FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Bri]

Bonjour,

Trouvant que depuis quelques jours mon pc ralentissait un peu, j'ai fait une analyse complète
avec Malwayresbites Anti-Malware.
Il m'a trouvé une menace:



qu'il a mis en quarantaine (en fait il y a tout un tas de fichier là dedans .......... )

et autant à suivre


quelqu'un peut-il me dire si je dois tout laisser en quarantaine ou supprimer?ou restaurer si besoin?
j'observe qu'il y a même des clés de registre sur la liste

Ne me demandez pas de faire des tas de trucs, je ne sais pas faire  


merci pour vos réponses


 

[Little Boy62]

Salut.

Tu peux tout mettre en quarantaine.
Si ça coince, on pourra toujours restaurer.

Peux-tu enregistrer le rapport et nous le faire parvenir ?

Pour enregistrer le rapport :
= Ouvre malwarebyte
= Rend toi dans historique, sélectionne le rapport mbam-log et appuie sur afficher


= Ensuite, tout en bas : clique sur Exporter puis Fichier texte (*.txt)

= Enregistre donc le fichier sur ton bureau.

Il faut ensuite l'héberger sur http://www.cjoint.fr et nous fournir le lien dans ta prochaine réponse.


=======================================

Malwarebyte étant un outil généraliste, il faut procéder maintenant à un scan approfondi.

Nous allons donc utiliser ZHPDIAG


= Télécharge ZHPDIAG sur ton bureau : http://www.nicolascoolman.fr/?wpdmdl=803
= Double-clique dessus ensuite pour l'installer

= Une fois installé : double-clique sur le raccourci ZHPDIAG via ton bureau (icône en forme de parchemin)
= Puis clique sur COMPLET pour effectuer un scan approfondi.
= Laisse travailler l'outil : il travaille en tâche de fond et peut parfois indiquer "ne répond pas" (c'est faux)
= Patiente.

Une fois le scan fini, un rapport s'ouvre.
= Il se trouve sur ton bureau : zhpdiag.txt

= Héberge aussi ce rapport sur http://www.cjpoint.fr
= Et donne le lien généré dans ta prochaine réponse.



@+

[Bri]

dans un premier temps
http://cjoint.com/?DGCsOnrLMxO

[Bri]

pouah! c'est pas ça grrrrrrrrrrrrrrrrrrr

[Little Boy62]

Salut.

Non, le fichier comporte mbam-log


@+

[Bri]

je donne l'autre

http://cjoint.com/?DGCs14rKU9E

[Bri]

Pour le fichier malwayres je ne trouve pas ce que tu me demandes
quand je vais dans "historique" j'ai ça



à plus je vais "grailler", bon app 

[Bri]

quand je clique sur la première ligne et que je clique sur "afficher"
je n'ai que ça



ça ne doit pas être bien grave pour toi
c'est le fichier de ZHPDiag qui doit être important


à plus

[Little Boy62]

Salut.



Regarde bien les chemins de chaque ligne : certains possèdent dans le nom "mbam-log"

C'est celui là qu'il me faut.
Mais bon, pas grave

================


Pour ton ZHPDIAG, j'ai des questions.


Je vois ceci
O58 - SDL:05/01/2012 - 00:01:58 ---A- . (.AnchorFree Inc. - Hotspot Shield Routing Driver.) -- C:\Windows\System32\Drivers\hssdrv.sys [56832]
= As-tu installé le VPN hostspot Shield et l'as tu encore ?

Je vois aussi ceci
O42 - Logiciel: Swiff Player 1.7.2 - (.GlobFX Technologies.) [HKLM][64Bits] -- Swiff Player_is1= Utilises-tu le logiciel Swiff Player (un player pour lire les fichiers swf)

Et ceci n'est pas à jour
Adobe Reader XMets-le à jour depuis ce lien stp : https://www.sosvirus.net/telecharger/adobe-flash-player/ Décoche le sponsor


On verra la suite plus tard.


++

[Bri]

Regarde bien les chemins de chaque ligne : certains possèdent dans le nom "mbam-log"Oui effectivement mais je n'ai pas de ligne avec cette mention à la date d'aujourd'hui.
En fait il y a soit "journal de protection", soit "journal d'examen"ce que tu demandes.
A la date d'aujourd'hui, date de l'examen, il n'y a qu'un journal de protection.
__________________________


As-tu installé le VPN hostspot Shield et l'as tu encore ?aucun souvenir d'avoir installé ça

__________________________

Utilises-tu le logiciel Swiff Player (un player pour lire les fichiers swf)oui ça j'ai toujours

__________________________

Pour adobe reader, je fais de suite

  

[Bri]

ça met un temps fou à se charger "reader"  

[Bri]

voilà c'est terminé  

[Little Boy62]

Salut.

Ce script est unique ! Surtout ne pas l'utiliser vous-même

Ouvre ZHPFIX (présent sur le bureau)
Copie ces lignes de ce script : http://puu.sh/auO8E/ceeb9217cd.txt
Puis fait Importer depuis ZHPFIX.
Et lance le nettoyage.

Et refais un zhpdiag de contrôle.


@+

[Bri]

il faut que je sois sûre de ce que je fais

1- j'ouvre ZHPFIX
2- il faut que je copie le script que tu me donnes?
3- et que je clique sur importer?
4- et là je remplace le scrip existant par celui que tu m'as demandé de copier?



Est-ce bien cela?

[Little Boy62]

Salut.

Oui, c'est ça.

Normalement, en cliquant sur Importer, ça colle automatiquement ce que tu as copié.


++

[Bri]

ça c'est le nettoyage :


Rapport de ZHPFix 2014.7.9.4 par Nicolas Coolman, Update du 09/07/2014
Fichier d'export Registre :
Run by Brigitte at 28/07/2014 21:31:09
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 17s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
SUPPRIMÉ:* HKLM\SOFTWARE\Microsoft\Tracing\NewPlayerUpdater_RASAPI32
SUPPRIMÉ:* HKLM\SOFTWARE\Microsoft\Tracing\NewPlayerUpdater_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Toolbar Cleaner uninstall_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Toolbar Cleaner uninstall_RASMANCS
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
SUPPRIMÉ:* HKLM\Software\TuneUp
SUPPRIMÉ: HKLM\Software\Wow6432Node\SupDp

========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (None) : {0ADB7E9D-1767-4541-8B83-724A7174F293}

========== Dossiers ==========
SUPPRIMÉS Flash Cookies (0)
SUPPRIMÉS Temporaires Windows (15)
SUPPRIMÉ: C:\ProgramData\Software
SUPPRIMÉ: C:\Users\Brigitte\AppData\Roaming\TuneUp Software
SUPPRIMÉ: C:\Users\Brigitte\AppData\Local\com

========== Fichiers ==========
SUPPRIMÉS Flash Cookies (0) (0 octets)
SUPPRIMÉS Temporaires Windows (14) (171 526 octets)
SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\hssdrv.sys
SUPPRIMÉ: C:\Windows\Installer\a3620.msi

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
7 : Clés du Registre
3 : Valeurs du Registre
5 : Dossiers
4 : Fichiers
1 : Restauration Système


End of clean in 00mn 46s

========== Chemin de fichier rapport ==========
C:\Users\Brigitte\AppData\Roaming\ZHP\ZHPFix[R1].txt - 28/07/2014 21:31:27 [1906]


je refais une analyse

@+

[Bri]

rapport d'analyse


http://cjoint.com/?DGCvLC9edoU

[Little Boy62]

Salut.

Est-ce que zhpdiag t'a demandé de redémarrer le PC ?
Si oui, as tu redémarrer avant de refaire une analyse.

Car un fichier n'a pas été supprimé.

=======

Copie juste ces lignes
script ZHPFIX
C:\Windows\System32\Drivers\hssdrv.sysRelance ZHPFIX et clique sur importer.

puis redémarre le PC.
Et refais un scan avec zhpdiag



++

[Bri]

hello!!

http://cjoint.com/?DGCwM67WNa9

[Bri]

Je passerai demain pour que tu me dises si c'est bon
Bonne nuit et merci de ton aide  

[Little Boy62]

Salut.

Ton rapport est clean.

Juste une question par rapport au navigateur Google Chrome.

- Utilises-tu l'extension store v.0.2 ?


@+

[Bri]

 Bonjour!

Chouette si tout est bon.

Pour répondre à ta question, non je n'utilise d'ailleurs aucune extension, ni pour chrome ni pour FF.

Merci de ton aide
mais peux-tu me dire ce que c'était "mes merdouilles"?

  

[Little Boy62]

Salut.


Donc tu veux virer l'extension store v2.0 sur chrome.


Pour ce qui concerne tes "infections", elles n'étaient peu nombreuses et peu coriaces...


Ton souci : tu installes des logiciels sans décocher les sponsors

= Tu as eu donc des PUP (Programmes Indésirables)
= Des barres d'outils inutiles (comme dirait l'autre : toute barre d'outil est inutile)



=============================================== ===


Maintenant, on peut finaliser


Lis bien ce lien STP : http://www.forum-entraide-informatique. ... nalisation

= Pour désinstaller tous les outils (et rapports) utilisés au cours de cette infection, utilise DELFIX, comme ceci : http://www.forum-entraide-informatique. ... utoriel#36


= Pour les barres d'outils, à lire : http://www.forum-entraide-informatique. ... les-eviter



Sinon, tu as toujours des lenteurs ?

Si oui, tu peux utiliser CCleaner uniquement pour la partie nettoyage (pas la partie Registre), comme ceci : [partie 4 : Optimisation = http://www.forum-entraide-informatique. ... nalisation ]




++

[Bri]

Re

Avant que je vire, dis-moi à quoi elle sert cette extension?


Je suis surprise pour les sponsors. Je télécharge très peu de logiciels et je fais toujours attention
à bien décocher les barres d'outils. Mais bon.............. si tu le dis  

CCleaner je l'utilise tous les soirs à la fermeture (pour le registre, une fois par semaine).

Pour la défragmentation : j'en ai une de programmée une fois par semaine, en automatique.

Pour la lenteur : ça va bien aujourd'hui.

Pouah! les fichiers je les avais supprimés hier et passé ccleaner.
Il ne reste plus que les deux logiciels à supprimer. Les désinstaller avec ccleaner ne suffit pas?
(oui je sais je suis chiante, mais ça me gonfle d'utiliser des logiciels que je ne connais pas. Toujours peur
de faire de travers et de me foutre dans la m....  

[Little Boy62]

Salut

Par rapport à l'extension... rien de concret.

Mais inutile.

Ce genre d'extension rame la navigation.
C'est pourquoi on la supprime.



++

[Bri]

je la vire comment? Elle n'est pas dans les extensions via les outils.

[Little Boy62]

Salut.

Ah ?

Sinon, ce n'est pas bien grave. C'est une extension qui ralenti la navigation.

Mais tu n'utilises pas google chrome je pense.


Bref, si tout va bien coté navigation sur google chrome, tu peux laisser tomber ^^



++

[Bri]

^^

tout va bien pour le moment.
Je te remercie encore une fois.
Ça ne m'a pas pris la tête, je me sentais en confiance.  


J'ai fait un "petit" don à FEI en remerciements.

Bye mon grand  

[Little Boy62]

Re Bri et merci

N'hésite pas à passer si tu as des questions


@++

[Bri]

ok je quitte , affaire close pour moi
bon app