firefox, nettoyer ou oublier ? Résolu/Fermé

Question

Bonjour, 
je ne sais pas si c'est quelque chose sur le PC ou plus spécialement via ' firefox' mais j'ai quand même un doute ... au niveau des mots de passe enregistrés et autres  ... comme si tout était copié ailleurs ... en direct ^^ virus, trojan ou addon ???
que faire ?
@+


Configuration: windows xp et vista FF et parfois IE ;)

Bridget. · Accepted Answer

Bonjour BG62,  

Tu es suivi mais ce que tu ne comprends pas, c'est que nous travaillons dans la journée et que sur CCM, nous sommes bénévoles donc nous faisons ça durant nos loisirs. Là, pendant midi, je suis en train de faire ton correctif en mangeant un sandwich, mais j'ai aussi une vingtaine d'autres personnes et tout cela prend du temps : éplucher les rapports, vérifier tout, faire des correctifs personnalisés, répondre aux questions. Si ton pc était chez le technicien, tu ne le reverrais pas durant plusieurs jours et ce ne serait pas gratuit. Donc un peu de patience. 
Merci pour nous.

Bridget. · Answer

Bonjour Bg62,

On va faire un bilan de ton pc. Télécharge ZHPDiag ici :  
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/  

- Comme emplacement d'installation, choisis : Bureau  
- Laisse toi guider lors de l'installation,  
coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"  
Tu verras 3 nouvelles icônes sur ton bureau : ZHPDiag, ZHPFix et MBRcheck.  
- Sous Windows 7, lance ZHPDiag par clic droit sur l'cône et choisis "Exécuter en tant qu'administrateur".  

- ZHPDiag s'ouvre : Si la fenêtre est trop large, réduis-la pour voir tous les boutons.  
- Clique sur celui avec la flèche verte à droite, pour mettre ZHPDiag à jour.  
- Puis clique sur celui représentant une loupe à gauche pour "Lancer le diagnostic".  
- S'il t'est demandé de désactiver l'UAC, fais-le.  
- Laisse l'examen se dérouler. Un message prévient quand c'est terminé.  
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
- Héberge le rapport ZHPDiag.txt sur le site : http://pjjoint.malekal.com  

Comment faire :?  
Rends toi sur http://pjjoint.malekal.com  
* Clique sur le bouton "Parcourir"  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est par ex : https://pjjoint.malekal.com/files.php?id=df5ea299241015  
* Copie ce lien et colle-le dans ta réponse.  

Si quelquechose n'est pas clair, n'hésite pas à demander :)
Cordialement Bridget.

bg62 · Answer

ok voilà :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121113_h149f14c12g13
@+

Bridget. · Answer

Fais déjà ceci :
Télécharge ADWCleaner ici : 
https://toolslib.net 
- Comme emplacement d'installation, choisis : Bureau. 
- Clique droit sur l'icône et choisis "Exécuter en tant qu'administrateur". 
- Le fichier apparait : clique sur "Exécuter" 
- L'utilitaire s'ouvre : choisis le mode "Suppression". 
- Un rapport sera généré. 
- Tu le trouves en faisant : Démarrer /poste de travail / disque dur c 
:- Héberge le rapport sur https://www.cjoint.com/ 
- Un lien sera créé. Copie-le et colle-le dans ta prochaine réponse. 

NB : Si tu as déjà ADWCleaner sur ton pc, ouvre-le et clique sur désinstaller, 
puis télécharge la dernière version car l'outil évolue sans cesse en fonction des nouvelles menaces, il est donc inutile de le conserver .] 

@+

bg62 · Answer

voilà :
http://cjoint.com/12nv/BKnrqaq3Cq3.htm
;)

Bridget. · Answer

Ouvre-MBAM par double clic droit et avec les droits d'administrateur.    
- Mets les bases virales à jour.    
- Ferme tous tes programmes et navigateurs.    
- Clique sur "Recherche" et choisis "Examen rapide".    
- En fin de scan, affiche les résultats.    
- Si l'outil a trouvé des menaces, vérifie que tout est bien coché, puis supprime-les.    
- Récupère le rapport dans l'onglet "Rapports et logs".   
- Héberge-le sur http;//pjjoint.malekal.com et colle le lien dans ta réponse.  

En plus du webguard d'Avira, tu as McAfee Site Advisor et WOT ?  Tu te sers de tout ou McAfee s'est installé au cours d'un téléchargement ?
Tu te sers de Yahoo, de Bingbar ? 
Ebay, Amazon ?
Debugbar ? Clickstart ?

Bridget. · Answer

Parfait. 
Quel est le comportement du pc maintenant ?
Toujours les problèmes que tu mentionais au début ? 
Donne-moi  également les réponses aux questions posées plus haut. 
Puis refais-moi un zhpdiag. 
As-vu le message ? 
@+

bg62 · Answer

voilà, fait :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121113_v15q14z6t7n6

Bridget. · Answer

Ok je regarde ça ce soir. J'ai répondu à ton mp.
Bonne soirée.

bg62 · Answer

hello ;) il y a qq ?

Bruce Willix · Answer

Y'a moi :) Tu fais un topo de là ou tu en es et de ce qui a été fait (j'étais po dans vos MP moi) ?

Bruce Willix · Answer

Bon, visiblement on s'égare ici. 

@bg62: Visiblement ton PC est infecté par des spywares/adwares (ces logiciels ennuyeux qui ralentissent ton pc, transmettent des infos sur toi à plein de gens etc...). Tu as également plein de barres d'outils inutiles installées. Que faire pour prévenir ça: 

1. Installer un Nettoyeur correct. CCleaner convient parfaitement. A passer régulièrement, tant au niveau des fichiers (nettoyage de la corbeille, des fragment orphelins, etc...) que de la base de registre. Ne pas hésiter non plus à regarder l'onglet "démarrage" de CCleaner, pour empêcher les programmes dont on ne veut pas de démarrer en même temps que Windows. A passer régulièrement - genre une fois par mois. 

2. Installer un Adware, soit un logiciel antipub. Chacun a un peu ses préférences sur le forum. Bridget te propose MBAM, rapide te propose Spybot, mais c'est un peu kif kif. Puisque la majorité des forumistes utilise MBAM, on va parler de celui la. Ces logiciels vont enlever les programmes, mais aussi les clés de registre ad-hoc. N'installes PAS leurs barre d'outils si ils te le demandent. 

3. Avoir un antivirus a jour. Choisir un gratuit, ils sont très bons. Ne pas hésitez à demander un scan au démarrage de temps en temps, juste pour être sur. 

De façon générale, ne pas installer les barres d'outils. Le plupart se désinstalle cependant aisément via le "Ajout/suppression de programmes" du panneau de configuration...

Et puisque tu utilises des keygen (pââââ bien), fais super attention en les lançant: ce sont de véritables nids à Trojans (tant le keygen que le programme "adapté"). A lancer de préférence dans le sandbox, ou sur un session virtualisée.
  
Remember remember the fifth of November 
Gunpowder, treason and plot. 
I see no reason why gunpowder, treason 
Should ever be forgot...

Bridget. · Answer

- "no soucis ... juste je me demandais ce qui se passe sur ce fil ....       
donc .... j'attends ..."       

Pas plus sur ce fil qu'ailleurs. Nous faisons en fonction de nos possibilités.       
De plus, tu as, sur ton pc, près de 350 logiciels ! Comment veux-tu vérifier tout ce bric à brac en quelques minutes. On fait tout à la main, ce n'est pas un robot qui nous sort la solution ... Un conseil : Fais le ménage dans tes logiciels et évite de télécharger des gratuiciels sur Softonic.       

A L'ATTENTION DE CEUX QUI PASSENT SUR LE THREAD :   
Le correctif ci-dessous n'est valable que pour la désinfection présente.    
Ne l'utilisez pas, même si votre cas semble être le même.   


Copie les lignes en gras ci-dessous entre les 2 barres.       
Ces barres ne font pas partie du correctif.       
Veille à bien copier tout le texte sans rien omettre.       
Sélectionne-le, puis clique droit dessus et choisis "Copier".       

_________________________________________________________     


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified       
O3 - Toolbar: (no name) - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (...) -- (.not file.)       
R3 - URLSearchHook: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Code Systems Corp. - Xenocode ClickStart 2.13.) (No version) -- (.not file.)       
O9 - Extra button: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} . (.Pas de propriétaire - WinHTTrackIEBar Module.) -- C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll       
MD5.00000000000000000000000000000000] [APT] [{76A7A3E0-A2DC-4AD9-A4E8-9FF7BE15B0CC}] (...) -- E:\winrar370_fr\keygen.exe (.not file.)       
O42 - Logiciel: WinHTTrack Website Copier 3.43-3 - (.HTTrack.) [HKLM] -- WinHTTrack Website Copier_is1       
[HKCU\Software\WinHTTrack Website Copier]       
[HKLM\Software\WinHTTrack Website Copier]       
O43 - CFD : 14/03/2009 - 17:15:55 - [10,226] ----D C:\Program Files\WinHTTrack       
O42 - Logiciel: Java(TM) 6 Update 31 - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216031FF}       
O42 - Logiciel: Java(TM) 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}       
O42 - Logiciel: SweetIM for Messenger 3.7 - (.SweetIM Technologies Ltd..) [HKLM] -- {7683B745-6060-41FD-AA75-0BBB383FEAD4}       
O42 - Logiciel: pdfforge Toolbar v1.0 - (.GreenTree Applications, Inc..) [HKLM] -- {B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}       
[HKCU\Software\Symantec]       
[HKCU\Software\TuneUp]       
[HKCU\Software\YahooPartnerToolbar]       
[HKLM\Software\Malwarebytes' Anti-Malware (Trial)]       
[HKLM\Software\Symantec]       
[HKLM\Software\TuneUp]       
O43 - CFD: 26/10/2010 - 06:44:48 - [0,953] ----D C:\Program Files\Bing Bar Installer       
O43 - CFD: 04/09/2012 - 18:04:22 - [0] ----D C:\Program Files\UnHackMe       
O43 - CFD: 22/11/2008 - 19:12:35 - [0,007] ----D C:\ProgramData\BullGuard       
O43 - CFD: 09/05/2012 - 16:37:23 - [0,229] ----D C:\ProgramData\Spybot - Search & Destroy       
O43 - CFD: 27/03/2009 - 14:44:18 - [0] ----D C:\ProgramData\SUPERAntiSpyware.com       
O43 - CFD: 26/12/2008 - 21:06:42 - [0] ----D C:\ProgramData\Symantec       
O43 - CFD: 12/02/2010 - 10:01:05 - [0,205] ----D C:\ProgramData\TuneUp Software       
O43 - CFD: 17/12/2008 - 15:11:17 - [0,000] ----D C:\Users\bg\AppData\Roaming\Symantec       
O43 - CFD: 01/12/2008 - 20:17:29 - [0,395] ----D C:\Users\bg\AppData\Roaming\TuneUp Software       
O43 - CFD: 17/12/2008 - 15:11:17 - [0,002] ----D C:\Users\bg\AppData\Local\Symantec_Corporation       
O44 - LFC:[MD5.CC337E3C2EFE348666F6BD90884F06BF] - 13/11/2012 - 17:10:09 ---A- . (...) -- C:\AdwCleaner[S1].txt [7833]       
O53 - SMSR:HKLM\...\startupreg\uTorrent [Key] . (...) -- C:\Program Files\uTorrent\uTorrent.exe (.not file.)       
[HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] =>PUP.Dealio       
FirewallRAZ       
EmptyTemp       
EmptyFlash       

___________________________________________________________ -       


Ouvre ensuite ZHPFix par clic droit sur l'icône en forme de seringue qui se trouve sur ton bureau et choisis "Exécuter en tant qu'administrateur".       

- Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".       

- Les lignes que tu as copiées précédemment doivent apparaître dans l'encadré.       
- Vérifie bien que toutes les lignes que je t'ai demandées de copier (et seulement elles) sont dans la fenêtre.       

- Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.       

- Une fois terminé, copie-colle le rapport dans ton prochain message.       

IMPORTANT : Vérifie ton pc et note son comportement dans ta réponse.      
      

@+ Cordialement. Bridget.      
.

Bridget. · Answer

- Tu ne m'as pas indiquer le comportement de ton pc. 

- Supprime ce dossier :   E:\winrar370_fr\keygen.exe 

-  Une fois le dossier supprimé, refais un zhodiag pour contrôle final. 

-  Pour reprendre ton premier post à savoir : 

"Je ne sais pas si c'est quelque chose sur le PC ou plus spécialement via ' firefox' mais j'ai quand même un doute ... au niveau des mots de passe enregistrés et autres ... comme si tout était copié ailleurs ... en direct ^^ virus, trojan ou addon ???  que faire ? " 

Peux-tu être plus précis et dire ce que tu as constaté. 
Te sens -tu tranquilisé à ce sujet ? 

J'attends tes réponses. @° Bridget.

Utilisateur anonyme · Answer

bonjour,

pas de panique,

explique ce qui se passe, et mets moi un nouveau zhpdiag s'il te plait,,

Utilisateur anonyme · Answer

ok,

pas de panique, Bridget doit travailler, je prends la suite pout avancer  :-)

j'ai lu le poste depuis le début, mais j'ai rien compris, trop de postes (en commentaires) et trop d'intervenants !




ton pc est sous vista,

relance Zhpdiag, 

/!\Utilisateur de Vista et Seven : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Utilisateur anonyme · Answer

pour recevoir les réponses par mai, coche la petite case, en bas de ton poste, à côté valider  :D



tu as deux antivirus sur le pc :

comodo, et Bitdefnder

un restant de Macafric aussi ! => je le vire !

il faut en conserver un seul !

l'autre sera à désinstaller






*	Lance ZHPFix via le raccourci sur ton Bureau

ouvre ce document et fais un copier coller de la totalité du contenu, dans la fenêtre de zhpfix :


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O43 - CFD: 16/11/2012 - 18:40:35 - [0,001] ----D C:\Users\bg\AppData\Roaming\pdfforge    
[HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]    
C:\Users\bg\AppData\Roaming\pdfforge   
O23 - Service: McAfee SiteAdvisor Service (McAfee SiteAdvisor Service) . (.McAfee, Inc. - SiteAdvisor.) - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
SS - | Auto 23/10/2012 95232 |  (McAfee SiteAdvisor Service) . (.McAfee, Inc..) - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
[HKLM\Software\Eset]    
[HKLM\Software\Panda Software]    
O43 - CFD: 06/02/2010 - 07:09:41 - [0] ----D C:\Program Files\Panda Security    
O43 - CFD: 04/09/2012 - 17:57:49 - [0] ----D C:\ProgramData\RegRun  
O42 - Logiciel: McAfee SiteAdvisor - (.McAfee, Inc..) [HKLM] -- {35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}
[MD5.00000000000000000000000000000000] [APT] [{76A7A3E0-A2DC-4AD9-A4E8-9FF7BE15B0CC}] (...) -- E:\winrar370_fr\keygen.exe (.not file.)    
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline    
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
O44 - LFC:[MD5.AF5D27AE424C0AA992A62B5E3661B0EE] - 07/11/2012 - 17:07:18 ---A- . (...) -- C:	emp.log   [1184]    
M3 - MFPP: Plugins - [bg] -- C:\Program Files\Mozilla FireFox\searchplugins\McSiteAdvisor.xml    
O18 - Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} . (.McAfee, Inc. - SiteAdvisor.) -- C:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll
Emptytemp
EmptyClsid
 

---------------------------------------------------------- 
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

Bridget. · Answer

Salut Electricien :)      

"pas de panique, Bridget doit travailler, je prends la suite pout avancer :-) "      
Eh oui, je travaille quand même un peu...beaucoup. Les 35 heures, connais pas....      
Et c'est sans compter celles sur CCM :)      

Peut-être arriveras-tu à tranquiliser notre ami Bg62 qui est en effet paniqué à  l'idée d'une attaque "d'aliens" sur ses mots de passe :) --> "au niveau de mes mots de passe enregistrés et autres ...[c'est] comme si tout était copié ailleurs ... en direct"      

Je l'ai déjà rassuré mais il est toujours inquiet et comme tu l'as souligné, "trop d'intervenants et de commentaires" ont interféré dans la désinfection mais Bg62 a eu le discernement de ne suivre qu'un seul fil conducteur.      

Il  lui reste à virer  le dossier pdfforge  en suivant ce chemin :      
C:\Users\bg\AppData\Roaming\pdfforge       
et je lui conseillerais de réinitialiser firefox.      

Comme je lui ai déjà demandé, j'aimerais qu'il explique avec précision ce qu'il entend  "par copiés en direct".  S'il a des soupçons concernant ses mots de passe, qu'il les change déjà, en choisisant des mots de passe composés de différentes sortes de caractères. Cela retardera, un peu, les pirates et en tous cas seront plus  difficiles à trouver par des proches qui sont souvent les plus à même de venir faire un tour sur le pc si le mot de passe est le nom du chien.  Comme firewall, il a déjà Comodo en mode "parano" si j'ai bien compris. L'idéal est quand même d'éviter de le devenir tout en restant prudent.... Il existe aussi des antivirus possèdant un coffre-fort pour mots de passe comme Kaspersky Pure. 

Si tu vois autre chose ?       

Salut Bg62, en mon absence, n'hésite pas à suivre les conseils d'Electricien :)    

@+ Bridget

Utilisateur anonyme · Answer

si tu regardes, il y a des plugin aussi qui retardent la recherche et l'ouverture de FF !

il y a trop de lignes O18 en plus !


je n'y touche pas, c'est son choix  ;-)

Utilisateur anonyme · Answer

c'est à lui de faire le tri, on ne peut pas le faire à sa place  ;-)

bg62 · Answer

re ...  à tous ... et grand merci pour tout ça  ... 
je répondrai à chacun pus en détails après ... 
Si je puis me permettre, bg62 pourra confirmer, ce n'est pas tant la lenteur qui l'inquiète mais l'impression que quelqu'un trouve rapidement ses mots de passe sur ses comptes même après qu'il les ait changé, l'impression désagréable, donc, d'avoir un keylogger dans le système. Je me trompe bg62 ? Faudrait confirmer ou infirmer pour qu'on s'attaque aux problèmes dans le bon ordre.   
c'est effectivement ce que je pense ... ne pas trouver, bien que le doute est assez fort  ... ^^ 
j'essaie donc d'éliminer toutes les possibilités d'infection 
avec plusieurs plugins 
là j'ai changé d'antivirus pour scanner d'une autre manière 
j'ai mis comodo en mode 'parano' ... oui .... ;) 
même changé de box !!!! (faut le faire .... ) et c'est aussi ce qui me coince  un peu car pas tout fini au niveau installation donc connexions moins fréquentes  ... là je vais ensuite couper de nouveau après le 'rapport' 
je nettoie également le pc en supprimant un max de dossiers, fichiers, programmes pour 'faire de la place' 
j'ai aussi mis à jour les principaux programme à partir de fillehippo ... 
etc etc etc .... 

le principal étant de réussir à faire cette désinfection au maximum pour être sur que la bête est saine .... 

j'ai lancé le script, j'ai eu ce message : 
redemarrer windows pour confirmer le nettoyage ....
mais j'avais enregistré le rapport avant car je ne sais pas le retrouver  .... 
le voici (il y a le chemin en bas ^^  tant pis ) : 
Rapport de ZHPFix 1.3.06 par Nicolas Coolman, Update du 09/11/2012 
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-17-11-2012-17-43-44.txt 
Run by bg at 17/11/2012 17:43:40 
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002) 



========== Logiciel(s) ========== 
ABSENT Uninstall Process: c:\program files\mcafee\siteadvisor\uninstall.exe 

========== Clé(s) du Registre ========== 
ERREUR Key****: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} 
ERREUR Key****: Service: McAfee SiteAdvisor Service 
ERREUR Key****: HKLM\Software\Eset 
ERREUR Key****: HKLM\Software\Panda Software 

========== Valeur(s) du Registre ========== 
ERREUR RunValue: AdobeBridge 

========== Elément(s) de donnée du Registre ========== 
ERREUR CLSID PAPP: {5513F07E-936B-4E52-9B00-067394E91CC5} 

========== Dossier(s) ========== 

========== Fichier(s) ========== 
ABSENT Folder/File: c:\users\bg\appdataoaming\pdfforge 
SUPPRIME Reboot c:\program files\mcafee\siteadvisor\mcsacore.exe 
SUPPRIME File: c:	emp.log 
SUPPRIME Reboot c:\program files\mozilla firefox\searchplugins\mcsiteadvisor.xml 
SUPPRIME Reboot c:\program files\mcafee\siteadvisor\mcieplg.dll 
SUPPRIME Temporaires Windows: 

========== Tache planifiée ========== 
ABSENT Task: {76A7A3E0-A2DC-4AD9-A4E8-9FF7BE15B0CC} 


========== Récapitulatif ========== 
4 : Clé(s) du Registre 
1 : Valeur(s) du Registre 
1 : Elément(s) de donnée du Registre 
6 : Fichier(s) 
1 : Logiciel(s) 
1 : Tache planifiée 


End of clean in 00mn 12s 

========== Chemin de fichier rapport ========== 
C:\ZHP\ZHPFix[R1].txt - 15/11/2012 19:14:35 [3598] 
C:\ZHP\ZHPFix[R2].txt - 17/11/2012 17:43:40 [1592]
@+ 

  
le 'www' est fait aussi pour communiquer, partager et échanger, non ? 
merci d'avoir la politesse de répondre à ceux qui essaient de vous aider

Utilisateur anonyme · Answer

confirme moi la désinstallation de l'un de tes antivirus !

il faut en garder un seul

enregistre seulement tes marques pages de firefox !


désinstalle le,

vire son répertoire manuellement de ton pc,


réinstalle le

Utilisateur anonyme · Answer

sur Comodo, tu as l'antivirus et le parfeu actif !

ou tu conserves Bitdefender, ou comodo avec l'antivirus et le parfeu !


tu peux désinstaller Buddy geek de Comodo si tu le veux, le service est payant !




pour FF :

https://www.commentcamarche.net/applis-sites/applications/25039-exporter-et-importer-des-favoris-dans-firefox/

bg62 · Answer

ok je vais désinstaller comodo et conserver bitdefender (qui va tourner toute la soirèe ... ) 
je supprime firefox complétement ensuite
et je repasse demain matin ...
si tu as des choses à me faire faire vas-y je prendrai note ... je me déconnecte jusque là ...
encore grand merci et @+

Utilisateur anonyme · Answer

si demain, tu as encore des problèmes de mots de passe piratés, on emploie des grands moyens  :D


sauvegarde seulement tes données sur un autre support que ton disque dur  :D


@ ++

bg62 · Answer

salut ;)
je me reconnecte à l'instant 
- tout scanner, nettoyé et renettoyé avec bitdefender qui a trouvé qq 'bricoles' ...
- désintallé une foule de progs pour faire un peu de tri ...
- etc etc etc  ... enfin tout ce que peux faire moi-même ...
pour ce que tu me dis:
si demain, tu as encore des problèmes de mots de passe piratés, on emploie des grands moyens :D 
sauvegarde seulement tes données sur un autre support que ton disque dur :D
- ça je ne sais pas si c'est déjà arrivé aujourd'hui ... encore  ... mais le site 'web' est actuellement HS ... sans que je ne puisse avoir fait quoique ce soit ...
- sauvegarder : 'de manière à tout récupérer facilement ...' ça non plus je ne sais pas faire à coup "sur"  ...  tu m'inqiètes là ... ;)
- je vais réinstaller firefox 'simple' en attendant ...
@+ 
ps : @Claude Lachande  : sadique va !!(  ;)  )

Utilisateur anonyme · Answer

bonjour,

vu tes infections à répetition, on va employer la manière forte !

passe MBAR :


https://forums.commentcamarche.net/forum/affich-26493534-malwarebytes-anti-rootkit-dite-mbar#p26496848

tout beau, tout frais  ;-)

envoie les rapports via cjoint  :D

bg62 · Answer

ok , j'avais vu ce lien ce matin ;)
c'est parti ...  @+

Utilisateur anonyme · Answer

s'il y a une activité Rootkit, il le trouvera  ;-)

bg62 · Answer

voilà :
https://www.cjoint.com/?BKspOPs3uba
https://www.cjoint.com/?BKspPGIzZPE 

apparemment rien  ...  ^^
comprends pas, mais c'est toi le spécialiste ;)
@+

Utilisateur anonyme · Answer

tu as zappé un des rapports :

tu as hébérgé le même 2 fois  :P

bg62 · Answer

désolé !!!
https://www.cjoint.com/?BKsp3tcJ4bJ 
https://www.cjoint.com/?BKsp4h7UDi1
revoilà

Utilisateur anonyme · Answer

super,

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard  

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de Combofix.txt dans ton prochain message.

bg62 · Answer

pas réussi ^^^ 
- au téléchargement, sur les 2 liens : alertes bitdefender !!! = j'ai autorisé 
- j'ai tout fermé, désactivé toutes les options de bitdefender et lancé le programme (administrateur) 
- des alertes quand mêmes de bitdefender = autorisé + poussé plus loin son 'paramétrage' mais impossible de l'arrêter, même au travers du gestionnaire de tâches ... 
- finalement : fenêtre 'dos' avec les avertissements '10 mn ou plus ...) 
- il est allé jusque etape_58 
- ensuite :  
suppression de fichiers: 
.... 
(5 fichiers) 
supresssion de dossiers : 
suppression de c:\Windows\XSxS 
... et là ... plus d'une heure ... et plus rien de rien ... même pas de connexion wwifi possible . 
que sa fenêtre et celle de bitdefender même plus de 'bureau' ... 
ensuite ... hop ... bloqué de chez bloqué ... 
j'ai lancé le gestionnaire tâches et fait 'écuter' "explorer.exe" pour revenir, il  a fallu que je réinitialise la box pour me reconnecter et venir ici ... 
??? 
que fait-on dans ce cas ... 

@+  
  
le 'www' est fait aussi pour communiquer, partager et échanger, non ? 
merci d'avoir la politesse de répondre à ceux qui essaient de vous aider

Utilisateur anonyme · Answer

bah, il va falloire désinstaller Bitedefender !

Claude Lachance · Answer

Salut  

Je ne vais pas prendre la place d'Électricien qui connait ça mil fois plus que moi mais je te suggère une solution alternative, perfectible bien sûr, qui implique un peu de matériel si tu veux garder les documents qui sont dans ton ordinateur sans contaminer ta prochaine installation.   

 Vas te créer un live-cd ou une live clef usb Linux sur un ordinateur sain.  Trouve un cd d'installation de Windows adéquat en t'assurant que tu as encore la clef d'installation.  Procure toi une unité de stockage assez grosse pour sauvegarder tous tes documents.  Télécharge et ranges-y un antivirus convenable (rien d'autres, trop étant comme pas assez); perso je te suggère simplement Antivir.  

  Démarre ton pc sur ledit live-cd.  Installe un antivirus LInux, comme celui d'Avast.  Transfère tous tes document sur ton unité de stockage externe.  Teste bien tous ce que tu souhaites garder avec ton antivirus en mode parano au besoin.  Si tu as encore des doutes, scanne aussi ton disque externe avec un antivirus en ligne compatible linux : http://www.antivirus-enligne.com/tag/linux/.  Ne perds pas de temps à scanner ton disque système mais scanne toutes les unités de stockage qui ont été saluer ta machine depuis que tu as des problèmes.  Enfin, vérifie le pare-feu physique de ton routeur.  Ferme tous les ports qui doivent l'être.  

Une fois cela fait et les unités externes toutes déconnectées, fais un formatage normal et une réinstallation de Windows avec le DVD d'installation que tu as eu la bonne idée de créer comme on le suggère partout au moment où tu as eu ton ordinateur (à moins que tu aies un vrai CD Windows ou un disque d'installation fourni par le constructeur) et il n'y a plus de raison pour que tu aies des soucis.  A priori, j'ai vraiment l'impression que tu gagnerais du temps et une conscience tranquille.  

Cordialement ! 

p.s. : je sais, je ne devrais pas m'en mêler et je ne le ferai plus, promis.  :-)

p.p.s : si tu choisis cette solution, avise les helpers ici pour qu'ils ne perdent pas de temps à te concocter une réponse.  Merci !

Bridget. · Answer

Salut,


c:\windows\XSxS
File created by browser hijacker from goingonearth.com.

Other files created by goingonearth.com

c:\documents and settings\All Users\Application Data\mazuki.dll
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\[username]\Application Data\.#
c:\windows\system\BCBSMP35.BPL
c:\windows\system32\sstray.exe

Ce sont ces fichiers-là que tu as vus ?

Utilisateur anonyme · Answer

désinstalle tous les antivirus et parfeux, autres que celui de windows que tu trouves sur le pc, 

relance Combofix ! 



  
  
O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø  
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

Utilisateur anonyme · Answer

on verra, @ ++

bg62 · Answer

là c'est passé, je vais ré-installer antivir ;)
bon courage pour ce rapport, encore grand merci et à ...  +
	https://www.cjoint.com/?BKsvUwsc626

Utilisateur anonyme · Answer

attention, tu as eu Malware QQ Soft Multi Screen.Spy ! 

d'ou la perte de mot de passe, sois attentif aux logiciels que tu télécharges ou tu installes !!! 







* /!\AVERTISSEMENT : 
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc. 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard   
  
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau  

http://general-changelog-team.fr/fr/outils/67-otm 


* Double-clique sur OTMoveIt.exe pour le lancer.  
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur » 

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.  


:processes  
explorer.exe  



:reg 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32]   
:files  
c:\windows\winstart.bat     
c:\program files\pdfforge toolbar 

:Commands  
[emptytemp]  
[purity]  
[start explorer]  
[Reboot]  

# clique sur MoveIt! pour lancer la suppression.  

# Le résultat apparaitra dans le cadre "Results".  

# Clique sur Exit pour fermer.  

# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.  

# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.  





  
  
O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø  
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

Utilisateur anonyme · Answer

poste ce fichier, on verra ce qu'il y a dedans :

*.log dans C:\_OTM\MovedFiles 


pour le fichier, on t'a piégé !

le fichier que tu as pris était en réalité une sorte de keylogger !

d'ou la perte de mot de passe et tes infections à répétition !!!


celui ou celle qui te les laisse veut tout savoir !

donc évite de les pre,dre même par curiosité la prochaine fois !

Utilisateur anonyme · Answer

tu as lancé OTM combien de fois ?

Utilisateur anonyme · Answer

ok,

refais un nouveau passage de combofix :

attention, il va fallaoire désactiver voir désinstaller ton antivirus !

Utilisateur anonyme · Answer

bon, à par un logiciel qui se charge au démarrage (MyWinLocker 3, un logiciel de cryptage des données personnelles avec un mot de passe,,ionstallé par défaut sur les pc vista de chez Acer !), rien de chelou !


est ce que le pc fonctionne normalement et correctement  ?

Utilisateur anonyme · Answer

pour la lenteur de firefix, désactive tous les modules complémentaires !


la navigation sera plus fluide  :D


pour le reste, j'attends ton retours pour términer le nettoyage  :D

Utilisateur anonyme · Answer

pas de soucis, pour le répertoire créé, il faut voir dans les paramètres de Firefox !

Utilisateur anonyme · Answer

alors ?

on términe ou pas ?

Utilisateur anonyme · Answer

on érmien le nettoyage, mais si tu vois que tes problèmes percistent, opte pour une reformaage et une réinstallation du système, Sauvegarde seulemement tes données, pas de logiciels, ni de fichiers avec extention .exe, dll etc etc !



ainsi, on lance la suite et fin :



	/!\ Attention : 

==> Oublie les Keygen et Cr@ck si tu t'en sers !



==> de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.

==> De plus de ceci, évite fortement les sites comme 01@net et Softonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils !




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 



* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus 


  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.zebulon.fr/telechargements/utilitaires/nettoyeurs/ccleaner.html

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

Pour Vista 
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US



 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

bg62 · Answer

salut ;)
- première partie :
# DelFix v6.2 - Rapport créé le 21/11/2012 à 07:14:58
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : bg - PC-DE-BG
# Exécuté depuis : C:\Users\bg\desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\_OTM
Supprimé : C:\Combofix
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\Users\bg\Desktop\ComboFix.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S2].txt - [1267 octets] - [21/11/2012 07:14:58]

########## EOF - C:\DelFix[S2].txt - [1391 octets] ##########

Utilisateur anonyme · Answer

super,

pense bien de désinstaller MBAR !


que dit ton antivirus ?

Utilisateur anonyme · Answer

il détecte quoi exactement ?

Nod32 ?

Utilisateur anonyme · Answer

désinstalle les tous depuis le panneau de configuartion !

conserve un seul antivirus !


ne sois pas parano  :mdr:

Utilisateur anonyme · Answer

plus ça va, plus je pense à ceci que je t'ai noté un peu plus haut :


...., si tu vois que tes problèmes percistent, opte pour un reformatage et une réinstallation compléte du système, 

Sauvegarde seulemement tes données, pas de logiciels, ni de fichiers avec extention .exe, dll etc etc !  


je pense qu'il ne reste plus que ça pour partire sur une base saine et que ton pc tourne nikel  :D

Utilisateur anonyme · Answer

vu l'état actuel des choses, il vaut mieu partire sur un système propre que de se contecter d'avoir un pc qui ne fonctionne qu'à moitié  :D

Utilisateur anonyme · Answer

je en vois rien d'infectieux et visible sur tes rapports, donc pour moi, c'est tout bon,

reste à remettre ton système en état  :D

mais encore uen fois je me le répete : attention à l'utilisation de kegene et Cie !

il aut prendre le temps qu'il faut et repartire sur uen bonne base  ;D

tiens moi au courant quand tu t'y mets  ;-)

@ ++

Utilisateur anonyme · Answer

si le pc fonctionne correctement, pas besoin de tout résinstaller, mais à toi de voir  :D


defraggler => tu peux le désinstaller  :D

Utilisateur anonyme · Answer

sache que plus tu donnes des taches et des logiciels au démarrage de windows, plus il rame  :D

Utilisateur anonyme · Answer

vas dans le gestionnaire des tâches, regarde ce qui te mange plus de ressources !

Utilisateur anonyme · Answer

je ne comprends pas :

Flash player en double !

Avira one access qui te pompe à mort

puis Firefox qui s'y mets !



pas étonnant que tu as 50 % de mémoire phisique prise !

Utilisateur anonyme · Answer

quelle est la version d'avira que tu utilises ?

désinstalle Firefox ! utilise pendant une période d'essais IE 9 !


pour flash player, je parie qu'il est utilisé par un truc de firefox !

Utilisateur anonyme · Answer

oui,

on verra le changement

Utilisateur anonyme · Answer

vire le défragmenteur du disque,

pour faire un essai, si tu utilises un fond d'ecran en Aéro, change le !


tu as quoi comme taches planifiées à par défragmenteur du disque  ?

Utilisateur anonyme · Answer

pourtant, une tâche planifiée de defragger est sur ton pc, en cours d'execution !

je pense que la meilleur chose seait de réinstaller ton pc, quand tu auras le temps  :D

Utilisateur anonyme · Answer

tu prends le temps qu'il faut, on verra le résultat après, attention si tu as un pc de marque, passe par la partition Recovery  :D

Utilisateur anonyme · Answer

tu as un pc de marque je suppose,

depuis 2007 ou 2008, les fabricants, au lieu de donner des cd d'installation des pc, ils ont intégré une partition Recovery pour faciliter le reformatage et la mise à l'état du pc, comme à sa sortie d'usin,

cette partition est appellé, "Recover"

Utilisateur anonyme · Answer

regarde ici :

https://www.medion.com/fr/service/telechargements/manuels.php

trouev la notice de ton pc, puis dans la restauration si existe sur ton pc, on t'indique la manip à faire pour y accèder  ;-)

Utilisateur anonyme · Answer

on attends la suite, quand tu auras restaurer le pc  :D

@ ++

Utilisateur anonyme · Answer

;-)

Firefox, nettoyer ou oublier ?

69 réponses