propose de finir l'opération. Au cas où j'ai un retour et le PC, j'ouvrirai un nouveau sujet. 

En regardant le post résolu de zavie, j'ai utilisé l'outil FRST en analyse comme tu l'indiquais.

Le rapport FRST

Le rapport Addition

Merci à demain

Modifié le 11 mai 2018 par Waterflow
Avancement

[tomtom95]

Bonjour,

Les rapports sont propres juste une correction de nettoyage.
Commence par vider la quarantaine de Malwarebytes ouvre l'outil clique sur Quarantaine >> sélectionne les lignes et clique sur Supprimer.

Attention de ne pas utiliser des outils de désinfection seul sans savoir ce qu'il supprime (risque de suppression de faux positif)

Correction avec l'outil FRST
clique-droit sur FRST.exe > exécuter en tant qu'administrateur
Copie la totalité du contenu de ce correctif hébergé ici >>> http://textup.fr/263181QT
Pour ce faire, sélectionne toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier
(le correctif est copié dans le Presse-Papier)
Fermer sur le PC toutes les applications ouverte, y compris le navigateur

NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

clique une seule fois sur le bouton Corriger et et patiente le temps de la correction.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.[/list]

Ensuite nous allons pouvoir terminer la procédure plus quelques conseils.

• Vous allez supprimer les outils et purger la restauration.
  Téléchargez DelFix (de Xplode) sur ton Bureau
  
• Cochez les cases :
  Supprimer les outils de désinfection
  Purger la restauration système
• Validez sur Exécuter
• Laissez travailler l'outil
  Un rapport s'ouvre Copie/colle le rapport obtenu
  Delfix ce supprime automatiquement
  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
• Hébergez le rapport Defix.txt sur le site ce site d'hébergement de fichiers
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Quelques conseils et préventions pour l'avenir
D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
Bien lire les accords de licence avant toute  installation.
Prend quelques instants pour lire,
Lisez d'abord cliquez après !!!
Les risques du peer-to-peer
Le danger des cracks !

Attention Les sites de téléchargements qui repackent les programmes
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net..
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.

Prudence avec vos Mails et pièces jointes que vous recevez ils renferment parfois des Malwares.(Le phishing ou hameçonnage,SPAM... )
Souvent, les infections se propagent sur l'ordinateur de cette manière.
La protection la plus efficace de la messagerie.
1) Ne pas ouvrir ou cliquer sur les pièces jointes provenant d’un expéditeur que vous ne connaissez pas.
2) Ne pas ouvrir les pièces jointes d'un email (fichiers .zip, .xls ou .doc) que si l'identité de son expéditeur est confirmée.
3) Supprimer le message suspect sans y répondre.
4) Refuser de confirmer l'accusé de réception d'un expéditeur inconnu.
5) Supprimez le mail directement (évitez de le stocker dans les éléments supprimés)

Il est important de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.

IMPORTANT Sauvegarder régulièrement les données personnelles sur un support externe.
En cas de conflit ou d'infection, vos données ne seront pas perdues.

Vérifier aussi (Si présent sur le PC) d'avoir toujours la dernière version de Java et Flash Player.
Avec l'outil SX Check&Update de igor51

De maintenir son Antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes Anti-Malware .
Lire Sécuriser son ordinateur et connaître les menaces
Puis tu peux  marquer ton sujet comme résolu
Voici comment faire Marquer un sujet

[Waterflow]

Bonjour tomtom95,

J'ai perdu le rapport Fixlog que j'avais lu !

Le rapport DelFix

J'ai relu et je demanderais au fiston de lire ce document.

Je tiens à te remercier pour aide rapide et ta compréhension.

Je te souhaite un bon weekend.

[tomtom95]

Dommage j'aurai bien voulu voir ce rapport (tant pis).
Oui c'est important de faire lire les préventions a l'utilisateur du PC.

Voilà donc prudence dans les téléchargements.

Bonne continuation.