FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Fred.b34]

Bonjour,

Je viens de passer (scan+nettoyage) ADWCleaner sur le PC de mon amie, cela donne :

# AdwCleaner v3.205 - Rapport créé le 02/05/2014 à 10:00:24
# Mis à jour le 28/04/2014 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : NATHALIE - NATH
# Exécuté depuis : C:\Users\NATHALIE\Desktop\Fred Virus\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : BackupStack
Service Supprimé : IePluginService
[#] Service Supprimé : Update crimsolite
[#] Service Supprimé : Util crimsolite

***** [ Fichiers / Dossiers ] *****

[!] Dossier Supprimé : C:\Program Files (x86)\crimsolite
Dossier Supprimé : C:\Program Files (x86)\MyPC Backup
Dossier Supprimé : C:\Program Files (x86)\Optimizer Pro
Dossier Supprimé : C:\Program Files (x86)\Software Updater
Dossier Supprimé : C:\Program Files (x86)\SupTab
Dossier Supprimé : C:\Users\NATHALIE\AppData\Roaming\Optimizer Pro
Dossier Supprimé : C:\Users\NATHALIE\AppData\Roaming\qone8
Dossier Supprimé : C:\Users\NATHALIE\AppData\Roaming\SupTab
Dossier Supprimé : C:\Users\NATHALIE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup
Dossier Supprimé : C:\Users\NATHALIE\Documents\Optimizer Pro
Fichier Supprimé : C:\Users\NATHALIE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk
Fichier Supprimé : C:\Users\NATHALIE\Desktop\MyPC Backup.lnk

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\Users\NATHALIE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\NATHALIE\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Raccourci Désinfecté : C:\Users\NATHALIE\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Raccourci Désinfecté : C:\Users\NATHALIE\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Optimizer Pro]
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mypc backup
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1B059C94-7DFC-419A-8AA6-8E643BAC7974}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1B059C94-7DFC-419A-8AA6-8E643BAC7974}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Valeur Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}]
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Clé Supprimée : HKCU\Software\Optimizer Pro
Clé Supprimée : HKCU\Software\SoftwareUpdater
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\Software\IePlugin
Clé Supprimée : HKLM\Software\qone8Software
Clé Supprimée : HKLM\Software\supTab
Clé Supprimée : HKLM\Software\Wpm
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\qone8 uninstaller
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Software Updater_is1
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyPC Backup
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - c:\progra~2\optimi~1\optpro~2.dll
Donnée Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\OPTIMI~1\OPTPRO~3.DLL

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16537

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\\ Google Chrome v34.0.1847.131

[ Fichier : C:\Users\NATHALIE\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée [Extension] : pelmeidfhdlhlbjimpabfcbnnojbboma

*************************

AdwCleaner[R0].txt - [8089 octets] - [29/03/2014 17:55:10]
AdwCleaner[R1].txt - [8516 octets] - [02/05/2014 09:58:34]
AdwCleaner[S0].txt - [6060 octets] - [29/03/2014 17:58:02]
AdwCleaner[S1].txt - [6704 octets] - [02/05/2014 10:00:24]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [6764 octets] ##########

Que faire ensuite, svp.
Merci

Fred

[g3n-h@ckm@n]

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[Fred.b34]

OK Shortcut passé avec un bon paquet d'infections trouvées...

Le rapport est hébergé sur SOSVirus :
http://upload.sosvirus.net/www/?a=di=LvXFskkOEd

Cdlt
Fred

[g3n-h@ckm@n]

tu n'as pas suivi ta precedente desinfection jusqu'au bout ?

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[Fred.b34]

Effectivement, c'est un PC que je retrouve seulement quand je viens en déplacement chez mon amie. La dernière fois j'ai du reprendre le train avant de lancer MAMB comme m'avait demandé 2011N2... je me disais, je finirai dans 15j... et puis ça a été plus long...
et entre temps j'ai l'impression que ça a empiré...
J'espère cette fois qu'on pourra finir avant que je ne reparte... ;-)

Je reprends la procédure avec MalawareBytes comme indiqué et je te fournis le rapport.

Merci
Fred

[g3n-h@ckm@n]

ben alors il fallait reprendre sur le topic en question. ^^
enfin bon continuons là.

[Fred.b34]

Ci-après le rapport MBAM (il y avait bien encore un "truc" détecté...)

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 02/05/2014
Heure de l'examen: 13:48:10
Fichier journal:
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.05.02.07
Base de données Rootkits: v2014.03.27.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 8
Processeur: x64
Système de fichiers: NTFS
Utilisateur: NATHALIE

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 260369
Temps écoulé: 27 min, 38 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 1
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Bon: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Mauvais: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),Remplacé,[d3ccc983f58684b2cef25add33d1e41c]

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

[Fred.b34]

Je ne savais pas trop comment faire... Le topic avait été archivé... j'ai donc envoyé un mp ce matin à Gabriel pour savoir ce qu'il été préférable de faire ?...
Comme j'ai eu l'impression qu'il n'était pas connecté, j'ai décidé de reposter un nouveau topic pour espérer finir avant de devoir repartir...   
EN tout cas, merci à tous les membres du forum pour votre aide...

[2011N2]

Bonjour,

J'allais répondre à ton mail quand j'ai vu que tu as ouvert un nouveau sujet.

Étant donné que le PC semble avoir été réinfecté depuis l'autre topic (je n'ai pas comparé les rapports, mais c'est ce que j'en déduis par rapport aux faits évoqués dans ton mail), ce n'est pas gênant d'avoir ouvert un nouveau sujet.

Bonne désinfection.

Gabriel.

[g3n-h@ckm@n]

bien

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Fred.b34]

OK. OTL passé avec le script... Résultats à la suite.

OTL.txt :
http://upload.sosvirus.net/www/?a=di=fdtv9Lqe6x

Extras.txt :
http://upload.sosvirus.net/www/?a=di=Jtp7Q8yoQJ

Merci
Fred

[g3n-h@ckm@n]

hello

mets windows à jour via windows update , il est loin de l'être.

[Fred.b34]

Salut,

J'ai lancé Win Update (difficile à trouver sous Win8) à 2 reprises. La dernière install est la KB2934016. Là, il répond plus de MAJ dispo...

Quoi d'autre à faire ?

Fred

[g3n-h@ckm@n]

refais OTL ?

[Fred.b34]

Bonjour,

Je viens de relancer OTL. Voici les résultats après upadte complet windows

OTL.txt :
http://upload.sosvirus.net/www/?a=di=34QOEkVnUu

Extras.txt :
http://upload.sosvirus.net/www/?a=di=gCev9fNmvF

Fred

[g3n-h@ckm@n]

OTL semble avoir un souci de detection de version de fichiers

clic droit sur c:\program files (X86)\internet explorer\iexplore.exe ( icone internet explorer ) puis donne le numero de version

[Fred.b34]

Version 10.0.9200.16537
Modifié le 21/02/2013 12:28

[Fred.b34]

Je dois partir... le train n'attend pas.
Je reprendrai la désinfection dans 15j.

Merci pour votre aide.
Fred

[g3n-h@ckm@n]

ok tu mettras à jour internet explorer alors

http://windows.microsoft.com/fr-fr/inte ... -languages

[Fred.b34]

Bonjour,

De retour...
J'ai procédé à l'update de IE et relancer le scant OTL avec le script fourni la dernière fois.
Voici les résultats.

Le scan OTL : OTL.txt
http://cjoint.com/?0EwuGIGh866

Le Extras.txt :
http://cjoint.com/?0EwuJdV639n

Merci
Fred

[g3n-h@ckm@n]

je comprends pas pourquoi OTL n'est pas sur le bureau comme demandé et dans un dossier au nom farfelu , et quand on voudra virer les outils ils ne seront pas supprimés

C:\Users\NATHALIE\Desktop\Fred Virus\OTL.exe

[Fred.b34]

Bonjour,

Oupss, Désolé. J'avais effectivement rangé tous les outils dans un répertoire sur le bureau pour éviter toutes confusions et erreurs à mon amie. J'ai relancé les scans en oubliant de remettre en place....

J'ai remis sur le bureau et relancer le scan...

Le scan OTL : OTL.txt
http://cjoint.com/?0Exg3XePyyW


Le Extras.txt :
http://cjoint.com/?0Exg5BqjS4Q

Cdlt
Fred

[g3n-h@ckm@n]

hello ok ca a l'air propre des soucis persistent de ton coté ?

[Fred.b34]

Bonjour

Désolé pour le temps de réponse, mais j'ai du partir et je ne reviens qu'aujourd'hui devant ce clavier....

Mon amie ne signale aucune difficulté particulière dans l'usage de son PC depuis les nettoyages qu'on a fait.
Je viens d'avoir Windows qui me propose de télécharger la 8.1 (enfin j'espère que c'était bien Windows, car j'ai accepté... )

Ca a donc l'air tout bon pour moi.

[g3n-h@ckm@n]

ok salut

finis donc avec le menage alors ^^

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[Fred.b34]

Voici le rapport de néttoyage Delfix.txt

# DelFix v10.7 - Rapport créé le 07/06/2014 à 18:26:33
# Mis à jour le 27/04/2014 par Xplode
# Nom d'utilisateur : NATHALIE - NATH
# Système d'exploitation : Windows 8 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\Shortcut_Module
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\NATHALIE\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\log.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\NATHALIE\Desktop\adwcleaner.exe
Supprimé : C:\Users\NATHALIE\Desktop\Extras.Txt
Supprimé : C:\Users\NATHALIE\Desktop\OTL.Txt
Supprimé : C:\Users\NATHALIE\Desktop\OTL.exe
Supprimé : C:\Users\NATHALIE\Desktop\Shortcut_Module.exe
Supprimé : C:\Users\NATHALIE\Desktop\Shortcut_Module_02_05_2014_12_18_07.txt
Supprimé : C:\Users\NATHALIE\Desktop\Shortcut_Module_29_03_2014_18_47_03.txt
Supprimé : C:\Users\NATHALIE\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\NATHALIE\Desktop\ZHPDiag.txt
Supprimé : C:\Users\NATHALIE\Desktop\zhpdiag2.exe
Supprimé : C:\Users\NATHALIE\Desktop\ZHPFix.lnk
Supprimé : C:\Users\NATHALIE\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\NATHALIE\Desktop\ZHPFix[R1].txt
Supprimé : C:\Users\NATHALIE\Downloads\adwcleaner (1).exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Shortcut_Module
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #62 [Point de contrôle planifié | 05/22/2014 04:42:36]
Supprimé : RP #63 [Point de contrôle planifié | 05/29/2014 06:02:05]
Supprimé : RP #64 [Point de contrôle planifié | 06/06/2014 01:14:33]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

Ca m'a l'air OK.
Merci de ton aide.

[g3n-h@ckm@n]

parfait