[Eric Aron] Mon Dell a besoin de nettoyage 2015-12-21T00:21:53+00:00
  • Auteur
    Messages
  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    Bonjour,
    Mon 2e laptop est infecté, également. J’ai lancé ZHPDiag, ZHPCleaner, Junkware Removal Tool et FRST.
    Ci-dessous les rapports:
    ZHPDiag.txt
    ZHPCleaner.txt
    Junkware Removal Tool (JRT.txt)
    FRST.txt
    Addition.txt

  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Bjr,

    Nous nous connaissons… Pour continuer avec toi je te propose :

    Voici la correction à effectuer avec FRST.

    • Appuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape ceci : notepad

    • Clic sur OK –> Le bloc note va s’ouvrir.
    • Comme dans la vidéo ci-dessous, Sélectionne puis Copie toutes les lignes rouges en gras ci-dessous dans ton bloc-notes.


    start
    CloseProcesses:
    CreateRestorePoint:

    HKLM-x32…Run: []
    S0 cfwids; system32driverscfwids.sys
    R0 mfeaack; system32driversmfeaack.sys
    R0 mfeavfk; system32driversmfeavfk.sys
    S0 mfefirek; system32driversmfefirek.sys
    R0 mfehidk; system32driversmfehidk.sys
    R4 mfesapsn; ??C:Program Files (x86)McAfeeSiteAdvisorx64mfesapsn.sys
    R0 mfewfpk; system32driversmfewfpk.sys
    S3 VGPU; System32driversrdvgkmd.sys
    2015-02-15 17:42 – 2015-02-15 17:42 – 0000057 _____ () C:ProgramDataAment.ini
    CMD: netsh winsock reset all
    CMD: bitsadmin /reset /allusers
    CMD: ipconfig /flushdns
    CMD: ipconfig /release
    CMD: ipconfig /renew

    hosts:
    EmptyTemp:
    reboot:
    end


      Une fois, le texte collé (CTRL+V) dans le bloc-note :

    • Clique sur “Fichier” puis dans le menu déroulant sur “Enregistrer sous”.

    • Arrivé à cette fenêtre, clique sur “Bureau”.

    • Dans la zone “Nom de fichier” –> tape : fixlist puis valide en cliquant sur Enregistrer.

    • Sur ton bureau tu dois avoir les fichiers (fixlist.txt & FRST.exe)

    • Lance FRST, “exécuter en tant qu’administrateur” sous Windows Vista, Windows Seven et Windows 8/8.1/10.
    • Clique sur “Corriger” (ou “Fix” selon la version).

    • Patiente jusqu’à la fin de la correction.

    • Un fichier texte semblable à celui-ci apparaît :

    • Copie/colle le contenu ici dans un nouveau message.
    • Redémarre l’ordinateur.

    ► Refais un nouveau ZHPDiag STP

  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16
    Fix result of Farbar Recovery Scan Tool (x64) Version:20-12-2015
    Ran by Mustik (2015-12-21 22:38:19) Run:1
    Running from C:UsersMustikDownloadsPrograms
    Loaded Profiles: Mustik (Available Profiles: Mustik)
    Boot Mode: Normal
    ==============================================

    fixlist content:
    *****************
    start
    CloseProcesses:
    CreateRestorePoint:

    HKLM-x32...Run: []
    S0 cfwids; system32driverscfwids.sys
    R0 mfeaack; system32driversmfeaack.sys
    R0 mfeavfk; system32driversmfeavfk.sys
    S0 mfefirek; system32driversmfefirek.sys
    R0 mfehidk; system32driversmfehidk.sys
    R4 mfesapsn; ??C:Program Files (x86)McAfeeSiteAdvisorx64mfesapsn.sys
    R0 mfewfpk; system32driversmfewfpk.sys
    S3 VGPU; System32driversrdvgkmd.sys
    2015-02-15 17:42 - 2015-02-15 17:42 - 0000057 _____ () C:ProgramDataAment.ini
    CMD: netsh winsock reset all
    CMD: bitsadmin /reset /allusers
    CMD: ipconfig /flushdns
    CMD: ipconfig /release
    CMD: ipconfig /renew

    hosts:
    EmptyTemp:
    reboot:
    end
    *****************

    Processes closed successfully.
    Restore point was successfully created.
    HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionRun\HKLM-x32...Run: [] => value not found.
    cfwids => service removed successfully
    mfeaack => Unable to stop service.
    mfeaack => service removed successfully
    mfeavfk => Unable to stop service.
    mfeavfk => service removed successfully
    mfefirek => service removed successfully
    mfehidk => Unable to stop service.
    mfehidk => service removed successfully
    mfesapsn => Unable to stop service.
    mfesapsn => service could not remove
    mfewfpk => Unable to stop service.
    mfewfpk => service removed successfully
    VGPU => service removed successfully
    C:ProgramDataAment.ini => moved successfully

    ========= netsh winsock reset all =========


    Sucessfully reset the Winsock Catalog.
    You must restart the computer in order to complete the reset.


    ========= End of CMD: =========


    ========= bitsadmin /reset /allusers =========


    BITSADMIN version 3.0 [ 7.5.7601 ]
    BITS administration utility.
    (C) Copyright 2000-2006 Microsoft Corp.

    BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
    Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

    Unable to cancel {A5F566B4-375D-48BB-B24B-B67C03C18E82}.
    0 out of 1 jobs canceled.

    ========= End of CMD: =========


    ========= ipconfig /flushdns =========


    Windows IP Configuration

    Successfully flushed the DNS Resolver Cache.

    ========= End of CMD: =========


    ========= ipconfig /release =========


    Windows IP Configuration

    No operation can be performed on Wireless Network Connection 2 while it has its media disconnected.
    No operation can be performed on Wireless Network Connection while it has its media disconnected.

    Wireless LAN adapter Wireless Network Connection 2:

    Media State . . . . . . . . . . . : Media disconnected
    Connection-specific DNS Suffix . :

    Wireless LAN adapter Wireless Network Connection:

    Media State . . . . . . . . . . . : Media disconnected
    Connection-specific DNS Suffix . :

    Ethernet adapter Local Area Connection:

    Connection-specific DNS Suffix . :
    Link-local IPv6 Address . . . . . : fe80::c037:ef0e:5460:4e04%13
    Default Gateway . . . . . . . . . :

    ========= End of CMD: =========


    ========= ipconfig /renew =========


    Windows IP Configuration

    No operation can be performed on Wireless Network Connection 2 while it has its media disconnected.
    No operation can be performed on Wireless Network Connection while it has its media disconnected.

    Wireless LAN adapter Wireless Network Connection 2:

    Media State . . . . . . . . . . . : Media disconnected
    Connection-specific DNS Suffix . :

    Wireless LAN adapter Wireless Network Connection:

    Media State . . . . . . . . . . . : Media disconnected
    Connection-specific DNS Suffix . :

    Ethernet adapter Local Area Connection:

    Connection-specific DNS Suffix . : home
    Link-local IPv6 Address . . . . . : fe80::c037:ef0e:5460:4e04%13
    IPv4 Address. . . . . . . . . . . : 192.168.0.138
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.0.1

    ========= End of CMD: =========

    "C:WindowsSystem32Driversetchosts" => Could not move.
    Could not restore Hosts.
    EmptyTemp: => 8.2 GB temporary data Removed.


    The system needed a reboot.

    ==== End of Fixlog 22:42:15 ====

    Pour ZHP Diag >>>

    ---\ Additional Scan (O88) (1) - 0s
    ~ No malicious or unnecessary items found.

    ---\ Summary of the elements found (1) - 0s
    ~ No malicious or unnecessary items found.

    ~ End of the scan, 38947 items in 00h07mn30s (999)(0)
  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Bjr,

    STP…Bien vouloir me refaire un ZHPDiag

  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    Bonjour Eric,

    J’espère que tu vas bien. Je tiens juste à t remercier pour ton aide et dévouement. Merci mille fois :)
    Voici le log de ZHPDiag

  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Bjr,

    @mustafiano wrote:

    J’espère que tu vas bien. Je tiens juste à t remercier pour ton aide et dévouement. Merci mille fois

    Avec plaisir !…

    Je viens d’examiner ton rapport… Je ne trouve pas d’infection à proprement parler…
    Néanmoins je relève plusieurs lignes qui ne sont pas… disons… nettes !

    1°) le P2P
    C:UsersMustikAppDataRoamingdeluge
    C:UsersMustikAppDataRoaminguTorrent

    Tu connais les risques ?…

    2°) les suspects comme :
    HKLMSOFTWAREWow6432NodePornTime
    C:Program Files (x86)ProcessFoobar
    C:ProgramDataByteSoftly
    C:Program Files (x86)FreeTime

    Dis moi si tu connais ces mâchins là ?…

    3°) ton AV est Avira. Il demeure des traces de MacAfee qu’on peut virer…

    A te lire…

  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    Pour le P2P, oui. Sinon, les autres process, vraiment je savais même pas leur existence, je voudrais les virer, tout comme McAfee.

  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Re,

    @mustafiano wrote:

    Pour le P2P, oui. Sinon, les autres process, vraiment je savais même pas leur existence, je voudrais les virer, tout comme McAfee.

    Bon… alors on va faire le nécessaire.

    Première chose à faire : Créer un point de restauration.

    • Appuie simultanément sur les touches Windows et R.
    • Une fenêtre va s’ouvrir…
    • Tape, ou mieux Copie/Colle : SystemPropertiesProtection.
    • Clique sur OK.

    • Dans l’onglet Protection du système, clique sur Créer …

    • Nomme-le distinctement {par Ex. : Avant_Désinfecte}pour que tu t’en souviennes, puis clique sur Créer.

    • La création du Point de Restauration démarre…

    • Clique sur Fermer lorsque tu auras eu la confirmation de création du Point de Restauration.

    Dès que c’est fait, tu enchaînes…

    Désactive ton antivirus le temps du téléchargement et de l’utilisation.

    • Télécharge ZHPFix sur ton bureau.

      ZHPFix (de Nicolas coolman)

    • Installe ZHPFix sur ton bureau en faisant un clic droit sur l’icône
    • La fenêtre de Contrôle de Compte Utilisateur s’ ouvre >> “Voulez-vous autoriser le programme….” ,
    • Clique sur OUI.
    • Lance-le en faisant un clic droit sur l’icône situé sur ton bureau puis en choisissant : Exécuter en tant qu’administrarteur

    • Laisse-toi guider par les différents écrans en cliquant sur “Suivant“et en dernier sur “Terminer“. Tu vas arriver à cet écran :

    • Copie tout le texte en gras situé entre les 2 lignes ci-dessous ( Sélectionne tout le texte gras / Clic droit dessus et choisis “Copier” ou fait Ctrl+C comme le montre cette animation).

      _____________________________________________
      Script ZHPFix
      G0 – GCSP: Preferences [User DataDefault][HomePage] http://lh4.googleusercontent.com
      G0 – GCSP: Preferences [User DataDefault][HomePage] http://v2.auc.avira.com
      G2 – GCE: Preference [User DataDefault] [blhjobkfabeopalncconblmakfcllmhk] __MSG_extName_

      HKLMSOFTWAREWow6432NodePornTime
      O43 – CFD: 23/09/2012 – [] D — C:Program Files (x86)FreeTime {11215F9DDE67138EA8C52C9F6F1901954DE8}
      O43 – CFD: 26/04/2015 – [0] D — C:Program Files (x86)ProcessFoobar
      O43 – CFD: 21/02/2015 – [] D — C:ProgramDataByteSoftly
      O43 – CFD: 04/10/2015 – [] D — C:UsersMustikAppDataLocalPornTime
      O23 – Service: McAfee Application Installer Cleanup (0062631450579131) (0062631450579131mcinstcleanup) . (…) – C:UsersMustikAppDataLocalTemp06263~1.EXE (.not file.) => Fichier absent
      O23 – Service: (PornTime Updater) . (…) – C:UsersMustikAppDataRoamingPTupdater.exe (.not file.) => Fichier absent
      O42 – Logiciel: Akamai NetSession Interface – (.Akamai Technologies, Inc.) [HKCU][64Bits] — Akamai => Akamai
      HKCUSOFTWAREAkamai
      O43 – CFD: 14/02/2014 – [] D — C:UsersMustikAppDataLocalAkamai
      O43 – CFD: 19/10/2014 – [0] D — C:UsersMustikAppDataLocalMyGame => Empty Folder not necessary
      O87 – FAEL: “{001381BC-FACB-4089-A8B3-30423F21FF65}” [In-None-P6-TRUE] .(…) — C:UsersMustikAppDataRoamingPTupdater.exe (.not file.) => Fichier absent
      O87 – FAEL: “{3C00491D-9B98-459A-829F-CC51754F1FD2}” [In-None-P17-TRUE] .(…) — C:UsersMustikAppDataRoamingPTupdater.exe (.not file.) => Fichier absent
      HKLMSOFTWAREWow6432NodeMcAfee
      O43 – CFD: 02/07/2014 – [] D — C:Program Files (x86)McAfee
      O43 – CFD: 19/12/2015 – [] D — C:ProgramDataMcAfee
      O43 – CFD: 21/12/2015 – [] D — C:Program Files (x86)Common FilesMcAfee => McAfee Comon Files
      SysRestore
      EmptyTemp
      EmptyFlash
      EmptyCLSID
      EmptyPrefetch
      FirewallRaz
      ProxyFix
      _____________________________________________


      Avis aux lecteurs…
      Ce script est exclusivement destiné à l’utilisateur actuel. Vous ne devez en aucun cas l’utiliser de votre propre chef sur un autre PC, vous risqueriez d’endommager le système.

    • Clique sur le Bouton Importer.
    • Si le script n’est pas conforme un message d’exemple s’affiche.

      Vérifie que les lignes du script importé dans ZHPFix correspondent bien à celles du script que je t’ai donné.

    • Puis Clic sur “GO
    • Confirme les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Copie le rapport, et colle-le dans la prochaine réponse sur le forum.
  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    Et voici le Rapport

  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Good Job !

    Alors comment va ce Dell ?…

    Il me semble qu’il devrait avoir retrouvé sa vélocité…

    Dans l’affirmative, on va pouvoir attaqué la phase finale.

  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    So far 5/5. Très beau travail.
    Prêt pour la phase finale :)

  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Tout semble en ordre maintenant. La désinfection est maintenant terminée, merci de l’avoir suivie jusqu’au bout !

    Nous allons finaliser la procédure avec la suppression des fichiers inutiles et des outils utilisés qu’il n’est pas nécessaire de garder puisque perpétuellement remis à jour.

    =================== Suppression des fichiers temporaires ==================

    • Télécharge TFC (de OldTimer) sur ton Bureau.
    • Ferme tous tes programmes.
    • Lance TFC (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit –> Exécuter en temps qu’administrateur)
    • Clique sur le bouton Start pour lancer le nettoyage.

    • Lorsqu’il aura terminé, l’outil devrait faire redémarrer ton ordinateur.

      ======== Suppression des outils utilisés et Purge de la restauration ===========

    • Télécharge DelFix (de Xplode ) sur ton bureau.
    • Exécute-le…
    • Exécute-le.
    • Coche les cases indiquées comme sur la capture ci-dessous :

      2 ►

      Attention : la case Purger la restauration système n’est à cocher que si tu es certain(e) que tout fonctionne parfaitement, il ne sera plus possible de revenir en arrière.

    • Clique sur “Exécuter
    • Patiente…
    • Lorsque les procédures seront terminées, l’outil va se fermer et disparaître du bureau
    • Un rapport est sauvegardé ici C:DelFix.txt et il devrait ressembler à ceci….

      # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
      # Mis à jour le 04/01/2013 par Xplode
      # Nom d'utilisateur : Patrick - PORTABLE

      ~ Suppression des outils de désinfection ...

      Supprimé : C:ZHP
      Supprimé : C:PhysicalDisk0_MBR.bin

      ~ Purge de la restauration système ...

      Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]


      Nouveau point de restauration créé !

      ########## - EOF - ##########
    • Ouvre le
    • Clic droit===>Tout selectionner
    • Clic droit ===>Copier
    • Coller dans ta prochaine réponse pour me poster le rapport

    [/list]

  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    Et voilà Eric

    # DelFix v1.011 - Logfile created 23/12/2015 at 17:51:11
    # Updated 18/08/2015 by Xplode
    # Username : Mustik - MUSTIK-PC
    # Operating System : Windows 7 Enterprise Service Pack 1 (64 bits)

    ~ Removing disinfection tools ...

    Deleted : C:FRST
    Deleted : C:AdwCleaner
    Deleted : C:UsersMustikDesktopJRT.txt
    Deleted : C:UsersMustikDesktopZHPCleaner.lnk
    Deleted : C:UsersMustikDesktopZHPCleaner.txt
    Deleted : C:UsersMustikDesktopZHPDiag.lnk
    Deleted : C:UsersMustikDesktopZHPDiag.txt
    Deleted : C:UsersMustikDesktopZHPFixReport.txt
    Deleted : C:UsersPublicDesktopZHPFix.lnk
    Deleted : C:UsersMustikDownloadsadwcleaner_5.025.exe
    Deleted : HKLMSOFTWAREAdwCleaner

    ~ Cleaning system restore ...

    Deleted : RP #300 [ZHPFix Restore System Point | 12/23/2015 16:27:31]

    New restore point created !

    ########## - EOF - ##########

    En te remerciant :)

Le sujet ‘[Eric Aron] Mon Dell a besoin de nettoyage’ est fermé à de nouvelles réponses.