Malwares et popups intempestifs (Windows 8) 2015-06-18T11:35:21+00:00
15 sujets de 1 à 15 (sur un total de 22)
  • Auteur
    Messages
  • Bat_mk
    Participant
    Nombre d'articles : 13

    Bonjour.
    Je détiens un HP Envy infecté depuis plusieurs mois par des malwares (et probablement des adwares). J’ai eu recours au SAV de mon vendeur pour une désinfection totale, et les problèmes se sont calmés, mais dernièrement, les pops-ups reprennent de manière continue. Anti-Malware bytes et Adware-Cleaner n’y font rien (bien qu’ils suppriment certaines “menaces” détectées à l’apparition de pop ups ), et mon antivirus (McAfee) semble ne rien pouvoir faire (aucune détection). Je ne veux prendre aucune initiative personelle dans l’utilisation d’outils plus poussés (Zhpdiag) et je vous sollicite donc pour m’accompagner dans la désinfection de cet ordinateur. Merci d’avance pour votre aide.
    Bat

    Victor
    Participant
    Nombre d'articles : 551

    Bonjour Bat_mk, :hello:

    :welcome:

    • Aucune désinfection ne sera menée sur une version de Windows illégale.
    • Si tu as ouvert un sujet sur un autre forum, tu le signales.
    • Je suis bénévole et je ne suis sur mon PC quand début de soirée.
    • Les logiciels que je te dirais de télécharger seront à mettre sous ton bureau et pas ailleurs.
    • N’entreprends aucunes initiatives sans mon consentement pouvant mettre en périls l’intervention.
    • Si les symptômes disparaissent, ce n’est pas pour autant que la désinfection soit terminée: je t’en aviserais directement, soit patient.

    Après avoir pris reconnaissance des conditions ci-dessus et donner ton accord, tu poursuivras sur cette procédure:

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clic sur Complet

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.

    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    A te relire
    Victor

    Bat_mk
    Participant
    Nombre d'articles : 13

    Bonjour, ;erci bequcoup pour votre reponse.
    Voici le rapport Zhpdiag
    https://antimalware.top/download/hdq750aik995oz4i0dqekm7d31miwbgm0ahwig1h

    Bat_mk
    Participant
    Nombre d'articles : 13

    ERRATUM…
    je suis desole, je n’ai pas execute zhpdiag en tant qu’administrateur, voici le bon rapport:
    https://antimalware.top/download/hdhhiqlno8t8zaq4jxij2zry5qqnntkvvyi7w1b2

    Victor
    Participant
    Nombre d'articles : 551

    Bonsoir Bat_mk,

    Désolé pour le temps d’attente, il a fallu analyser le rapport.

    1) On supprime les restes de l’infections et quelques fichiers inutiles:

    • clic sur “tout sélectionner” puis fait un clic droit dans la zone surlignée en bleu puis sélectionne “copier”
      script zhpfix
      M2 - MFEP: Extension [Zineb - s9cer0zn.default] safepreview@everhelper.me.xpi
      O3 - ToolbarWebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Orphan key
      OPT:O4 - HKLM..Run: [ScrewDrivers RDP Plugin] . (...) -- C:Program Files (x86)triCeratSimplify PrintingScrewDrivers Client v4install_rdp.exe
      OPT:O4 - HKCU..Run: [Akamai NetSession Interface] . (.Akamai Technologies, Inc. - Akamai NetSession Client.) -- C:UsersZinebAppDataLocalAkamainetsession_win.exe
      OPT:O4 - HKCU..Run: [DAEMON Tools Lite] . (.Disc Soft Ltd - DAEMON Tools Lite.) -- C:Program Files (x86)DAEMON Tools LiteDTLite.exe
      OPT:O4 - HKCU..Run: [Autodesk Sync] . (.Autodesk, Inc. - Autodesk 360.) -- C:Program FilesAutodeskAutodesk SyncAdSync.exe
      O17 - HKLMSystemCCSServicesTcpip..{CDDE0EB2-B240-40ED-ACA3-77F36E4F4CC4}: DhcpDomain = setup.com
      O17 - HKLMSystemCS1ServicesTcpip..{CDDE0EB2-B240-40ED-ACA3-77F36E4F4CC4}: DhcpDomain = setup.com
      O18 - Filter: ica [64Bits] - {CFB6322E-CC85-4d1b-82C7-893888A236BC} . (...) --
      [MD5.00000000000000000000000000000000] [APT] [McAfeeLogon] (...) -- C:Program Files (x86)COMMON~1McAfeePlatformMcUICnt.exe (.not file.) [0]
      [MD5.00000000000000000000000000000000] [APT] [SliderModulator] (...) -- c:programdata{818f06d9-310f-3c0f-818f-f06d93101b64}6066669635089980256e.exe (.not file.) [0]
      O39 - APT: SliderModulator - (...) -- C:WindowsTasksSliderModulator.job [360]
      O39 - APT: SliderModulator - (...) -- C:WindowsSystem32TasksSliderModulator [360]
      O45 - LFCP:[MD5.EB380CB68096B1E736D3AD6511236906] - 15/02/2015 - 10:52:22 ---A- - C:WindowsPrefetchBINKILAND.EXE-9F636BCD.pf
      O61 - LFC: 12/06/2015 - 15:04:32 ---A- . (...) -- C:UsersZinebAppDataLocalTempdeleteHealthcheck.bat [52] => Temporary file not necessary
      O61 - LFC: 12/06/2015 - 15:04:59 ---A- . (.Adobe Systems Inc.) -- C:UsersZinebAppDataRoamingMozillaFirefoxProfiless9cer0zn.defaultgmp-eme-adobe11eme-adobe.dll [5916912]
      O61 - LFC: 13/06/2015 - 15:04:32 ---A- . (...) -- C:UsersZinebAppDataLocalTempGURF19F.exe [0]
      O61 - LFC: 16/06/2015 - 15:04:56 ---A- . (...) -- C:UsersZinebAppDataRoamingappdataFr25.bin [24]
      O61 - LFC: 18/06/2015 - 15:04:32 ---A- . (...) -- C:UsersZinebAppDataLocalTempdropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp5advso.dll [43008]
      [MD5.A935B96FCE6BA3B8E3D5B305F3D32DDD] [SPRF][16/06/2015] (...) -- C:UsersZinebAppDataRoamingappdataFr25.bin [24]
      firewallraz
      Shortcutfix
      emptytemp
      emptyflash
      emptyclsid
      emptyprefetch
      hiddenfix
      proxyfix

    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Puis Clic sur “GO

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

    2)Ensuite, effectue cette procédure à la lettre:

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation, le mieux étant jusqu’au prochain redémarrage.
    • Télécharge AdsFix sur ton bureau.

      Note : Enregistrer votre travail avant de continuer !

    • Lance AdsFix ( clic droit “executer en tant qu’administrateur” pour Vista/7/8/8.1 )
    • Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
    • Inscrit ton pays
    • Clique sur Nettoyer , après l’avoir débloqué dans les options

      Note : Patiente le temps du scan

    • Laisse travailler l’outil même s’il te parait bloqué
    • Héberge le rapport C:AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

    Aide:

    A te relire
    Victor

    Bat_mk
    Participant
    Nombre d'articles : 13

    Bonsoir, excusez le delai, le scan d’adsfix etait tres long.
    rapport Zhpfix: https://antimalware.top/download/gib48533rr3nfzl5elnptqmsahobozslbe2zt4pl
    rapport adsfix: https://antimalware.top/download/v3rep1lm07j3z1vw796vmrzzng3k7v9f4neo6jk4
    ( les pop ups et redirections vers d’autres sites sont reapparus just apres le lancecemt de chrome pour vous repondre, apres le scan de adsfix et celui de zhpfix)

    Victor
    Participant
    Nombre d'articles : 551

    Bonjour Bat_mk, :hello:

    1) on réinitialise chrome: (ce logiciel conserve tes favoris et mots de passe)

    Clique sur “démarrer” puis “exécuter”. Inscrit chrome –disable-extensions et valide par “ok” afin d’ouvrir chrome en mode sans échecs.

    • Télécharge sur ton bureau et pas ailleurs, ResetBrowser.exe
    • Exécute le logiciel
    • Lis et accepte les conditions d’utilisation,
    • Clique sur [Réinitialiser chrome] et patiente pendnat le scan.
    • Quand tu lis “chrome est prêt à être utilisé” ferme le logiciel avec la croix

    2) On effectue un diagnostic plus approfondi:

    • Télécharge FRST (de Farbar) sur ton bureau !
    • Ferme toutes les applications en cours !
    • Lance FRST, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche la case Addition.txt
    • Clique sur Scan

    • Une fois le scan terminé rends toi sur le bureau, deux rapports FRST.txt et Addition.txt ont été créés.
    • Héberge les rapports FRST.txt et Addition.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse

    A te relire
    Victor

    Bat_mk
    Participant
    Nombre d'articles : 13

    Bonjour. J’ai reinitialisé chrome et firefox et je n’utilise plus chrome, car cerains modules de securité comme adblock et ghostery ne veulent pas s’y installer, donc là je suis sur firefox avec plusieurs modules anti-popups.
    Voici les rapports de FRST:
    addition : https://antimalware.top/download/t0iok65hwd8iqbi729846hco6unlgx5139hhoh4w
    FRST : https://antimalware.top/download/a9wvmfd3a2583nd17owxu4tmkohjli10rou17eqv

    g3n-h@ckm@ng3n-h@ckm@n
    Keymaster
    Nombre d'articles : 8304

    bonjour , si des instructions sont données , ce n’est pas pour rien , si elles ne sont pas suivies , c’est logique que les outils ne travaillent pas correctement :

    FW : McAfee Firewall Enabled

    je vous laisse continuer bonne journée

    Bat_mk
    Participant
    Nombre d'articles : 13

    J’ai tenté de désactiver McAfee mais je n’ai trouvé que la desactivation du scan en temps reel, en pensant que ça serai suffisant. A quel étape dois-je reprendre la desinfection? Milles excuses pour cette erreur et merci beaucoup de votre patience.

    Victor
    Participant
    Nombre d'articles : 551

    Bonjour Bat_mk,

    Désactive toutes tes protection sécuritaire et effectue cette procédure à la lettre, stp:

    • Appuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape ceci : notepad
    • Clic sur OK

      Note : Le bloc note va s’ouvrir

    • Copie les lignes suivantes :
      start
      CloseProcesses:
      Hosts:
      RemoveProxy:
      EmptyTemp:
      CreateRestorePoint:
      HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://g.uk.msn.com/HPNOT13/2
      URLSearchHook: ATTENTION ==> Default URLSearchHook is missing
      URLSearchHook: ATTENTION ==> Default URLSearchHook is missing
      URLSearchHook: ATTENTION ==> Default URLSearchHook is missing
      SearchScopes: HKLM -> {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/710-29550-11896-25/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
      SearchScopes: HKLM-x32 -> {8134DAD4-C7A7-4FC7-A8DD-65E92853F557} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
      SearchScopes: HKUS-1-5-21-1197670414-2202463582-3615323709-1002 -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
      SearchScopes: HKUS-1-5-21-1197670414-2202463582-3615323709-1002 -> {D944BB61-2E34-4DBF-A683-47E505C587DC} URL =
      SearchScopes: HKUS-1-5-21-1197670414-2202463582-3615323709-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
      SearchScopes: HKUS-1-5-21-1197670414-2202463582-3615323709-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {D944BB61-2E34-4DBF-A683-47E505C587DC} URL =
      S2 0091881434504981mcinstcleanup; C:WINDOWSTEMP09188~1.EXE -cleanup -nolog [X]
      C:WINDOWSTEMP09188~1.EXE -cleanup -nolog
      S3 uxddrv; ??E:wow64uxddrv64.sys [X]
      E:wow64uxddrv64.sys
      DisableService: uxddrv
      2015-06-18 23:11 - 2015-06-18 23:11 - 00094656 _____ (CACE Technologies) C:WINDOWSsystem32WPRO_41_2001woem.tmp
      C:UsersZinebAppDataLocalTempdropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp5p6hv4.dll
      AlternateDataStreams: C:WINDOWSsystem32Driversbtmhsf.sys:Microsoft_Appcompat_ReinstallUpgrade
      AlternateDataStreams: C:UsersZinebSkyDrive:ms-properties
      AlternateDataStreams: C:UsersZinebDownloadsNo Subject.eml:OECustomProperty
      AlternateDataStreams: C:UsersZinebDownloadsRE Welcome to Online Banking.eml:OECustomProperty
      bitsadmin /reset /allusers
      CMD: ipconfig /flushdns
      CMD: netsh winsock reset all
      end

    • Retourne dans le bloc note puis colle les lignes copiées. (clic droit puis “coller”
    • Clic sur Fichier, puis Enregistrer sous …, nomme le fixlist.txt et enregistre le sur ton bureau !
    • Rends toi sur le bureau, Lance FRST, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clic sur Fix

      Note : Patiente le temps de la suppression

    • Une fois le scan terminé rends toi sur le bureau, deux rapports Fixlog.txt a été créé.
    • Héberge le rapport Fixlog.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse

    A te relire
    Victor

    Bat_mk
    Participant
    Nombre d'articles : 13
    Victor
    Participant
    Nombre d'articles : 551

    Bonjour Bat-mk, :hello:

    Juste une petite erreur de ma part lors de la conception du script: :triste:

    1) Relance la même procédure avec ce correctif:

    Désactive toutes tes protection sécuritaire et effectue cette procédure à la lettre, stp:

    • Appuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape ceci : notepad
    • Clic sur OK

      Note : Le bloc note va s’ouvrir

    • Copie les lignes suivantes :
      start
      CloseProcesses:
      CMD: bitsadmin /reset /allusers
      end

    • Retourne dans le bloc note puis colle les lignes copiées. (clic droit puis “coller”
    • Clic sur Fichier, puis Enregistrer sous …, nomme le fixlist.txt et enregistre le sur ton bureau !
    • Rends toi sur le bureau, Lance FRST, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clic sur Fix

      Note : Patiente le temps de la suppression

    • Une fois le scan terminé rends toi sur le bureau, deux rapports Fixlog.txt a été créé.
    • Héberge le rapport Fixlog.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse

    2) Effectue cette procédure et indique moi comment se comporte ton PC:

    • Télécharge Junkware Removal Tool (de thisisu) sur ton bureau et pas ailleurs.
    • Lance Junkware Removal Tool, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Appuie sur n’importe quelle touche pour lancer la procédure et ne touche plus à rien jusqu’à la fin du scan.

    • Une fois le scan terminé rends toi sur le bureau, le fichier JRT.txt à été créé.
    • Héberge le rapport JRT.txt surSosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    A te relire
    Victor

    Bat_mk
    Participant
    Nombre d'articles : 13
    Bat_mk
    Participant
    Nombre d'articles : 13

    Pour le comportement du pc, j’ai tenté plusieurs procédures qui avaient pour habitude de déclancher les pop ups et redirection vers des sites douteux en desactivant tout mes modules anti pop ups sur firefox. Résultat: aucun pop up!! Le pc n’est-il plus infecté? Merci beaucoup pour votre aide!! Comment puis-je améliorer au mieux ma protection pour eviter des infections futures?

15 sujets de 1 à 15 (sur un total de 22)
  • Vous devez être connecté pour répondre à ce sujet.