Désinfection d’un PC portable 2014-05-28T20:20:11+00:00

Dépannage Informatique : Désinfection d’un PC portable

  • Auteur
    Messages
  • Obringer
    Participant
    Nombre d'articles : 12

    Bonsoir à tous,

    Je n’ai pas de problème particulier mais l’ordinateur en question n’a jamais vraiment été sécurisé et il y a sûrement des malwares dessus même s’ils n’affectent pas sensiblement les performances de l’ordinateur. J’aimerais l’utiliser pour me connecter à des comptes menant à des données sensibles et j’ai peur des keyloggers entre autres.

    J’ai donc pris l’initiative de faire un premier scan avec ZHPdiag et il semblerait qu’il ait déjà trouvé des choses : https://antimalware.top/www/?a=d&i=eBypncuv29” onclick=”window.open(this.href);return false;

    Une fois que tout sera clean je passerai sur le forum “Sécuriser son ordinateur” pour que ça n’arrive plus !

    Merci d’avance

  • guugues
    Participant
    Nombre d'articles : 572

    Hello et bienvenue sur SOS ! 😉

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    Ton PC est infecté par des PUP / Adwares, qui ont les caractéristiques d’afficher des pubs intempestives, de collecter tes habitudes de navigation et d’installer des toolbars , car tu n’es pas assez vigilant(e) lors de l’installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l’installation.

    Afin d’éviter ce genre d’infections, quelques recommandations :

    En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

    Ne télécharge donc pas tes logiciels sur des sites comme Softonic ou 01.net.

    Prends connaissance de ce qui est indiqué lors de l’installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

    A lire impérativement : Stop les publicités intempestives


    Je vois également la présence de AutoKMS, un activateur de la suite Office, ce qui est tout à fait illégal : tu me supprimes ça, surtout qu’il existe des alternatives gratuites comme Libre Office. 😉


    1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :

    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • 7Go Games (PUP)
    • JFileManager (PUP)
    • McAfee Security Scan Plus (Inutile)

    Si certains ne veulent pas se désinstaller, ce n’est pas grave, passe aux suivants.

    2- AdwCleaner – Nettoyage :

    • Télécharge AdwCleaner sur ton bureau.
    • Lance AdwCleaner.

    Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Scanner.

    • Une fois le scan terminé, clique sur le bouton Nettoyer.
    • Accepte le message d’informations en cliquant sur OK.
    • Il te sera demandé de redémarrer l’ordinateur : accepte en cliquant sur OK.
    • Une fois le PC redémarré, un rapport s’ouvrira automatiquement.
    • Celui-ci est disponible ici : C:AdwCleanerAdwCleaner[S0].txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    3- Shortcut_Module :

    Sous Windows Vista/Seven/8, clique droit sur Shortcut_Module puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Nettoyer :

    • Si l’outil détecte un proxy que tu ne connais pas, clique alors sur Supprimer le proxy.
    • Le PC va redémarrer.
    • Une fois le PC redémarré, un rapport est généré ici : C:Shortcut_Module_ Date_Heure.
    • Héberge ce rapport sur cjoint.com puis poste moi le lien dans ta prochaine réponse.

    4- OTL – Analyse :

    • Télécharge OTL sur ton bureau.
    • Ferme toutes les applications en cours, puis lance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
    • Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT
    • Puis colle-le sous la catégorie Personnalisation d’OTL.
    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s’ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
    • Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.



    Sont donc attendus les rapports de AdwCleaner, Shortcut_Module et OTL.

  • Obringer
    Participant
    Nombre d'articles : 12

    Bonjour Guugues,
    Merci de prendre en charge mon cas.
    J’ai tenté la désinstallation des programmes indiqués. Pour McAfee et JFileManager c’est bon. Par contre pour AutoKMS et 7go Games la procédure classique de désinstallation ne fonctionne pas.

    Voici le log d’AdwCleaner : http://cjoint.com/?3EDljaUaXQ3” onclick=”window.open(this.href);return false;
    Voici le log de Shortcut Module : http://cjoint.com/?3EDl6pbIExF” onclick=”window.open(this.href);return false;
    Voici les deux logs crées par OTL : http://cjoint.com/?3EDmIGAHBvo” onclick=”window.open(this.href);return false; et http://cjoint.com/?3EDmJjQqVUw” onclick=”window.open(this.href);return false;

    Voilà, je repasserai pour la suite des instructions.
    Bonne journée 🙂

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Je vois des traces de FRST, un logiciel de diagnostic : tu es pris en charge sur un autre forum ? Si c’est le cas, merci de me le dire.

    Fais les manipulations suivantes :

    1- OTL – Correction :

    • Relance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d’OTL.

    • Ferme toutes les applications en cours, y compris Internet.
    • Puis clique sur le bouton Correction. Patiente.
    • S’il t’est demandé de redémarrer le PC : accepte.
    • Le rapport est sauvegardé ici : C:_OTLMovedFiles sous la forme date_heure.log.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- SystemLook :

    • Télécharge SystemLook sur ton bureau.
    • Lance SystemLook.

    Sous Windows Vista/Seven/8, cliquer droit sur SystemLook puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    :reg
    HKEY_LOCAL_MACHINEsoftwareReceipts /s
    HKEY_CURRENT_USERsoftwarePlants /s
    HKEY_CURRENT_USERsoftwarePlugins /s
    HKEY_CURRENT_USERsoftwarePop Kit /s
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de SystemLook :

    • Puis cliquer sur le bouton Look.
    • Un rapport du nom de SystemLook.txt apparaît sur le bureau.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Sont attendus les rapports de OTL et SystemLook.

  • Obringer
    Participant
    Nombre d'articles : 12

    Re,

    Je suis uniquement tes instructions, c’est probablement l’ancienne propriétaire du PC qui l’a installé.

    Voici le log d’OTL : http://cjoint.com/?3EDrMu45Qxb” onclick=”window.open(this.href);return false;
    Voici le log de Systemlook : http://cjoint.com/?3EDrRlxEvUq” onclick=”window.open(this.href);return false;

    Merci.

    P.S : Mon Adblock a disparu, est-ce dû à la désinfection ? Adblock serait un malware ?

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Mon Adblock a disparu, est-ce dû à la désinfection ? Adblock serait un malware ?

    Ce n’est pas grave, on installera Adblock Plus en fin de procédure. 😉 Et non, Adblock est bien légitime, il a du être supprimé par un des outils, Shortcut_Module à priori. 😉

    Fais ceci :

    1- OTL – Correction :

    • Relance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d’OTL.

    • Ferme toutes les applications en cours, y compris Internet.
    • Puis clique sur le bouton Correction. Patiente.
    • S’il t’est demandé de redémarrer le PC : accepte.
    • Le rapport est sauvegardé ici : C:_OTLMovedFiles sous la forme date_heure.log.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware sur ton bureau.
    • Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.
    • Lors de l’installation, décoche la case Activer l’essai gratuit de Malwarebytes Anti-Malware Premium.
    • Clique sur le bouton Terminer. Le logiciel démarre.
    • Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
    • Dans l’onglet Détection et protection, configure le logiciel comme ci-dessous :

    • Dans l’onglet Examen, coche la case Examen « Menaces » :

    • Clique alors sur Examiner maintenant :

    • Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

    • Le logiciel se met à jour et l’analyse commence. Cela peut prendre un certain temps.
    • Laisse travailler l’outil sans l’interrompre, jusqu’à ce que l’analyse soit terminée.
    • Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

    • Clique ensuite sur Exporter le journal puis sur Fichier texte (*.txt) :

    • Attribue au fichier le nom de mbam puis clique sur Enregistrer.
    • Le rapport est disponible ici : C:mbam.txt.
    • Si l’outil t’a demandé de redémarrer le PC, fais-le de suite.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Sont attendus les rapports de OTL et Malwarebytes.

  • Obringer
    Participant
    Nombre d'articles : 12

    Re !

    Voici le log OTL : http://cjoint.com/?3EDs5VcQT1J” onclick=”window.open(this.href);return false;
    Voici le log Malware Bytes : http://cjoint.com/?3EDtIZrpCZB” onclick=”window.open(this.href);return false;

    J’ai une autre question : qu’est-ce-que cela change concrètement de mettre les téléchargements sur le bureau plutôt que de les laisser dans le dossier “Téléchargements” ou ailleurs ? Plus simple pour retrouver les logs ?

    Merci pour tes lumières et à plus tard 🙂

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    J’ai une autre question : qu’est-ce-que cela change concrètement de mettre les téléchargements sur le bureau plutôt que de les laisser dans le dossier “Téléchargements” ou ailleurs ? Plus simple pour retrouver les logs ?

    C’est surtout pour éviter que les logiciels ne soient lancés à partir de dossiers temporaires, donc la convention, c’est de les télécharger sur le bureau. 😉


    Comment se comporte le PC désormais ?

    On passe au contrôle des mises à jour des logiciels sensibles :

    SX Check&Update :

    • Télécharge SX Check&Update sur ton bureau.
    • Si l’antivirus émet des alertes, désactive-le temporairement.
    • Lance sxcu.exe.

    Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu’administrateur

    • Clique ensuite sur le bouton Rapport :

    • Un rapport, du nom de rapport_SX.txt, s’ouvre automatiquement.
    • Celui-ci est présent sur ton bureau.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de SXCU.

  • Obringer
    Participant
    Nombre d'articles : 12

    Bonjour Guugues,
    Voici le log SXCU : http://cjoint.com/?3EFjq1meNXy” onclick=”window.open(this.href);return false;
    Le PC se comporte bien, rien de gênant.
    Je peine depuis un certain à mettre à jour Java : à chaque démarrage la mise à jour veut se lancer, je donne l’autorisation, la mise à jour semble s’installer, ensuite j’éteins le PC et quand je le rallume, rebelotte pour la mise à jour, depuis des semaines.
    Est-ce un problème dont tu as déjà entendu parler ?
    Merci et à plus tard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Justement on va s’en occuper de Java, car il n’est pas à jour. Pour info :

    Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu’ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

    Il faut donc les maintenir à jour très régulièrement.

    Désinstalle le logiciel suivant via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Java 7 Update 55 (obsolète)

    Puis télécharge la dernière version de Java via le site officiel.

    Pense à décocher les cases pré-sélectionnées, comme ici avec Ask :


    Fais ensuite ceci :

    SFTGC – Nettoyage des fichiers temporaires :

    • Télécharge SFTGC sur ton bureau.
    • Lance SFTGC.exe.

    Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu’administrateur

    • Le logiciel s’initialise puis s’ouvre.
    • Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

    • Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de SFTGC.

  • Obringer
    Participant
    Nombre d'articles : 12

    Re Guugues,
    Voici le log SFTGC : http://cjoint.com/?3EFrvYbteWo” onclick=”window.open(this.href);return false;

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 🙂

    Impeccable ! 😉 Si tu n’as plus de soucis, on peut finaliser la procédure :

    Purge de la restauration système / Suppression des outils de désinfection :

    • Télécharge DelFix sur ton bureau.
    • Lance Delfix.

    Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu’administrateur

    • Coche la case Réactiver l’UAC (grisée sous Windows XP).
    • Coche la case Supprimer les outils de désinfection.
    • Coche la case Purger la restauration système.
    • Coche la case Réinitialisation des paramètres système.
    • Enfin, clique sur Exécuter :

    • Le rapport est ici : C:Delfix.txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de DelFix.

    =====================================================================================================

    La procédure de désinfection est désormais terminée. Je te remercie de l’avoir suivie jusqu’au bout.
    Je t’invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.

    =====================================================================================================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Tenir à jour Windows, les navigateurs et les programmes installés

    Analyser régulièrement l’ordinateur

    Bloquer les publicités, potentiellement dangereuses

    Savoir si un site web possède une bonne ou mauvaise réputation

    Éviter d’être de nouveau infecté

    Les pratiques à éviter

    [fin2desinf:32dwk8ya][/fin2desinf:32dwk8ya]

    Si tu as des questions, n’hésite pas ! 😉

  • Obringer
    Participant
    Nombre d'articles : 12

    Re,
    Voici le log Delfix : http://cjoint.com/?3EFsyCuEpis” onclick=”window.open(this.href);return false;
    Par-rapport au dernier log SFTGC je n’ai pas à m’inquiéter des programmes notés “Attention infection possible” ?
    En tout cas merci à toi Guugues !
    Sur ce je repasserai voir ta réponse par-rapport au log Delfix. Je vois que j’ai encore pas mal de boulot pour maintenir ce PC clean donc je vais continuer avec les ressources que tu m’as posté.
    A plus tard !

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Par-rapport au dernier log SFTGC je n’ai pas à m’inquiéter des programmes notés “Attention infection possible” ?

    Non pas de soucis, ce n’est rien ça. 😉

    Bonne continuation à toi et bonne lecture avec la doc que je t’ai fournie ! 😉

    ++

Le sujet ‘Désinfection d’un PC portable’ est fermé à de nouvelles réponses.