Se connecter / S'enregistrer
Votre question
Résolu

désinfection PC d'ado

Tags :
  • PC
  • Adware
  • Sécurité
  • Windows Vista
Dernière réponse : dans Sécurité et virus
15 Mai 2015 09:41:47

Bonjour,

Je recherche de l'aide pour nettoyer un pc utilisés par des ados qui ont installé des barre d'outils... les fenetres de sondages intempestives s'affichent...
J'ai déjà passé adw, malwarebytes, combofix en mode sans échec mais ça reste présent.
Je crois aussi que la base de registre est dans un sale état.

Est ce que quelqu'un pourrait m'aider svp?

Merci beaucoup.

Autres pages sur : desinfection ado

a c 940 8 Sécurité
15 Mai 2015 10:04:09

Bonjour,

Hijackthis est un outil dépassé que nous n’utilisons plus.

Citation :
J'ai déjà passé adw, malwarebytes, combofix en mode sans échec mais ça reste présent.

Il aurait été judicieux de venir demander de l'aide avant de lancer à l'aveuglette tous ces outils, surtout ComboFix, outil très puissant qui doit être utilisé sous assistance et qui est en plus tout à fait inadapté pour ce type d'infection.

Pour un diagnostic du système :

---------------------------------------------------------------------------------------------

FRST :

  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports FRST.txt et Addition.txt

    Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

    @+
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    15 Mai 2015 15:47:59

    Re,

    --------------------------------------------------------------------------------------------------------------

    Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

    Ask Toolbar Updater
    iMesh
    système de mise à jour de Ask Toolbar Updater
    Torch


    Si un programme ne veut pas se désinstaller, tu passes au suivant.

    --------------------------------------------------------------------------------------------------------------

    FRST - Correctif :

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1000 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL =
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1000 -> {4AB4B669-69BD-49AC-8CAF-E15F3B572E31} URL =
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1000 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL =
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1023-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> {0C1D28C0-DE69-4D9E-A3B7-1DB97DA7563A} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^FR&apn_uid=10D7943D-2AED-4990-B09B-377B28D3643D&apn_sauid=295ACD8E-E4B4-4A4D-A443-2A45D6C0A443
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1023-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=0&systemid=1&apn_uid=0124441354264426&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1023-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://start.iminent.com/?appId=20DD0D57-431B-4413-9709-8484D8DB94F6&ref=toolbox&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-2790734100-3141977701-4184019455-1023-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OzhjrMKxg&loc=skw&search={searchTerms}&i=26
      BHO: No Name -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> No File
      Toolbar: HKU\S-1-5-21-2790734100-3141977701-4184019455-1023-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
      FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-10-29]
      2014-11-15 21:21 - 2014-11-15 21:21 - 1981336 _____ (home) C:\Users\OD\AppData\Roaming\EITKD.exe
      2014-11-15 21:25 - 2014-11-15 21:25 - 1499032 _____ (home) C:\Users\OD\AppData\Roaming\GMGGIBC.exe
      2014-12-04 14:25 - 2014-12-04 14:25 - 1953176 _____ (Cinema Plus) C:\Users\OD\AppData\Roaming\MVVDSGW.exe
      2014-12-04 14:27 - 2014-12-04 14:27 - 1474456 _____ (Cinema Plus) C:\Users\OD\AppData\Roaming\RSA.exe
      2015-05-15 00:32 - 2015-05-15 00:32 - 0000000 _____ () C:\Users\OD\AppData\Local\jv16PT_temp.tmp
      CustomCLSID: HKU\S-1-5-21-2790734100-3141977701-4184019455-1023-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\nanou\AppData\Local\Torch\Application\25.0.0.3712\delegate_execute.exe" No File
      Task: {2AC9E11D-B835-4292-90CD-CAE8B83035C4} - \01091458-76f7-4037-97d3-bf86c44718fd-2 No Task File
      Task: {8F1EFD6D-5EBD-4620-87AC-B6E45FD7C22D} - \0bd2f864-89c5-4020-9b18-e2ee0c1c60e6-2 No Task File
      Task: {E9C7F4BD-5BA5-4B6C-A7DC-9A3594BF69A0} - \NetEngine No Task File
      AlternateDataStreams: C:\ProgramData\TEMP:373E1720
      AlternateDataStreams: C:\ProgramData\TEMP:691E3FA4
      AlternateDataStreams: C:\ProgramData\TEMP:D1B5B4F1
      EmptyTemp:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    • Accepte le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    ZHPCleaner-Scanner :

    • Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le gros bouton bleu "Télécharger" et enregistre-le sur le Bureau
    • Ferme toutes les applications, y compris le navigateur
    • Double-clique sur l'icône ZHPCleaner.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
    • Clique sur le bouton Scanner

    • Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.

      Tutoriel d'utilisation ZHPCleaner en images


  • --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports
    Fixlog
    ZHPCleaner-Scanner


    @+
    m
    0
    l
    a c 940 8 Sécurité
    15 Mai 2015 17:15:02

    Re,

    Pourquoi restes-tu en mode sans échec ?

    On continue.

    --------------------------------------------------------------------------------------------------------------

    ZHPCleaner-Nettoyer :

    • Ferme toutes les applications, y compris le navigateur
    • Double-clique sur l'icône ZHPCleaner.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
    • L'interface de réparation s'affiche, clique sur Nettoyer. Le nettoyage se lance
      [
    • Patiente le temps du nettoyage
    • Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
    • Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.

      Tutoriel d'utilisation ZHPCleaner en images


  • --------------------------------------------------------------------------------------------------------------

    Est attendu le rapport ZHPCleaner-Nettoyer

    Comment se comporte le système maintenant ?


    @+
    m
    0
    l
    a c 940 8 Sécurité
    15 Mai 2015 18:29:52

    Re,

    OK pour le rapport.

    Comment se comporte le système maintenant ?

    @+
    m
    0
    l
    15 Mai 2015 18:56:51

    Comme j'ai ABP, ça va sur mon navigateur.

    Par contre, il est très lent au démarrage et le bureau ne s'affiche pas. J'ai l'écran noir.
    Je suis obligé de faire ctl+alt+suppr et je vois que explorer.exe tourne et ensuite le bureau apparait.

    Tu as une idée pour nettoyer la base de registre. J'ai fait l'analyse de hijackthis et le site "allemand" me disait qu'il y avait pas mal de choses qui devaient être dans system32 et qui ne s'y trouvaient pas.

    Merci à toi.
    m
    0
    l
    a c 940 8 Sécurité
    15 Mai 2015 19:42:38

    Re,

    Citation :
    Tu as une idée pour nettoyer la base de registre. J'ai fait l'analyse de hijackthis et le site "allemand" me disait qu'il y avait pas mal de choses qui devaient être dans system32 et qui ne s'y trouvaient pas.

    Une base de registre ne se nettoie pas.
    Si tu en as pris l'habitude, tu es bon pour une ré-installation du système.
    D'autre part il ne faut jamais se fier au analyseur automatisé.
    La désinfection s'apprend et nous sommes tous formés pour interpréter les rapports d'analyse.

    Nous allons alléger le démarrage avec CCleaner :
    • Ouvre CCleaner et dans Outils -> clique sur Démarrage
    • Dans l'onglet Windows -> en bas à droite, clique sur Enregistrer dans un fichier
    • Enregistre le fichier startup.txt sur ton Bureau
    • Poste ce rapport startup.txt dans ta prochaine réponse.


  • @+


    m
    0
    l
    a c 940 8 Sécurité
    16 Mai 2015 08:41:23

    Bonjour,


    • Ouvre CCleaner et dans Outils -> clique sur Démarrage
    • Clique sur chacune des lignes suivantes pour la mettre en surbrillance, puis sur Désactiver
      Oui HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
      Oui HKCU:Run ehTray.exe Microsoft Corporation C:\Windows\ehome\ehTray.exe
      Oui HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
      Oui HKLM:Run NvSvc Microsoft Corporation RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      Oui HKLM:Run QlbCtrl Hewlett-Packard Development Company, L.P. %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      Oui HKLM:Run QPService CyberLink Corp. "C:\Program Files\HP\QuickPlay\QPService.exe"
      Oui HKLM:Run SynTPEnh Synaptics, Inc. C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

    • Referme CCleaner et redémarre le système.


  • Je n'ai laissé que l'antivirus comme application qui démarre en même temps que Windows.

    Au besoin, pour réactiver une application, tu cliques sur la ligne correspondante, puis sur Activer

    Qu'en est-il après redémarrage ?

    @+
    m
    0
    l

    Meilleure solution

    a c 940 8 Sécurité
    4 Juin 2015 10:55:05

    Bonjour,

    Sans nouvelle de ta part, voici la procédure pour finaliser.

    ---------------------------------------------------------------------------------------------

    DelFix :

    • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
      Installation d'une application sponsorisée, les pièges à éviter !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
      SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Pour mieux comprendre comment tu as infecté ton système avec des adwares que tu as toi-même validés et pour éviter ce type de piège lors de l'installation d'une application gratuite, fais un test avec cet utilitaire qui va simuler une installation "pourrie" :


    • Télécharge Adware Prevention de guigui0001 sur ton bureau.
      Attention : en raison de la jeunesse du logiciel, ton navigateur ou ton antivirus peuvent le détecter à tort comme une menace ; ignore ces avertissements.
    • Lance-le en double-cliquant dessus (sous Windows 8, à l'activation de la protection SmartScreen, il faut cliquer sur Informations Complémentaires > Exécuter quand même)
    • Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
    • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
    • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !


  • Tutoriel en images

    Bon entraînement :) 

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS