les chinois attaquent ! 2015-04-26T14:52:12+00:00
  • Auteur
    Messages
  • guugues
    Participant
    Post count: 572

    C’est OK pour le rapport. ;)

    @bebertmartini wrote:

    Tu as vaincu à toi tout seul les forces de l’empire du milieu, tu es un vrai génie :content:

    ^^

    A bientôt et encore merci :hello:

    A bientôt, mais pas dans cette catégorie du forum ! ^^
    Bonne continuation. ;)

    ++

  • bebertmartini
    Participant
    Post count: 30

    enfin, le dernier rapport :
    https://antimalware.top/download/ba86hvj5n00n22qvl30cjyt40y5veuduvjodk3v0

    un grand grand merci Guugues :merci2:

    Tu as vaincu à toi tout seul les forces de l’empire du milieu, tu es un vrai génie :content:

    A bientôt et encore merci :hello:

  • guugues
    Participant
    Post count: 572

    Hello ! ;)

    @bebertmartini wrote:

    désolé d’être un peu long à répondre mais avec le jour férié, on en a profité un peu :content:

    Tu as bien fait ! ;)

    Si tu n’as plus de soucis, on peut désormais finaliser la procédure :

    1- TFC – Nettoyage des fichiers temporaires :

    • Télécharge TFC sur ton bureau.
    • Lance TFC.exe.

    Sous Windows Vista/Seven/8, clique droit sur TFC.exe puis Exécuter en tant qu’administrateur

    • Le logiciel s’ouvre : clique alors sur le bouton Start pour supprimer les fichiers temporaires inutiles :

    • Si le logiciel demande de redémarrer le PC, accepte.

    2- Purge de la restauration système / Suppression des outils de désinfection :

    • Télécharge DelFix sur ton bureau.
    • Lance Delfix.

    Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu’administrateur

    • Coche la case Réactiver l’UAC (grisée sous Windows XP).
    • Coche la case Supprimer les outils de désinfection.
    • Coche la case Purger la restauration système.
    • Coche la case Réinitialisation des paramètres système.
    • Enfin, clique sur Exécuter :

    • Le rapport est ici : C:Delfix.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:3itp4eyb]

    Est donc attendu le rapport de DelFix.

    [hr:3itp4eyb]

    La procédure de désinfection est désormais terminée. Je te remercie de l’avoir suivie jusqu’au bout.
    Je t’invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.

    [hr:3itp4eyb]

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Tenir à jour Windows, les navigateurs et les programmes installés

    Analyser régulièrement l’ordinateur

    Bloquer les publicités, potentiellement dangereuses

    Savoir si un site web possède une bonne ou mauvaise réputation

    Éviter d’être de nouveau infecté

    Les pratiques à éviter

    [fin2desinf:3itp4eyb][/fin2desinf:3itp4eyb]

    Si tu as des questions, n’hésite pas ! ;)

  • bebertmartini
    Participant
    Post count: 30

    bonjour guugues :)
    désolé d’être un peu long à répondre mais avec le jour férié, on en a profité un peu :content:

    voici le dernier rapport
    https://antimalware.top/download/tz7vzw5urh659o36a7le7eqdbs53f61gbal2v8i0

    j’ai essayé de mettre à jour tous les programmes. je pense que je ne me suis pas trompé, mais j’ai trouvé cette phase moins facile

  • guugues
    Participant
    Post count: 572

    Hello ! ;)

    Une dernière correction à faire et on passe au contrôle des mises à jour des logiciels sensibles :

    FRST – Fix :

    • Télécharge la pièce jointe suivante sur ton bureau (au même endroit que FRST) :

    [attachment=0:yhud1tcn]fixlist.txt[/attachment:yhud1tcn]

    • Ferme toutes les applications, y compris ton navigateur.
    • Relance FRST.

    Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Fix :

    • Un rapport du nom de Fixlog.txt sera créé sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:yhud1tcn]

    Adobe Flash Player, Adobe Shockwave Player et Java ne sont pas à jour. Pour info :

    Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu’ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

    Il faut donc les maintenir à jour très régulièrement.

    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Adobe Flash Player 15 ActiveX (obsolète, constitue une faille de sécurité)
    • Adobe Flash Player 15 Plugin (obsolète, constitue une faille de sécurité)
    • Adobe Shockwave Player (obsolète, constitue une faille de sécurité)
    • Adobe Shockwave Player 12.1 (obsolète, constitue une faille de sécurité)
    • Java 7 Update 71 (obsolète, constitue une faille de sécurité)

    Puis :

    • Lance Internet Explorer.
    • Télécharge et installe la dernière version de Adobe Flash Player via cette page.

    Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :

    Puis télécharge la dernière version de Adobe Shockwave Player via le site officiel.

    Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :

    Puis télécharge la dernière version de Java via le site officiel.

    Pense à décocher les cases pré-sélectionnées, comme ici avec Ask :

    [hr:yhud1tcn]

    Est donc attendu le rapport de FRST.

  • bebertmartini
    Participant
    Post count: 30
  • guugues
    Participant
    Post count: 572

    Re ! ;)

    Applique la procédure suivante :

    FRST – Fix :

    • Télécharge la pièce jointe suivante sur ton bureau (au même endroit que FRST) :

    [attachment=0:1ppbcxey]fixlist.txt[/attachment:1ppbcxey]

    • Ferme toutes les applications, y compris ton navigateur.
    • Relance FRST.

    Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Fix :

    • Il te sera demandé de redémarrer l’ordinateur : accepte.
    • Le PC doit redémarrer normalement.
    • Un rapport du nom de Fixlog.txt sera créé sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    A l’issue de cette manipulation, confirme-moi qu’il n’y a plus de “traces chinoises”. ;)

    [hr:1ppbcxey]

    Est donc attendu le rapport de FRST.

  • bebertmartini
    Participant
    Post count: 30
  • guugues
    Participant
    Post count: 572

    Le copier/coller est visiblement mal passé. Recommence la procédure en copiant les lignes se trouvant au lien suivant : http://www.cjoint.com/15av/EDEnNZNa6Ly_look.txt ;)

  • bebertmartini
    Participant
    Post count: 30
  • guugues
    Participant
    Post count: 572

    Hello ! ;)

    Par contre, j’ai encore dans le menu démarrer un truc en chinois. Je ne sais pas s’il est actif et j’ose pas cliquer dessus pour voir… il s’agit peut être d’une trace…

    Il s’agit d’un raccourci inactif : clique-droit dessus et choisis Supprimer. A l’issue de cette manipulation, clique-droit sur la Corbeille et sélectionne Vider la Corbeille.

    et quand je vais dans le menu personnaliser de la barre des taches, j’ai encore des petites chinoiseries …

    Effectivement, il reste quelques résidus ! Applique la procédure suivante :

    SystemLook :

    • Télécharge SystemLook sur ton bureau.
    • Lance SystemLook.

    Sous Windows Vista/Seven/8, clique-droit sur SystemLook puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    :filefind
    baidu
    tencent
    qqpctray
    optproreminder

    :folderfind
    baidu
    tencent
    qqpctray
    optproreminder

    :regfind
    baidu
    tencent
    qqpctray
    optproreminder
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de SystemLook :

    • Puis clique sur le bouton Look.
    • Un rapport du nom de SystemLook.txt apparaît sur le bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:2z8ybhc6]

    Est attendu le rapport de SystemLook.

  • bebertmartini
    Participant
    Post count: 30

    bonjour guugues

    voici le rapport fixlog
    https://antimalware.top/download/903cyjxbawy7futh9a5jebzr2r50lozc0pharn46

    l’ordinateur est beaucoup mieux, j’ai même plus la mauvaise page de démarrage qui était apparu depuis plusieurs semaine sur firefox.
    le clavier répond aussi plus rapidement.
    je n’ai plus le compteur en haut à gauche ni l’ouverture non désirée de petites fenetres en chinois. :merci2: :kiss:

    Par contre, j’ai encore dans le menu démarrer un truc en chinois. Je ne sais pas s’il est actif et j’ose pas cliquer dessus pour voir… il s’agit peut être d’une trace…
    https://antimalware.top/download/jzzekrh74y7lz6c6euz0j3we3gvdufa7sh40xosb
    et quand je vais dans le menu personnaliser de la barre des taches, j’ai encore des petites chinoiseries …
    https://antimalware.top/download/4habx1h6ny9yy9lavzumm8kc8l1pq7tpih1vqq07
    pour bien que tu comprennes, je t’ai fait des captures écran (je commence à m’améliorer je trouve :p: )

  • guugues
    Participant
    Post count: 572

    Re ! ;)

    Tout d’abord, tu peux désormais réactiver ton antivirus.

    FRST – Fix :

    • Télécharge la pièce jointe suivante sur ton bureau (au même endroit que FRST) :

    [attachment=0:1lo3gdmk]fixlist.txt[/attachment:1lo3gdmk]

    • Ferme toutes les applications, y compris ton navigateur.
    • Relance FRST.

    Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Fix :

    • Il te sera demandé de redémarrer l’ordinateur : accepte.
    • Le PC doit redémarrer normalement.
    • Un rapport du nom de Fixlog.txt sera créé sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    A l’issue de cette manipulation, dis-moi comment se comporte le PC.

    [hr:1lo3gdmk]

    Est donc attendu le rapport de FRST.

  • bebertmartini
    Participant
    Post count: 30

    alors voici le rapport FRST
    https://antimalware.top/download/2j0jx2ssqos4bmoja0hkt5mt7uc3idi728f8g623

    et addition :
    https://antimalware.top/download/smwukhd90d2z198lp1c0lbrzfscs2fu8c54hxcm0

    dejà, dans le fonctionnement du pc, je sens qu’il a retrouvé de la réactivité :content:

  • guugues
    Participant
    Post count: 572

    @bebertmartini wrote:

    j ai une bonne nouvelle, j’ai plus le compteur en haut à droite :bravo1:

    Nickel ! On a eu le gros du morceau (qui était coriace), on va quand même contrôler de nouveau le système : applique la procédure suivante :

    FRST – Scan :

    • Télécharge FRST sur ton bureau (← Important !).
    • Le téléchargement se lance automatiquement, tu n’as donc pas besoin de cliquer sur un lien.
    • Ferme toutes les applications en cours, y compris ton navigateur.
    • Lance FRST.

    Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu’administrateur

    • Accepte les conditions d’utilisation, puis clique sur le bouton Scan :

    • A la fin du scan, deux rapports s’ouvriront.
    • Ceux-ci sont présents sur ton bureau sous le nom de FRST.txt et Addition.txt.
    • Héberge ces rapports en utilisant le site SOSUpload pour poster les liens dans ta prochaine réponse (aide en images).

    [hr:12txsdhp]

    Sont donc attendus les 2 rapports de FRST.

  • bebertmartini
    Participant
    Post count: 30

    voila le rapport avenger
    https://antimalware.top/download/scjkshpxhc6l4j9bjzv2z7hzliw64nbb8svifga9

    j ai une bonne nouvelle, j’ai plus le compteur en haut à droite :bravo1:

    j’ai encore cependant les 3 raccourcis chinois sur le bureau ^^’

  • guugues
    Participant
    Post count: 572

    Hello ! ;)

    Parfait, c’est bien Baidu qui est à l’origine de tout ça. Cette fois-ci, on va l’avoir ! ;) Applique la procédure suivante :

    The Avenger :

    Désactive impérativement toute protection antivirale (aide en images)

    • Télécharge The Avenger sur ton bureau.
    • Décompresse le fichier avenger.zip en cliquant-droit dessus et en choisissant Extraire tout.
    • Lance alors avenger.exe.

    Sous Windows Vista/Seven/8, clique-droit sur avenger.exe puis Exécuter en tant qu’administrateur

    • Accepte le message d’avertissement.
    • Décoche la case Scan for rootkits.
    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    Drivers to disable:
    bd0001
    bd0002
    bd0003
    bd0004
    BDArKit
    BDMWrench
    BaiduHips
    BDKVRTP
    BDMRTP
    BDMNetMon
    BDSafeBrowser
    BDAntiExp
    BDEnhanceBoost

    Drivers to delete:
    bd0001
    bd0002
    bd0003
    bd0004
    BDArKit
    BDMWrench
    BaiduHips
    BDKVRTP
    BDMRTP
    BDMNetMon
    BDSafeBrowser
    BDAntiExp
    BDEnhanceBoost

    Files to delete:
    C:WindowsSystem32driversBDMNetMon.sys
    C:WindowsSystem32driversBDEnhanceBoost.sys
    C:Windowssystem32driversBDDefense.sys
    C:Windowssystem32driversbd0001.sys
    C:Windowssystem32driversbd0002.sys
    C:Windowssystem32driversbd0003.sys
    C:Windowssystem32driversbd0004.sys
    C:WindowsSystem32driversBDMWrench.sys
    C:WindowsSystem32driversBDFileDefend.sys
    C:WindowsSystem32driversBdSandBox.sys
    C:WindowsSystem32driversBDArKit.sys
    C:Windowssystem32driversBDSafeBrowser.sys
    C:Windowssystem32driversBDAntiExp.sys

    Folders to delete:
    C:ProgramDatabaidu
    C:Program Filesbaidu
    C:Program FilesCommon Filesbaidu
    C:UsersbebertAppDataLocalTempbaidu
    C:Windowssystem32configsystemprofileAppDataRoamingbaidu
    C:UsersbebertAppDataRoamingbaidu
    C:UsersbebertAppDataLocalTempBDRepair

    Registry keys to delete:
    HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{85E0B1AA-04FA-11D1-B7DA-00A0C90348D6}
    HKEY_LOCAL_MACHINESOFTWAREBaidu

    Registry values to delete:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun | baidusdTray
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun | BaiduAnTray
    • Colle ensuite les lignes précédemment copiées dans la partie Input script here du logiciel :

    • Puis clique sur le bouton Execute.
    • Le logiciel doit proposer de redémarrer le PC : accepte.
    • Le PC est susceptible de redémarrer plusieurs fois de suite.
    • Un rapport sera créé à cet endroit : C:avenger.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:3f7p3m5x]

    Est donc attendu le rapport de The Avenger.

  • bebertmartini
    Participant
    Post count: 30
  • kyuubi
    Post count: 0

    slt j’ai exactement le même problème sur mon pc baidu je l’ai chopé hier et depuis je cherche a l’enlever j’espère que celui qui a eu le problème va répondre pour que je puisse suivre avec :p

  • guugues
    Participant
    Post count: 572

    Ok donc visiblement, cela vient de “baidu” (qui n’est finalement pas lié à l’éditeur d’antivirus, qui lui est légitime).

    Tu peux appliquer la procédure que je t’ai donnée. ;) Je te demanderai ceci en plus :

    • Clique-droit sur le premier fichier en chinois présent sur le bureau.
    • Sélectionne Propriétés.
    • Fais-moi alors une capture d’écran de la fenêtre qui s’est ouverte.
    • Applique la même manipulation pour les second et troisième fichiers en chinois.
  • bebertmartini
    Participant
    Post count: 30

    voici mon fond d ecran
    https://antimalware.top/download/lcgvlztwqqy6zwb08g7t2j7dbvu1266tf0bj2zo3

    j’attends que tu me confirmes pour les manips prescrites ^^’

  • guugues
    Participant
    Post count: 572

    Hello ! ;)

    @bebertmartini wrote:

    J’ai cru voir s’afficher rapidement pour OTM qu’il y avait un truc avec baidu (?)

    Oui c’est normal, d’ailleurs il semblerait que ce Baidu fasse de la résistance, on va s’en occuper. ;)

    Sinon, j’ai toujours mon compteur/indicateur en haut à gauche du bureau et mes icones en chinois :|

    Pourrais-tu me faire une capture d’écran, afin que je puisse comprendre de quoi il s’agit ?

    [hr:3sin9qde]

    Applique la procédure suivante :

    1- AdwCleaner – Nettoyage :

    • Relance AdwCleaner.

    Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Scanner.

    • Une fois le scan terminé, clique sur le bouton Nettoyer.
    • Accepte le message d’informations en cliquant sur OK.
    • Il te sera demandé de redémarrer l’ordinateur : accepte en cliquant sur OK.
    • Une fois le PC redémarré, un rapport s’ouvrira automatiquement.
    • Celui-ci est disponible ici : C:AdwCleanerAdwCleaner[S1].txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    2- Malwarebytes Anti-Malware :

    • Tu possèdes Malwarebytes : lance-le.
    • Si le logiciel est en anglais, clique sur Settings, dans General Settings, choisis French pour Language.
    • Dans l’onglet Détection et protection, configure le logiciel comme ci-dessous :

    • Dans l’onglet Examen, l’Examen « Menaces » doit être sélectionné par défaut.
    • Clique alors sur Lancer l’examen :

    • Le logiciel se met à jour et l’analyse commence. Cela peut prendre un certain temps.
    • Laisse travailler l’outil sans l’interrompre, jusqu’à ce que l’analyse soit terminée.
    • Si des menaces sont détectées, clique sur le bouton Supprimer la sélection :

    • Si l’outil t’a demandé de redémarrer le PC, fais-le de suite.
    • Au redémarrage, relance Malwarebytes.
    • Dans l’onglet Historique, clique sur la catégorie Journaux de l’application.
    • Clique-gauche sur le journal du type Scan Log le plus récent.
    • Une fenêtre s’ouvre : en bas à gauche, clique sur Exporter puis sur Fichier texte (*.txt) :

    • Attribue au fichier le nom de mbam puis clique sur Enregistrer.
    • Le rapport est disponible ici : C:mbam.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    3- Zoek – Réanalyse :

    • Désactive temporairement ton antivirus : aide en images.
    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    drivers-services-list;
    emptyfolderscheck;
    fakechrprofiles;
    hostslook;
    installedprogs;
    installer-list;
    standardsearch;
    torpigcheck;
    uninstall-list;
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente jusqu’à ce que le logiciel se ferme tout seul.
    • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
    • Celui-ci est disponible ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:3sin9qde]

    Sont donc attendus : la capture d’écran et les rapports de AdwCleaner, Malwarebytes et Zoek.

  • bebertmartini
    Participant
    Post count: 30

    Bonjour Guugues :)

    voici le rapport OTM
    https://antimalware.top/download/fc3ryshuyq1y47yt4sfk1fxh82brewgaw1h48t0x
    ADWcleaner
    https://antimalware.top/download/ixntdw4oudngpma4ax26cw7uwlxihl78e7of706i
    JRT
    https://antimalware.top/download/yahbzdti7fsxeief29o4ua13frxtk2dlwsw98ar5

    J’ai cru voir s’afficher rapidement pour OTM qu’il y avait un truc avec baidu (?)
    Sinon, j’ai toujours mon compteur/indicateur en haut à gauche du bureau et mes icones en chinois :|

  • guugues
    Participant
    Post count: 572

    Ok, on poursuit, applique les procédures suivantes :

    1- OTM :

    • Télécharge OTM sur ton bureau.
    • Lance OTM.

    Sous Windows Vista/Seven/8, clique droit sur OTM puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la catégorie Paste Instructions for Items to be Moved d’OTM.

    • Puis clique sur le bouton MoveIt!. Patiente.
    • S’il t’est demandé de redémarrer le PC : accepte.
    • Un rapport sera créé à cet endroit : C:_OTMMovedFiles.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    2- AdwCleaner – Nettoyage :

    • Télécharge AdwCleaner sur ton bureau.
    • Lance AdwCleaner.

    Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Scanner.

    • Une fois le scan terminé, clique sur le bouton Nettoyer.
    • Accepte le message d’informations en cliquant sur OK.
    • Il te sera demandé de redémarrer l’ordinateur : accepte en cliquant sur OK.
    • Une fois le PC redémarré, un rapport s’ouvrira automatiquement.
    • Celui-ci est disponible ici : C:AdwCleanerAdwCleaner[S0].txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    3- Junkware Removal Tool :

    Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu’administrateur

    • Lorsque la fenêtre suivante apparaît, appuie sur n’importe quelle touche de ton clavier pour lancer l’outil :

    • Le nettoyage commence. Le bureau est susceptible de disparaître, c’est normal. Laisse travailler l’outil.
    • Un rapport va s’ouvrir automatiquement.
    • Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:1htw4t0u]

    Sont attendus les rapports de OTM, AdwCleaner et JRT.

  • bebertmartini
    Participant
    Post count: 30

    merci encore Guugues :bravo1:
    Voici le nouveau rapport :
    https://antimalware.top/download/nd3k36j0gzr6fkcxz52h3wer5gim15tnekmpv5df

    pour l’outil qui s’affiche, il s’agit comme d’un petit compte tour qui est vert quand ça tourne pas beaucoup et rouge quand l’indicateur augmente avec deux flèches entrant et sortant et pour chacune un compteur exprimé en K/s
    quand je clique droit dessus, j’ai un menu en chinois qui apparaît :electriksock:

  • guugues
    Participant
    Post count: 572

    Hello ! ;)

    mais j’ai encore un outil qui a l’air de mesurer des flux entrants et sortants…?

    Tu veux parler de quel outil ?

    mais je ne sais pas trop quoi en faire.

    Ne touche à rien, on s’en charge en passant à la suite. ;)

    Zoek – Correction :

    • Désactive temporairement ton antivirus : aide en images.
    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, le PC va redémarrer.
    • Un rapport est généré ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:2kak4jz0]

    Est donc attendu le rapport de Zoek.

  • bebertmartini
    Participant
    Post count: 30

    Bonjour guugues et :merci2:
    voici le rapport zoek
    https://antimalware.top/download/h0ktyf64c419e1kwfm5kcjk7rikr8xl0f9f3r9aj

    il y a beaucoup de mieux déjà :bravo1: , j’ai perdu quelques fenêtres en chinois, mais j’ai encore un outil qui a l’air de mesurer des flux entrants et sortants…?
    j’ai aussi des icones en chinois et dans la barre du menu démarrer, mais je ne sais pas trop quoi en faire.

    Pour le deuxieme antivirus, je ne sais pas ce que c’est, je n’utilise que avast :what:

  • guugues
    Participant
    Post count: 572

    Re ! ;)

    Ton PC est infecté par des PUP / Adwares, qui ont les caractéristiques d’afficher des pubs intempestives, de collecter tes habitudes de navigation et d’installer des toolbars , car tu n’es pas assez vigilant(e) lors de l’installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l’installation.

    Afin d’éviter ce genre d’infections, quelques recommandations :

    En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

    Ne télécharge donc pas tes logiciels sur des sites comme Clubic, Softonic ou 01.net.

    Prends connaissance de ce qui est indiqué lors de l’installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

    A lire impérativement : Stop les publicités intempestives
    A lire impérativement : S’entraîner à ne plus infecter son PC de PUP/Adwares

    [hr:1fhjsdu6]

    Utilises-tu l’antivirus Baidu ? Car je vois qu’il y a également Avast d’installé sur ton PC : il te faut en désinstaller un, car deux antivirus peuvent entrer en conflit.

    [hr:1fhjsdu6]

    1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :

    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Anti virus et publicités sur Internet [11355] (Adware)
    • Boxore Client (Adware)
    • Infonaut 1.10.0.14 (Adware)
    • luckysearches uninstall (Adware)
    • McAfee Security Scan Plus (Inutile)
    • Optimizer Pro v3.2 (PUP)
    • SmartWeb (Adware)
    • Software Update Helper (Adware)
    • StormWatch (Adware)
    • sweet-page uninstall (Adware)
    • Wajam (PUP)

    Si certains ne veulent pas se désinstaller, ce n’est pas grave, passe aux suivants.

    2- Zoek – Correction :

    • Désactive temporairement ton antivirus : aide en images.
    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, le PC va redémarrer.
    • Un rapport est généré ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).

    [hr:1fhjsdu6]

    Est donc attendu le rapport de Zoek.

  • bebertmartini
    Participant
    Post count: 30

    Bonjour Guugues :hello: et merci pour ton aide.

    j’ai eu un peu de mal mais en suivant tout à la lettre, voici le rapport :
    https://antimalware.top/download/2p6ojj9zobh52hibdu4i32hmqgg6t4k5wiug8ypu
    Pas de soucis sinon, je ne fais rien d’autre que ce que tu me diras, promis :)

  • guugues
    Participant
    Post count: 572

    Hello et bienvenue ! ;)

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    Zoek – Analyse :

    • Désactive temporairement ton antivirus : aide en images.
    • Télécharge Zoek.exe sur ton bureau.
    • Ferme toutes les applications en cours, puis lance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    standardsearch;
    drivers-services-list;
    installedprogs;
    installer-list;
    uninstall-list;
    torpigcheck;
    fakechrprofiles;
    hostslook;
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvcs /se "─" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components" /s >> C:zoek-results.log;b
    C:WindowsSystem32driversafd.sys;i
    C:WindowsSystem32driversatapi.sys;i
    C:WindowsSystem32driverscdfs.sys;i
    C:WindowsSystem32driverscdrom.sys;i
    C:WindowsSystem32driversdfsc.sys;i
    C:WindowsSystem32drivershdaudbus.sys;i
    C:WindowsSystem32driversi8042prt.sys;i
    C:WindowsSystem32driversipnat.sys;i
    C:WindowsSystem32driversipsec.sys;i
    C:WindowsSystem32driversmrxsmb.sys;i
    C:WindowsSystem32driversnetbt.sys;i
    C:WindowsSystem32driversntfs.sys;i
    C:WindowsSystem32driversparport.sys;i
    C:WindowsSystem32driversrasl2tp.sys;i
    C:WindowsSystem32driversrdpdr.sys;i
    C:WindowsSystem32driverssmb.sys;i
    C:WindowsSystem32driverssptd.sys;i
    C:WindowsSystem32driverstcpip.sys;i
    C:WindowsSystem32driverstdx.sys;i
    C:WindowsSystem32driversvolsnap.sys;i
    C:WindowsSystem32cmd.exe;i
    C:WindowsSysWOW64cmd.exe;i
    C:Windowsexplorer.exe;i
    C:WindowsSysWOW64explorer.exe;i
    C:WindowsSystem32services.exe;i
    C:WindowsSysWOW64services.exe;i
    C:WindowsSystem32svchost.exe;i
    C:WindowsSysWOW64svchost.exe;i
    C:WindowsSystem32userinit.exe;i
    C:WindowsSysWOW64userinit.exe;i
    C:WindowsSystem32wininit.exe;i
    C:WindowsSysWOW64wininit.exe;i
    C:WindowsSystem32winlogon.exe;i
    C:WindowsSysWOW64winlogon.exe;i
    C:WindowsSystem32kernel32.dll;i
    C:WindowsSysWOW64kernel32.dll;i
    C:WindowsSystem32rpcss.dll;i
    C:WindowsSysWOW64rpcss.dll;i
    C:WindowsSystem32user32.dll;i
    C:WindowsSysWOW64user32.dll;i
    %temp%*.exe;vs
    %SYSTEMDRIVE%*.exe;v
    %ALLUSERSPROFILE%Application Data;v
    %ALLUSERSPROFILE%Application Data*.exe;vs
    %APPDATA%;v
    %APPDATA%*.exe;vs
    C:Windowssystem32consrv.dll;i
    %SystemDrive%$RECYCLE.BIN;vs
    %SystemDrive%RECYCLER;vs
    %SystemRoot%assemblyGAC;v
    %SystemRoot%assemblyGAC_32;v
    %SystemRoot%assemblyGAC_64;v
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v AutoConfigProxy >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v EnableHttp1_1 >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v MigrateProxy >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyEnable >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyHttp1.1 >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyOverride >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v AutoConfigProxy >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v EnableHttp1_1 >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v MigrateProxy >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyEnable >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyHttp1.1 >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyOverride >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyServer >> C:zoek-results.log;b
    %WINDIR%pss;v
    %LOCALAPPDATA%;v
    %LOCALAPPDATA%GoogleDesktop;vs
    C:Program FilesGoogleDesktop;vs
    C:Program Files (x86)GoogleDesktop;vs
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    %systemroot%System32config*.sav;v
    reg query "HKEY_LOCAL_MACHINESOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432Node" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-19SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-20SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "{*}" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "TCP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "UDP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" > %LOCALAPPDATA%Tempmount.txt;b
    for /f %%i in (%LOCALAPPDATA%Tempmount.txt) do reg query %%i >> C:zoek-results.log;b
    nslookup www.google.fr >> C:zoek-results.log;b
    dir /AL /S C: >> C:zoek-results.log;b
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente jusqu’à ce que le logiciel se ferme tout seul.
    • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
    • Celui-ci est disponible ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse (aide en images).



    Est attendu le rapport de Zoek.

  • bebertmartini
    Participant
    Post count: 30

    Bonjour,
    j’ai besoin de votre aide, mon pc était assez lent ces derniers temps, mais désormais j’ai des petits utilitaires en chinois qui se sont installés (des genres de compteurs avec aiguille qui mesure des débits, et des pubs qui s’affichent… j’ai aussi des icones installées sur le bureau, toujours en chinois). Du coup, le pc rame vraiment et en plus avast commence à m’alerter :-s

    que puis je faire svp ?
    merci d’avance pour votre aide :-)

Le sujet ‘les chinois attaquent !’ est fermé à de nouvelles réponses.