infection Win32/Systweak.F 2014-09-09T22:54:18+00:00

Dépannage Informatique : infection Win32/Systweak.F

  • Auteur
    Messages
  • andreapi
    Participant
    Nombre d'articles : 24

    Bonjour, mon anti virus vient de m’avertir de la présence de l’infection “Win32/Systweak.F”. Mon pc est assez lent depuis quelques temps et je ne sais pas si ça a un rapport mais mes sauvegardes windows n’aboutissent plus ( le message de l’antivirus est arrivé au moment d’une tentative de sauvegarde de mes fichiers).D’autre part j’ai eu en l’espace de quelques jours deux fenêtres bleues. J’ ai une installation windows 7 integrale et parallèlement une installation de fedora 20, les deux sont protégées par ESET smart security.

    J’ai effectué un scan en mode sans échecs avec ESET, mais je n’ai pas su comment récupérer le rapport, en tous cas inefficace puisque que la détection de Win32/Systweak.F est arrivée le lendemain…. Je viens de faire une détection avec AdwCleaner:
    # AdwCleaner v3.309 – Rapport créé le 09/09/2014 à 17:15:11
    # Mis à jour le 02/09/2014 par Xplode
    # Système d’exploitation : Windows 7 Ultimate Service Pack 1 (32 bits)
    # Nom d’utilisateur : numerouno – NUMEROUNO-PC
    # Exécuté depuis : C:Usersandré.numerouno-PCDownloadsadwcleaner_3.309.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    Service Supprimé : wStLib
    Service Supprimé : {0782648b-1717-4fef-ac58-8cb3ce03adb3}Gw

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:ProgramDataNCH Software
    Dossier Supprimé : C:ProgramDataAlawarWrapper
    Dossier Supprimé : C:UsersNUMERO~1AppDataLocalTempSpigot
    Dossier Supprimé : C:Usersandré.numerouno-PCAppDataRoamingBrowser Extensions
    Dossier Supprimé : C:Usersandré.numerouno-PCAppDataRoamingNCH Software
    Dossier Supprimé : C:UsersnumerounoAppDataLocalAlawarWrapper
    Dossier Supprimé : C:UsersPublicDocumentsAlawarWrapper
    Dossier Supprimé : C:UsersandréAppDataLocalGoogleChromeUser DataDefaultExtensionsaaaaacalgebmfelllfiaoknifldpngjh
    Dossier Supprimé : C:UsersandréAppDataLocalGoogleChromeUser DataDefaultExtensionskbjlipmgfoamgjaogmbihaffnpkpjajp
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606Extensions{58d2a791-6199-482f-a9aa-9b725ec61362}.xpi
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606Extensionssaamazon@mybrowserbar.com.xpi
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606Extensionssaebay@mybrowserbar.com.xpi
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606Extensionssavingsslider@mybrowserbar.com.xpi
    Fichier Supprimé : C:Windowssystem32driverswStLib.sys
    Fichier Supprimé : C:Windowssystem32drivers{0782648b-1717-4fef-ac58-8cb3ce03adb3}Gw.sys
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagehxxp_www.superfish.com_0.localstorage
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagehxxp_www.superfish.com_0.localstorage-journal
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagehxxps_static.livelyrics00.live-lyrics.com_0.localstorage
    Fichier Supprimé : C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagehxxps_static.livelyrics00.live-lyrics.com_0.localstorage-journal

    ***** [ Tâches planifiées ] *****

    Tâche Supprimée : bench-sys
    Tâche Supprimée : bench-Updater removing
    Tâche Supprimée : Digital Sites
    Tâche Supprimée : globalUpdateUpdateTaskMachineCore
    Tâche Supprimée : globalUpdateUpdateTaskMachineUA
    Tâche Supprimée : MySearchDial
    Tâche Supprimée : Re-markit Update
    Tâche Supprimée : SaveSense

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Valeur Supprimée : HKCUSoftwareMozillaFirefoxExtensions [{58167137-F08E-F867-44D8-3189AA654B6F}]
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdate.OneClickCtrl.10
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdate.OneClickProcessLauncherMachine
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdate.OneClickProcessLauncherMachine.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdate.Update3WebControl.4
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CoCreateAsync
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CoCreateAsync.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CoreClass
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CoreClass.1
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CoreMachineClass
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CoreMachineClass.1
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CredentialDialogMachine
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.CredentialDialogMachine.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.OnDemandCOMClassMachine
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.OnDemandCOMClassMachine.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.OnDemandCOMClassMachineFallback
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.OnDemandCOMClassSvc
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.OnDemandCOMClassSvc.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.ProcessLauncher
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.ProcessLauncher.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3COMClassService
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3COMClassService.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3WebMachine
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3WebMachine.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3WebMachineFallback
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3WebMachineFallback.1.0
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3WebSvc
    Clé Supprimée : HKLMSOFTWAREClassesglobalUpdateUpdate.Update3WebSvc.1.0
    Clé Supprimée : HKLMSOFTWAREMicrosoftTracingFindRight_RASAPI32
    Clé Supprimée : HKLMSOFTWAREMicrosoftTracingFindRight_RASMANCS
    Clé Supprimée : HKLMSOFTWAREMicrosoftTracingupdateFindRight_RASAPI32
    Clé Supprimée : HKLMSOFTWAREMicrosoftTracingupdateFindRight_RASMANCS
    Clé Supprimée : HKLMSOFTWAREClassesAppID{3278F5CF-48F3-4253-A6BB-004CE84AF492}
    Clé Supprimée : HKLMSOFTWAREClassesAppID{577975B8-C40E-43E6-B0DE-4C6B44088B52}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{02A96331-0CA6-40E2-A87D-C224601985EB}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{25A3A431-30BB-47C8-AD6A-E1063801134F}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{3278F5CF-48F3-4253-A6BB-004CE84AF492}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{577975B8-C40E-43E6-B0DE-4C6B44088B52}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}
    Clé Supprimée : HKLMSOFTWAREClassesTypeLib{03771AEF-400D-4A13-B712-25878EC4A3F5}
    Clé Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionExtPreApproved{5645E0E7-FC12-43BF-A6E4-F9751942B298}
    Clé Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionExtPreApproved{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
    Clé Supprimée : HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{5645E0E7-FC12-43BF-A6E4-F9751942B298}
    Clé Supprimée : HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
    Clé Supprimée : HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
    Valeur Supprimée : HKLMSOFTWAREMicrosoftInternet ExplorerToolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    Clé Supprimée : HKCUSoftwareGlobalUpdate
    Clé Supprimée : HKLMSOFTWAREGlobalUpdate

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17126

    -\ Mozilla Firefox v32.0 (x86 fr)

    [ Fichier : C:UsersandréAppDataRoamingMozillaFirefoxProfilesxuenq584.default-1354117616122prefs.js ]

    [ Fichier : C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606prefs.js ]

    [ Fichier : C:UsersnumerounoAppDataRoamingMozillaFirefoxProfilesdvw4lxry.defaultprefs.js ]

    Ligne Supprimée : user_pref(“browser.newtab.url”, “chrome://quick_start/content/index.html”);
    Ligne Supprimée : user_pref(“extensions.irmysearch.aflt”, “dsites0301”);
    Ligne Supprimée : user_pref(“extensions.irmysearch.cd”, “2XzuyEtN2Y1L1QzutDtDtCtAyBtB0Dzz0DyB0AyD0E0CyByCtN0D0Tzu0SyBzyyDtN1L2XzutBtFtCzztFtAtFtDtN1L1CzutDtBtCtC1V1TtN1L1G1B1V1N2Y1L1Qzu2SyDzytCtCyB0AyBzztG0CtDzytAtG0Ct[…]
    Ligne Supprimée : user_pref(“extensions.irmysearch.cr”, “143263812”);
    Ligne Supprimée : user_pref(“extensions.irmysearch.instlRef”, “0211_a”);
    Ligne Supprimée : user_pref(“extensions.quick_start.enable_search1”, false);
    Ligne Supprimée : user_pref(“extensions.quick_start.sd.closeWindowWithLastTab_prev_state”, true);

    -\ Google Chrome v36.0.1985.125

    [ Fichier : C:UsersandréAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    [ Fichier : C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    Supprimée [Startup_urls] : hxxps://fr.search.yahoo.com/?type=994519&fr=spigot-yhp-ch” onclick=”window.open(this.href);return false;
    Supprimée [Homepage] : hxxps://fr.search.yahoo.com/?type=994519&fr=spigot-yhp-ch” onclick=”window.open(this.href);return false;

    [ Fichier : C:UsersnumerounoAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    *************************

    AdwCleaner[R0].txt – [15449 octets] – [19/03/2014 12:18:27]
    AdwCleaner[R1].txt – [14535 octets] – [06/05/2014 14:02:12]
    AdwCleaner[R2].txt – [4216 octets] – [14/05/2014 13:23:09]
    AdwCleaner[R3].txt – [16007 octets] – [03/06/2014 12:21:40]
    AdwCleaner[R4].txt – [9442 octets] – [09/09/2014 17:12:53]
    AdwCleaner[S0].txt – [14961 octets] – [19/03/2014 12:20:20]
    AdwCleaner[S1].txt – [12361 octets] – [06/05/2014 14:03:25]
    AdwCleaner[S2].txt – [4326 octets] – [14/05/2014 13:24:24]
    AdwCleaner[S3].txt – [14207 octets] – [03/06/2014 12:23:56]
    AdwCleaner[S4].txt – [9462 octets] – [09/09/2014 17:15:11]

    ########## EOF – AdwCleanerAdwCleaner[S4].txt – [9522 octets] ##########

    et voici le message de ESET:
    09/09/2014 11:16:58 Protection en temps réel du système de fichiers fichier DeviceHarddiskVolumeShadowCopy7AdwCleanerQuarantineCProgram FilesAdvanced System ProtectorCommunication.dll.vir Win32/Systweak.F application potentiellement indésirable erreur pendant la suppression AUTORITE NTSystème Un événement s’est produit pendant une tentative d’accès au fichier par l’application : C:WindowsSystem32svchost.exe.

    J’espère qu’il y a une solution et je vous remercie d’avance pour votre aide.

    cordialement,

    André Apicella

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    salut

    oui , en fait Advanced system protector (systweak) a un service qu’ Eset n’a pas réussi à virer , du coup il a pas pu faire sa suppression normalement

    on va tenter avec ceci :

    Laisser travailler l’outil même s’il parait bloqué

    Désactiver temporairement l’antivirus , ou les agents de protection qu’il contient. (jusqu’au redemarrage est le mieux pour la tranquilité)
    Télécharger AdsFix ici :
    https://www.sosvirus.net/telecharger/adsfix/” onclick=”window.open(this.href);return false;
    L’ enregistrer sur le bureau, et le lancer

    cliquer sur “Nettoyer” puis laisser tourner le scan

    Attention : il fermera les programmes en cours d’utilisation tels que IE, Firefox, Word etc…

    Si l’outil détecte un proxy et qu’aucun n’a été installé et qu’il n’y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
    Il donnera un rapport en fin d’exécution , dans C:AdsFix_xx_xx_xx_xx_xx_xx.txt (les “x” étant des chiffres), ou sur le bureau aussi.
    le pc va redemarrer
    Héberger le rapport sur http://cjoint.com” onclick=”window.open(this.href);return false; puis fournir le lien obtenu

    Note : En fin de désinfection (ET PAS AVANT) relancer l’outil et cliquer sur “Options” puis sur “Désinstaller” pour le desinstaller totalement

  • andreapi
    Participant
    Nombre d'articles : 24

    Bonjour,

    voilà je te donne le lien pour le rapport de AdsFix, apparemment il a trouvé 189 saloperies sur mon pc ….no comment http://cjoint.com/?DIkoOftv4k6” onclick=”window.open(this.href);return false;

    encore merci pour ton aide.

    André Apicella

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    re 🙂

    il y a quelques faux positiffs que je vais m’empresser de virer ^^

    relance l’outil , clique sur options puis restuarer fichiers / dossiers

    ensuite dans la liste selectionne ces 2 lignes une après l’autre puis clique sur restaurer et ok quand c’est confirmé :

    C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606extensionsadblockpopups@jessehakanen.net.xpi

    C:Usersandré.numerouno-PCAppDataRoamingMozillaFirefoxProfilespsas0ntg.default-1394403088606extensionsfoxyseotool@foxyseotool.com.xpi

    tu peux acutaliser la fenetre pour au cas où ^^

    ==

    suite à cela :

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”

    • Clic sur Mettre à jour (à droite, au centre)

    • Clic sur Examen (en haut)
    • Sélectionne Examen “Menaces”
    • Clic sur Examiner maintenant

    • A la fin du scan clic sur Tout mettre en quarantaine !
    • Clic sur Copier dans le Presse-papiers
    • Un rapport va s’ouvrir. Copie/Colle son contenue dans ta prochaine réponse.
  • andreapi
    Participant
    Nombre d'articles : 24

    bon, j’ai un petit souci, eset refuse d’être désactivé!

  • andreapi
    Participant
    Nombre d'articles : 24

    J’ai fait ce que tu m’as dit en autorisant l’accès à AdsFix (mais avec eset actif) et les fichiers affichés sont:

    C:\UsersnumerounoAppDataLocalLow{36BB859E-9710-E742-81FF-08A98700C171-}SaveClicker.2.9DAT
    C:\UsersnumerounoAppDataRoamingWBPU-TTL-DAT
    C:\UsersnumerounoAppDataRoamingMozillaFirefoxProfilesdvw4lxry.defaultsessionstore.js

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    tu as desinstallé le logiciel entre temps????????

  • andreapi
    Participant
    Nombre d'articles : 24

    bon, j’ai fait une connerie!? J’ai suivi ton instruction orange à la fin de ton premier message, j’ai pensé que la désinfection était finie, c’est grave?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    bah non mais ca aurait pu ^^

    si tu veux récupérer tes deux extensions supprimées par erreur que j’ai mis en jaune plus haut , ben t’as plus qu’à les réinstaller :S

  • andreapi
    Participant
    Nombre d'articles : 24

    voilà le log de MalwareBytes (pour les 2 extensions j’ai essayé de les installer mais firefox avait pas l’air chaud, j’attendrai de voir si elles me manquent…) :

    Malwarebytes Anti-Malware
    http://www.malwarebytes.org

    Scan Date: 11/09/2014
    Scan Time: 01:02:42
    Logfile: malwarebytes_log.txt
    Administrator: Yes

    Version: 2.00.2.1012
    Malware Database: v2014.09.10.10
    Rootkit Database: v2014.09.10.02
    License: Free
    Malware Protection: Disabled
    Malicious Website Protection: Disabled
    Self-protection: Disabled

    OS: Windows 7 Service Pack 1
    CPU: x86
    File System: NTFS
    User: numerouno

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 396809
    Time Elapsed: 11 min, 41 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Disabled
    Heuristics: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Registry Keys: 6
    PUP.Optional.SearchProtect.A, HKUS-1-5-21-2093125429-631953171-4251856079-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTINTERNET EXPLORERSEARCHSCOPES{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}, , [15ed7c70dc9f2f079556dca4c2406b95],
    PUP.Optional.MySearchDial.A, HKUS-1-5-21-2093125429-631953171-4251856079-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTINTERNET EXPLORERSEARCHSCOPES{77AA745B-F4F8-45DA-9B14-61D2D95054C8}, , [867c3bb1ea915bdbab414b35ce34ad53],
    PUP.Optional.SupTab.A, HKLMSOFTWAREWOW6432NODEMICROSOFTWINDOWSCURRENTVERSIONEXPLORERBROWSER HELPER OBJECTS{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, , [8f7313d92d4e62d439062e5760a2e41c],
    PUP.Optional.MySearchDial.A, HKUS-1-5-21-2093125429-631953171-4251856079-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREmysearchdial, , [dd25c12bdd9e57df9bfaa1a36d979e62],
    PUP.Optional.CrossRider.A, HKUS-1-5-21-2093125429-631953171-4251856079-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREAPPDATALOWSOFTWARECrossrider, , [39c958941764d85e6c7098bfc341847c],
    PUP.Optional.RegCleanerPro.A, HKUS-1-5-21-2093125429-631953171-4251856079-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWARESYSTWEAKRegClean Pro, , [cd35e9036e0db581221ad77254b04ab6],

    Registry Values: 1
    PUP.Optional.FirstSeenToday.A, HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN|fst_fr_33, , [5fa3f5f70c6f112546bf33e71fe432ce],

    Registry Data: 0
    (No malicious items detected)

    Folders: 2
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultdatabaseschrome-extension_ookcommfdhjlndngjeppjcolccnkjgho_0, , [06fca6467dfe2d09cf9beeec4ab8738d],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension Settingsookcommfdhjlndngjeppjcolccnkjgho, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],

    Files: 17
    PUP.Optional.Koyote.A, C:Usersandré.numerouno-PCDownloadsFreeMp3WmaConverterSetup-r0-n-bf.exe, , [ad55b03c92e9b87ed764193631d0bb45],
    PUP.Optional.SelectNGo.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_static.select-n-go00.select-n-go.com_0.localstorage, , [ec1634b8d3a8a6908472a1700ef5629e],
    PUP.Optional.SelectNGo.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_static.select-n-go00.select-n-go.com_0.localstorage-journal, , [d52d8e5e562558de896dc9480300b947],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagechrome-extension_ookcommfdhjlndngjeppjcolccnkjgho_0.localstorage, , [5fa359933744ba7cfc9b50c846bd1de3],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Storagechrome-extension_ookcommfdhjlndngjeppjcolccnkjgho_0.localstorage-journal, , [7092b933c7b4fe38880fe13721e2ce32],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultdatabaseschrome-extension_ookcommfdhjlndngjeppjcolccnkjgho_02, , [06fca6467dfe2d09cf9beeec4ab8738d],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension Settingsookcommfdhjlndngjeppjcolccnkjgho00048.ldb, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension Settingsookcommfdhjlndngjeppjcolccnkjgho00053.ldb, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension Settingsookcommfdhjlndngjeppjcolccnkjgho00056.ldb, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension Settingsookcommfdhjlndngjeppjcolccnkjgho00060.log, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension SettingsookcommfdhjlndngjeppjcolccnkjghoCURRENT, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension SettingsookcommfdhjlndngjeppjcolccnkjghoLOCK, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension SettingsookcommfdhjlndngjeppjcolccnkjghoLOG, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension SettingsookcommfdhjlndngjeppjcolccnkjghoLOG.old, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.CrossRider.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultLocal Extension SettingsookcommfdhjlndngjeppjcolccnkjghoMANIFEST-000058, , [1fe3dd0fabd02c0a7bf1f6e4976bd22e],
    PUP.Optional.Spigot.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultPreferences, Good: (), Bad: ( “startup_urls”: [ “https://fr.search.yahoo.com/?type=994519&fr=spigot-yhp-ch” ],), ,[1be7b53788f3df5760c18f9b26dff709]
    PUP.Optional.Spigot.A, C:Usersandré.numerouno-PCAppDataLocalGoogleChromeUser DataDefaultPreferences, Good: (), Bad: ( “homepage”: “https://fr.search.yahoo.com/?type=994519&fr=spigot-yhp-ch”,), ,[bd459c50b6c565d1f1317ab0dc2937c9]

    Physical Sectors: 0
    (No malicious items detected)

    (end)

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    re

    ok c’était des restes 🙂

    attention où tu telecharger , softonic , 01net , tous ces sites de grande distribution faut oublier 😀

    ==

    on va faire un diag

    Désactive ton antivirus

    Télécharge QuickDiag : http://www.aht.li/2448447/QuickDiag.exe” onclick=”window.open(this.href);return false;

    Enregistre-le sur ton bureau.
    Lance-le , clique sur Quick et heberge le rapport une fois l’analyse terninée , qui se trouvera sur le bureau du nom de QuickDiag_date_heure.txt , sur http://cjoint.com” onclick=”window.open(this.href);return false; et donne le lien obtenu

    Note : une copie se trouve également dans C:

  • andreapi
    Participant
    Nombre d'articles : 24

    http://cjoint.com/?DIlnUGME4Bg” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    Hello le rapport n’est pas complet 😀

  • andreapi
    Participant
    Nombre d'articles : 24

    Bonjour,
    Je t’envoie cette capture d’écran, Apparemment QuickDiag ne veut pas finir le job… (j’étais en session ‘administrateur’ et l’antivirus était désactivé)

    http://cjoint.com/?DImm6s9PYgq” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    tant pis

    • Copie le script ci dessous :
      HKCUSoftware
      HKCUSoftwareAppDataLow /s
      HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /s
      HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /s
      HKLMSoftware
      HKCUSoftwareMicrosoftCommand Processor /s
      HKLMSoftwareMicrosoftCommand Processor /s
      HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /s
      HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /s
      HKLMSoftwareMicrosoftWindowsCurrentVersionRunMRU /s
      HKLMSystemCurrentControlSetControlSession ManagerAppcertDlls /s
      %Homedrive%*
      %Homedrive%*.
      %Homedrive%Recycler*.exe /s
      %Homedrive%Recycler*.scr /s
      %Homedrive%Recycler*.pif /s
      %Homedrive%Recycler*.vb* /s
      %Homedrive%$Recycle.bin*.exe /s
      %Homedrive%$Recycle.bin*.scr /s
      %Homedrive%$Recycle.bin*.pif /s
      %Homedrive%$Recycle.bin*.vb* /s
      %Userprofile%*
      %Userprofile%*.
      %Allusersprofile%*
      %Allusersprofile%*.
      %LocalAppData%*
      %LocalAppData%*.
      %Userprofile%Local Settings*
      %Userprofile%Local Settings*.
      %Userprofile%Local SettingsApplication Data*
      %Userprofile%Local SettingsApplication Data*.
      %Userprofile%AppDataLocalGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*
      %Userprofile%AppDataLocalGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*.
      %Userprofile%Local SettingsApplication DataGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*
      %Userprofile%Local SettingsApplication DataGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*.
      %programFiles%*
      %programFiles%*.
      %programfiles%GoogleDesktop*.
      %ProgramFiles%Common Files*.
      %ProgramFiles(X86)%Common Files*.
      %Systemroot%Installer*.
      %Systemroot%Temp*.exe /s
      %systemroot%system32*.dll /lockedfiles
      %systemroot%system32*.exe /lockedfiles
      %systemroot%system32*.in*
      %systemroot%PSS* /s
      %systemroot%Tasks*
      %systemroot%Tasks*.
      %systemroot%system32Tasks*
      %systemroot%system32Tasks*.
      %systemroot%syswow64Tasks*
      %systemroot%syswow64Tasks*.
      %systemroot%system32drivers*.sy* /lockedfiles
      %systemroot%system32config*.exe /s
      %Systemroot%ServiceProfiles*.exe /s
      %systemroot%system32*.sys
      dir %Homedrive%* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT

    • Télécharge OTL (by OldTimer) sur ton bureau.
    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Coche/Sélectionne les cases comme l’image ci dessous

    • Colle le Script copié plus haut dans la partie inférieure d’OTL “Personnalisation”
    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Aide : Comment héberger un fichier sur SOSUpload ?

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

      En cas de problème avec SOSUpload, utiliser Cjoint

  • andreapi
    Participant
    Nombre d'articles : 24

    https://antimalware.top/www/?a=d&i=VssEnurjS1” onclick=”window.open(this.href);return false;
    https://antimalware.top/www/?a=d&i=RbIu0XFJ3P” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    c’est toi qui as installé ce truc là ?

    iDealshare

  • Anonyme
    Nombre d'articles : 0

    ça ne me dit rien…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    regarde si tu peux le desinstaller ?

  • andreapi
    Participant
    Nombre d'articles : 24

    j’ai trouvé le fichier d’installation dans mes téléchargements( capture d’écran: http://cjoint.com/?DInagtO5xxw” onclick=”window.open(this.href);return false; ), mais pas le programme installé, le dossier dans AppdataRoaming contient un fichier profiles vide (?)

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    ok supprime le setup il est pourri

    et dis les soucis qu il reste

  • andreapi
    Participant
    Nombre d'articles : 24

    plus de soucis! Merci pour ta patience et ton efficacité. Est-ce que je dois faire quelque chose pour fermer ce sujet ? Je ne peux pas faire de don parce que je suis plus que raide, mais dès que je peux je le ferai.
    bon week end
    André

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    hello

    refais quand même une analyse avec OTL comme precedemment stp ( toutes facons y aura le menage final pour finir ^^ )

  • andreapi
    Participant
    Nombre d'articles : 24

    https://antimalware.top/www/?a=d&i=hJg54VHLFP” onclick=”window.open(this.href);return false;

    https://antimalware.top/www/?a=d&i=344e4qtKtn” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    hello

    désinstalle adobe reader 9 pas à jour
    pareil pour Java 7 Update 55

    ==

    désactive Eset , puis colle ca en bas d’OTL , puis clique sur correction

    :OTL
    FF – user.js – File not found
    O3 – HKUS-1-5-21-2093125429-631953171-4251856079-1001..ToolbarWebBrowser: (no name) – {41564952-412D-5637-4300-7A786E7484D7} – No CLSID value found.
    O6 – HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: EnableLinkedConnections = 1
    [2012/05/03 13:12:20 | 000,000,532 | —- | M] () — C:UsersnumerounoAppDataLocaldatos.txt

    :reg
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    “TkBellExe”=-
    “iTunesHelper”=-
    [-HKEY_CURRENT_USERSoftwareiDealshare]
    [HKLMSoftware]
    “38900”=-
    [-HKEY_LOCAL_MACHINESoftwareiDealshare]
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfile]
    “EnableFirewall”=DWORD:0
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
    “EnableFirewall”=DWORD:0
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyPublicProfile]
    “EnableFirewall”=DWORD:0

    :files
    C:UsersnumerounoAppDataRoamingWB.CFG

    :commands
    [emptytemp]
    [reboot]

  • andreapi
    Participant
    Nombre d'articles : 24

    https://antimalware.top/www/?a=d&i=34wNe1dH6q” onclick=”window.open(this.href);return false;
    https://antimalware.top/www/?a=d&i=chuqGl3jeU” onclick=”window.open(this.href);return false;

    bon dimanche!

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    hello il m’aurait fallu plutôt

    C:_OTLMoved Filesdate_heure.log

  • andreapi
    Participant
    Nombre d'articles : 24

    Je n’ai pas trouvé le fichier ‘date et heure’, mais ce fichier texte à l’adresse indiquée
    C:_OTLMoved Files9142014_161014

    https://antimalware.top/www/?a=d&i=Pkcy6RJ8V3” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    ben oui dans son nom y’a la date et heure d’utilisation ^^

    des soucis persistent ?

  • andreapi
    Participant
    Nombre d'articles : 24

    non, ça va bien apparemment,juste une ou deux questions : j’imagine que je dois me débarrasser des mes vieilles sauvegardes ? J’ai un souci familial : mon pc est en réseau avec le pc portable de ma compagne, est-ce que j’ouvre un nouveau sujet pour le nettoyer?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    oui sinon ca va etre galère et il risque d’y avoir mélange des deux à la relacture si besoin

    pour finir eclui-ci :

    • Télécharge SFTGC.exe (de Pierre13) sur ton Bureau et pas ailleurs !.
    • Lance SFTGC, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur GO

      Note : A la fin un rapport va s’ouvrir

    • Une fois le scan terminé rends toi sur le bureau, le fichier SFTGC.txt à été créé.
    • Héberge le rapport SFTGC.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    ===============================

    • Télécharge Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Coche les cases suivantes :
      • Réactiver l’UAC
      • Supprimer les outils de désinfection
      • Effectuer une sauvegarde du registre
      • Purger la restauration système
      • Réinitialisation des paramètres système

    ==========================

    Sécurisation du PC des logiciels potentiellement indésirables , toolbars , etc…

    Lorsqu’on est sous Windows et qu’on adore installer tout un tas de softs étranges, il faut savoir rester vigilant. En effet, certains programmes d’install proposent durant l’installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système.

    En général, on fait attention, et on décoche les cases qui vont bien, mais il suffit d’une fois, d’un petit coup de barre et on laisse passer la toolbar fatale.

    Mais pourquoi se prendre la tête alors qu’un petit soft peut faire le travail pour vous ?

    Télécharge : http://unchecky.com/files/unchecky_setup.exe” onclick=”window.open(this.href);return false;, un service qui tourne en tâche de fond sous Windows, qui détectera automatiquement les logiciels additionnels dans les programmes d’installation et qui décochera les cases qu’il faut pour éviter de se faire polluer.


    ==============================================

    si ce n’est fait met à jour Flash player (pour chrome il est deja intégré ) :

    No Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_15_plugin.exe” onclick=”window.open(this.href);return false;

    Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_15_active_x.exe” onclick=”window.open(this.href);return false;

    =============================================

    Adobe reader étant devenu trop peu fiable , je te conseille de le desinstaller , et pour lire les pdf , je te suggère d’utiliser plutôt SumatraPDF :

    http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader-fr.html” onclick=”window.open(this.href);return false;

    pense à l’installation , dans les options , à cocher la case qui correspond à « utiliser SumatraPDF comme lecteur par defaut » et installer les plugins pour les navigateurs.

    [fin2desinf:3l41oi1j][/fin2desinf:3l41oi1j]

  • andreapi
    Participant
    Nombre d'articles : 24

    bonjour,

    https://antimalware.top/www/?a=d&i=pJ7RBN0XrV” onclick=”window.open(this.href);return false;

    Deux questions: j’utilise pdf architect, j’espère que c’est pas un problème, j’ai acheté la version pro pour pouvoir éditer les pdf. Sinon je fais tout ce qui est conseillé dans ton dernier message mais j’ai eu deux fois un message d’avertissement de eset en utilisant FileHippo.exe (https://antimalware.top/www/?a=d&i=qHTQ3TLQcN” onclick=”window.open(this.href);return false;)

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    coucou 😉

    utilise filehippo uniquement pour savoir les programmes qui ne sont pas à jour , ensuite mieux vaut aller chercher ses version chez les éditeurs , ne passe pas par update checker pour telecharger ces programmes.

  • andreapi
    Participant
    Nombre d'articles : 24

    merci

    André

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    et pour l’étape du pdf je t’ai pas répondu , mais je pense que tu peux la passer 😉

Le sujet ‘infection Win32/Systweak.F’ est fermé à de nouvelles réponses.