Votre question
Résolu

Infections multiples PCPerformer, PretonSaver, SpeedUpMyPc, buenosearch.com, 77zip.com

Tags :
  • Nettoyage
  • Windows XP
  • PC
  • Adware
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Octobre 2014 09:49:03

Bonjour toutes et tous,

Comme convenu, voici le tour du nettoyage du pc fixe de Manue, infecté jusqu'à l'os.

Ce PC est sous MS Windows XP.

Le rapport frst.txt
Le rapport addition.txt

Autres pages sur : infections multiples pcperformer pretonsaver speedupmypc buenosearch com 77zip com

a c 296 8 Sécurité
13 Octobre 2014 10:10:57

Bonjour,

  • Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

  • Une fois le scan terminé, choisis l'option "Nettoyer".

  • Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[s?].
    m
    0
    l
    13 Octobre 2014 11:21:14

    Bonjour Destrio5 :) 

    J'ai d'abord désinstaller les programmes suivants via le panneau de configuration :
    1. 77zip
    2. Bar d'applications alOt
    3. Bing Bar
    4. Bueno Chrome Toolbar
    5. buenosearch toolbar
    6. Fissa
    7. FLV Player
    8. Free Games 111
    9. Freeze.com NetAssistant
    10. Google Chrome
    11. Google Chrome toolabar
    12. Iminet Toolbar For Internet Explorer
    13. InstallIQ Updater
    14. MyPC Bakcup
    15. Outil de notification de cadeaux MSN
    16. PC Performer
    17. PretoSaver Home Edition
    18. PriceGong 2.1.0
    19. Pricora (impossible à désinstaller)
    20. Raccourcis Marketsplash
    21. Snap.Do Engine (impossible à désinstaller)
    22. Speed Test 127
    23. SpeedUpMyPc
    24. Supreme Savings
    25. Tuto Avat1.0.0.0
    26. tuto4pc_fr_22
    27. Whoislive
    28. Widestream6


    Puis j'ai appliqué ta procédure.

    Le rapport AdwCleaner.
    m
    0
    l
    a c 296 8 Sécurité
    13 Octobre 2014 11:26:47

    • Télécharge ZHPDiag (de Nicolas Coolman).

    • Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

    • Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

    • Clique sur Complet.

    • Une fois le scan terminé, un rapport est créé sur le Bureau.

    • Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
    m
    0
    l
    a c 296 8 Sécurité
    13 Octobre 2014 12:53:23

    Il reste pas mal de cochonneries, on va dégrossir avant le script ZHPFix.

    • Fais un scan avec Malwarebytes' Anti-Malware, supprime tout ce qu'il trouve et poste le rapport.

  • Malwarebytes' Anti-Malware - Tutoriel
    m
    0
    l
    a c 296 8 Sécurité
    13 Octobre 2014 19:56:41

    Un nouveau rapport ZHPDiag s'il te plaît.
    m
    0
    l
    a c 296 8 Sécurité
    13 Octobre 2014 20:47:29

    L'extension "WhoIsLive Sidebar" sur Firefox est voulue ?
    m
    0
    l
    14 Octobre 2014 06:36:02

    Bonjour toutes et tous,
    Bonjour Destrio5 :) ,

    Non, WhoIsLive Sidebar n'est pas voulue, et est même fort encombrante lors de la navigation sur Internet. On peut l'enlever.
    m
    0
    l
    a c 296 8 Sécurité
    14 Octobre 2014 08:04:23

    • Copie tout le texte présent dans le cadre ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

      Script ZHPFix
      SysRestore
      M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\eBay-france.xml
      M2 - MFEP: prefs.js [Propriétaire - aapm74nw.default\eran@whoislive.com] [] WhoIsLive Sidebar v1.0 (..)
      M2 - MFEP: prefs.js [Propriétaire - aapm74nw.default\@FissaPlugin] [] Fissa v1.0 (..)
      M2 - MFEP: prefs.js [Propriétaire - aapm74nw.default\{6F977649-B06D-7809-9725-1FCFD3AC8308}] [] New tab v5.0.0.9396 (..)
      M2 - MFEP: prefs.js [Propriétaire - aapm74nw.default\{98aabde7-4fd9-4add-8be4-a0c303ad66f3}] [] Snap.Do v5.0.0.9396 (..)
      O2 - BHO: FileConverter 1.5 - {cfcb809c-3a22-4616-a916-6c007bd9d920} Clé orpheline
      O3 - Toolbar\WebBrowser: (no name) - [HKCU]{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} Clé orpheline
      O3 - Toolbar\WebBrowser: (no name) - [HKCU]{CFCB809C-3A22-4616-A916-6C007BD9D920} Clé orpheline
      OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
      O4 - HKLM\..\Run: [tuto4pc_fr_22] Clé orpheline
      OPT:O4 - HKCU\..\Run: [FlyAway] Clé orpheline
      OPT:O4 - HKUS\S-1-5-21-515967899-1757981266-725345543-1003\..\Run: [FlyAway] Clé orpheline
      O39 - APT: - (..) -- C:\WINDOWS\Tasks\Pricora-chromeinstaller.job [1862] =>PUP.CrossRider
      O39 - APT: - (..) -- C:\WINDOWS\Tasks\Pricora-codedownloader.job [1176] =>PUP.CrossRider
      O39 - APT: - (..) -- C:\WINDOWS\Tasks\Pricora-firefoxinstaller.job [1788] =>PUP.CrossRider
      O39 - APT: - (..) -- C:\WINDOWS\Tasks\RegistryBooster.job [278]
      O39 - APT: - (..) -- C:\WINDOWS\Tasks\SpeedUpMyPC.job [260]
      O39 - APT: - (..) -- C:\WINDOWS\Tasks\spmonitor.job [270]
      O42 - Logiciel: RewardsArcadeSuite - (.215 Apps.) [HKCU] -- RewardsArcadeSuite
      O42 - Logiciel: Snap.Do Engine - (.ReSoft Ltd..) [HKCU] -- {122ba0eb-d3e7-4ca3-ba82-62f91826173a}
      O42 - Logiciel: SweetIM for Messenger 3.4 - (.SweetIM Technologies Ltd..) [HKLM] -- {F70AE624-2B41-476F-BC9C-0A7F158C3F15}
      [HKCU\Software\TBSB01620]
      O43 - CFD: 28/02/2011 - 20:47:49 - [] ----D C:\Program Files\Preton
      O43 - CFD: 03/05/2012 - 15:29:08 - [] --H-D C:\Documents and Settings\All Users\Application Data\{4965EFCE-6978-4137-B293-4130A6875DB9}
      O43 - CFD: 09/09/2014 - 18:17:32 - [] ----D C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Preton_Ltd
      O45 - LFCP:[MD5.30095AC186A7673636A0E0D6F82530AD] - 13/10/2014 - 08:06:57 ---A- - C:\WINDOWS\Prefetch\SUPT4PC_FR_22.EXE-1A2EB848.pf
      O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\77ZipSetup.exe" [Enabled] .(.77Zip.) -- C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\77ZipSetup.exe
      O90 - PUC: "426EA07F14B2F674CBC9A0F751C8F351" . (.SweetIM for Messenger 3.4.) -- C:\WINDOWS\Installer\{F70AE624-2B41-476F-BC9C-0A7F158C3F15}\ARPPRODUCTICON.exe =>PUP.SweetIM
      O90 - PUC: "DCBDCDC5A9111EA4C9558B61BDEB2454" . (.Iminent.) -- C:\WINDOWS\Installer\{5CDCDBCD-119A-4AE1-9C55-B816DBBE4245}\imbooster.ico =>Adware.IMBooster
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\RewardsArcadeSuite] =>PUP.RewardsArcade^
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{122ba0eb-d3e7-4ca3-ba82-62f91826173a}] =>Hijacker.SmartBar^
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{F70AE624-2B41-476F-BC9C-0A7F158C3F15}] =>PUP.SweetIM^
      [HKLM\Software\Classes\CLSID\{148132E6-626D-4A5E-8063-A761EB29A50B}] =>PUP.BearShare
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{27100E88-8830-44ED-9D6A-CA24F3523F39}] =>Toolbar.Agent
      [HKLM\Software\Classes\CLSID\{27100E88-8830-44ED-9D6A-CA24F3523F39}] =>Toolbar.Agent
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{27100E88-8830-44ED-9D6A-CA24F3523F39}] =>Toolbar.Agent
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CFCB809C-3A22-4616-A916-6C007BD9D920}] =>Toolbar.Agent
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CFCB809C-3A22-4616-A916-6C007BD9D920}] =>Toolbar.Agent
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFCB809C-3A22-4616-A916-6C007BD9D920}] =>Toolbar.Agent
      [HKLM\Software\Classes\CLSID\{F8AB43ED-EC88-4de7-B213-F89157D29C62}] =>PUP.iMesh
      [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\FileConverter_1.5 Toolbar] =>Toolbar.Agent
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto] =>Spyware.AgenceExclusive
      [HKCU\Software\RewardsArcadeSuite] =>PUP.RewardsArcade
      [HKLM\Software\Classes\Installer\Features\426EA07F14B2F674CBC9A0F751C8F351] =>PUP.SweetIM
      [HKLM\Software\Classes\Installer\Products\426EA07F14B2F674CBC9A0F751C8F351] =>PUP.SweetIM
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\426EA07F14B2F674CBC9A0F751C8F351] =>PUP.SweetIM
      [HKLM\Software\Classes\RewardsArcadeSuite.BHO] =>PUP.RewardsArcade
      [HKLM\Software\Classes\RewardsArcadeSuite.BHO.1] =>PUP.RewardsArcade
      [HKLM\Software\Classes\RewardsArcadeSuite.FBApi] =>PUP.RewardsArcade
      [HKLM\Software\Classes\RewardsArcadeSuite.FBApi.1] =>PUP.RewardsArcade
      [HKLM\Software\Classes\RewardsArcadeSuite.Sandbox] =>PUP.RewardsArcade
      [HKLM\Software\Classes\RewardsArcadeSuite.Sandbox.1] =>PUP.RewardsArcade
      [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\Arpcache\RewardsArcadeSuite] =>PUP.RewardsArcade
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094] =>PUP.SweetIM^
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536] =>PUP.SweetIM^
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:tuto4pc_fr_22 =>PUP.AgenceExclusive^
      C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\aapm74nw.default\extensions\@FissaPlugin =>PUP.OfferBox^
      C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\aapm74nw.default\extensions\{98aabde7-4fd9-4add-8be4-a0c303ad66f3} =>Hijacker.SmartBar^
      C:\Documents and Settings\Propriétaire\Application Data\ilividtoolbargaw =>Adware.Bandoo^
      C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Temp\Iminent =>Adware.IMBooster
      C:\WINDOWS\Tasks\Pricora-chromeinstaller.job =>PUP.CrossRider^
      C:\WINDOWS\Tasks\Pricora-codedownloader.job =>PUP.CrossRider^
      C:\WINDOWS\Tasks\Pricora-firefoxinstaller.job =>PUP.CrossRider^
      C:\WINDOWS\Tasks\SpeedUpMyPC.job =>PUP.SpeedUpMyPC^
      [HKCU\Software\ilividtoolbargaw] =>Adware.Bandoo^
      C:\Documents and Settings\Propriétaire\Bureau\Webplayer.exe =>Adware.SocialSkinz^
      C:\Windows\Installer\173ef0b.msi =>PUP.iMesh^
      C:\Windows\Installer\d9cde.msi =>Adware.IMBooster^
      [HKCR\CLSID\{D9236B1F-654F-407b-BD9C-1CB5C5DB21B1}] (RewardsArcadeSuite.Sandbox) =>PUP.RewardsArcade^
      [HKCR\CLSID\{F8AB43ED-EC88-4de7-B213-F89157D29C62}] (iMesh6Discovery Class) =>PUP.iMesh^
      O43 - CFD: 02/07/2008 - 18:58:41 - [] ----D C:\Program Files\Spybot - Search & Destroy
      O43 - CFD: 21/10/2010 - 12:28:52 - [] ----D C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      [HKCU\Software\Safer Networking Limited]
      [HKLM\Software\Safer Networking Limited]
      EmptyFlash
      EmptyTemp

    • Lance ZHPFix depuis le raccourci situé sur ton Bureau.

    • Clique sur le bouton "IMPORTER". Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.

    • Clique sur "GO" et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    • Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

    • Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
    m
    0
    l
    a c 296 8 Sécurité
    14 Octobre 2014 21:02:15

    Plus de souci ?

    Nouveau rapport ZHPDiag ;) 
    m
    0
    l
    14 Octobre 2014 21:22:21

    Re,

    Y'a du mieux, mais j'ai des soucis de plugins dans FF :


    Et j'ai le programme NMIndexStoreSvr.exe qui plante sans arrêt (dès que je ferme la fenêtre, elle réapparait moins d'une minute plus tard) :


    Le rapport ZHPDiag.txt

    Et lorsque je veux ouvrir un fichier .PNG, MS Windows XP cherche à me lancer un programme WebPlayer (qui n'est plus installé).

    EDIT : Et startsearch toujours présent dans le navigateur IE.
    m
    0
    l
    a c 296 8 Sécurité
    14 Octobre 2014 21:43:21

    Citation :
    O42 - Logiciel: Mozilla Firefox 12.0 (x86 fr)

    --> La version 33 vient de sortir :
    https://download-installer.cdn.mozilla.net/pub/firefox/...

    Citation :
    Et j'ai le programme NMIndexStoreSvr.exe qui plante sans arrêt

    --> Ce fichier appartient à Nero, réinstalle le logiciel ou désinstalle-le et installe CDBurnerXP à la place.

    Citation :
    Et lorsque je veux ouvrir un fichier .PNG, MS Windows XP cherche à me lancer un programme WebPlayer (qui n'est plus installé).

    --> Clic droit > Ouvrir avec > Choisis un programme capable d'ouvrir ce fichier et coche la case pour sauvegarder ce choix.

    Citation :
    Et startsearch toujours présent dans le navigateur IE

    --> Réinitialise-le :
    http://www.commentcamarche.net/faq/26679-reinitialiser-...
    m
    0
    l
    14 Octobre 2014 22:03:32

    Re,

    OK pour tout ça.

    Pour FF, j'ai effectivement fait la mise à jour en v33. Mais concernant les plugins il me dit ça :

    et


    Pourtant, la vérification des mises à jour de plugins dit :

    et


    De ce que je comprends, mes plugins Flash et Java Deployment Toolkit sont à jour, mais potentiellement vulnérables ?

    Pour Quicktime, j'ai fait la mise à jour depuis le site d'Apple, mais il est toujours indiqué vulnérable.

    Du coup, je ne sais pas trop quoi en penser.

    Je n'ai pas trouvé comment supprimer un plugin dans FF, je pourrais virer ceux qui ne servent pas ?

    Merci ;) 
    m
    0
    l
    14 Octobre 2014 22:22:18

    Re,

    Ah, c'est beaucoup mieux maintenant, merci :D 
    m
    0
    l

    Meilleure solution

    a c 296 8 Sécurité
    15 Octobre 2014 02:34:48

    Pour finir :


    1/

    ---> Télécharge et installe CCleaner.
    * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    2/

    ---> Télécharge DelFix sur ton Bureau puis lance-le.
    * Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
    * Clique sur Exécuter.
    * Poste le rapport.


    ==Prévention==

    Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).

    Un dossier sur la prévention et sécurité sur Internet est disponible ici.


    ==Problème résolu ?==

    Si tu estimes que ton problème est résolu, clique sur un des boutons Sélectionner comme meilleure solution présents en bas de mes réponses.
    partage
    15 Octobre 2014 21:31:24

    Bonsoir toutes et tous,
    Bonsoir Destrio5 :) ,

    Le rapport Delfix.txt

    Pour Adobe Reader, je l'ai supprimé pour le remplacer par SumatraPDF.

    EDIT :
    J'ai fait un scan complet avec Bitdefender, il me trouve encore des infections.
    J'ai chargé le rapport ici.
    (Attention, c'est un fichier .xml auquel j'ai ajouté l'extension .txt pour pouvoir le télécharger, mais j'ai vérifié, il est lisible en l'état).
    A priori, Bitdefender à tout mis en quarantaine.

    C'est grave Docteur ? :) 
    m
    0
    l
    a c 296 8 Sécurité
    16 Octobre 2014 05:39:03

    Non, tout ce qu'il a trouvé se trouvait dans les points de restauration et les dossiers TEMP, c'est pour cela que je les fais supprimer avec CCleaner et DelFix.
    m
    0
    l
    16 Octobre 2014 20:19:16

    Re,

    J'ai passé bitdefender après ccleaner et delfix, c'est pour ça que j'étais surpris de ces détections ?

    Mais si tout est ok, alors je t'offre de bon cœur 2 grands Orangina bien frais :) 
    Merci pour tout.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS