Désinfection et nettoyage d'un ordinateurRésolu/Fermé

Question

Bonjour, 

Je souhaite repartir sur de bonnes bases avec mon PC sans pour autant le formater (trop fastidieux à mon goût). 

J'ai désinstallé pas mal de logiciels dont je ne me servais plus.
J'ai utilisé Ccleaner.
Et Malwarebytes est en train de faire un scan en ce moment même.


Quelqu'un pourrait-il m'aider à faire quelque chose de propre ?

Je vous remercie par avance !

Tibo.

Configuration: Windows XP / Firefox 16.0

Smart91 · Answer

Bonjour,

Une fois le scan MalwareBytes (MBAM) terminé
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Tibo · Answer

Bonsoir Smart91, 

D'abord merci pour la prise en main. 

Voici le rapport : http://cjoint.com/?BKnslh334Ba

Smart91 · Answer

OK. Relance MBAM et vide la quarantaine.
Ensuite on va faire un diagnostic du PC pour voir s'il n'y a pas d'autres infections

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.forums-fec.be/ZHP/ZHPDiag2.exe

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis à droite et coche toutes les cases
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 

Smart

Tibo · Answer

Bonjour Smart !

Alors, tout d'abord, au lancement de ZHPDiag, un avertissement s'affiche indiquant "problème connexion internet" alors que je suis bel et bien connecté (en ethernet). Je préfère le signaler ne sachant pas si c'est important ou non.

Et ensuite pendant le scan "agrément SigCheck accepté"...


Et sinon, bien voila le rapport : http://cjoint.com/?BKomXOW8g8c


Tibo.

Smart91 · Answer

Ton PC est très infecté; cela ne m'étonne pas car tu n'as pas une version officielle de Windows XP ainsi que pour Office 2010.
Ton PC risque d'être continuellement infecté.
Lis ce dossier ci-dessous:
Les dangers des cracks 

On va commencer par supprimer les infections par clé USB

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

Smart

Tibo · Answer

Ah... Naïvement, n'ayant pas réussi à restaurer proprement mon PC à l'époque (avec les versions officielles installées lors de l'achat), j'avais suivi des amis en installant des versions non officielles... 

Que préconises-tu à ce propos ?



Sinon, voici le rapport USBfix : http://cjoint.com/?BKonZbv0tF0

Smart91 · Answer

"Que préconises-tu à ce propos ? "
Un fois que l'on aura désinfecté le PC, fais une sauvegarde de tes données personnelles sur un  disque externe et si tu as les CD de Widows XP. Réinstalle Windows

Je vois dans le rapport USBFix que tu n'as connecté qu'un disque dur externe. Tu n'avais pas de clés USB, même un lecteur MP3.

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Ensuite tu vas faire ceci, pour détecter les programmes indésirables e, adwares et barres d'outils infectieuses et/ou inutiles:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Smart

Smart91 · Answer

"penses-tu que mon vieil ordinateur est capable de supporter windows 8 ? (ce qui permettrait de passer à une version officielle)"
 
Non je ne penses pas. Il faudrait rajouter de la mémoire RAM et je ne suis pas sûr que les pilotes de ton PC soient disponible pour Windows 8. il faudrai voir avec le fabricant du PC

Smart

Tibo · Answer

Après moult tentatives échouées, voici enfin le rapport USBFix : http://cjoint.com/?BKooUdJBZwi

Smart91 · Answer

OK. Passe AdwCleaner et j'attends le rapport
 
Smart

Tibo · Answer

Et hop : http://cjoint.com/?BKopowrRoNZ

Smart91 · Answer

- Relance AdwCleaner
- Clique sur [Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le  contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

Smart

Tibo · Answer

Voici le rapport : http://cjoint.com/?BKopICZNHKB

Smart91 · Answer

OK refais un scan ZHPDiag, n'oublie pas de cocher toutes les options et poste le rapport via pjjoint 
 
Smart

Tibo · Answer

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121114_n14w12w7s5v15

Smart91 · Answer

On va supprimer les restes

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O23 - Service: KMService (KMService) . (...) - C:\WINDOWS\system32\srvany.exe
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)
O64 - Services: CurCS - 18/04/2003 - C:\WINDOWS\system32\srvany.exe - KMService (KMService)  .(...) - LEGACY_KMSERVICE
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb]
SS - | Auto  8192 |  (KMService) . (...) - C:\WINDOWS\system32\srvany.exe
O43 - CFD: 16/10/2012 - 12:22:52 - [0,002] ----D C:\Documents and Settings\Tibo\Local Settings\Application Data\Rogue Amoeba
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\RegTask.job
[MD5.00000000000000000000000000000000] [APT] [RegTask] (...) -- C:\Program Files\RegTask\RegTask.exe (.not file.)
EmptyTemp
EmptyFlash
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC 

Smart

Tibo · Answer

Voici le rapport (en attendant ta réponse, je redémarre le pc, comme demandé) : 

Rapport de ZHPFix 1.3.06 par Nicolas Coolman, Update du 09/11/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-11-2012-16-54-06.txt
Run by Tibo at 14/11/2012 16:53:59
Windows XP Professional Service Pack 3 (Build 2600)



========== Clé(s) du Registre ==========
SUPPRIME Key: Service: KMService
SUPPRIME Key:  StartupReg: cacaoweb
ERREUR Key: Service Legacy: LEGACY_KMSERVICE
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
ABSENT Key: Service: KMService

========== Valeur(s) du Registre ==========
SUPPRIME AAKE KeyValue: C:\Program Files\cacaoweb\cacaoweb.exe
SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\ma-config.com\maconfservice.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Skype\Plugin Manager\skypePM.exe
SUPPRIME FirewallRaz (SP) : D:\Program Files\Java\jre6\bin\javaw.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\League of Legends\Air\LolClient.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\League of Legends\Game\League of Legends.exe
SUPPRIME FirewallRaz (SP) : D:\Program Files\Freeplayer\vlc\vlc.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Spotify\spotify.exe
SUPPRIME FirewallRaz (SP) : C:\Documents and Settings\Tibo\Application Data\Dropbox\bin\Dropbox.exe
SUPPRIME FirewallRaz (SP) : D:\Program Files\Airfoil\Airfoil.exe
SUPPRIME FirewallRaz (SP) : D:\Program Files\Airfoil\AirfoilSpeakers.exe
SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Tibo\Local Settings\Application Data\Rogue Amoeba
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\windows\system32\srvany.exe
ABSENT File: c:\program files\cacaoweb\cacaoweb.exe
ABSENT File: c:\windows\system32\srvany.exe
SUPPRIME File: c:\windows	asksegtask.job
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: RegTask


========== Récapitulatif ==========
5 : Clé(s) du Registre
16 : Valeur(s) du Registre
3 : Dossier(s)
6 : Fichier(s)
1 : Tache planifiée


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/11/2012 16:54:06 [2444]

Smart91 · Answer

OK Refais un scan ZHPDiag poste le rapport via pjjoint et normalement on passe à la phase finale:

 Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
 
Smart

guitoo · Answer

bonjours, 
je suis en train de parcourir le sujet car celui ci me plais particuliérement est ce que tu pourrais faire de méme pour moi smart91? 
actuellement j'ai installer le logiciel ZHPdiag et je suis en train de faire le lancement (en cours)

edit voici le lien du rapport ; https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121114_u5k13l12u7x13
est ce que mon PC est infecter?

Tibo · Answer

Voici le rapport ZHPDiag : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121114_i6l5n10d15f8

Smart91 · Answer

OK.

Tout d'abord il faut que tu fasses de la place sur ton disque C:, il faut au minimum 5 GOde libre 
 

Fais les mises à jour suivantes:

Mise à jour IE8
http://www.microsoft.com/fr-fr/download/details.aspx?id=43
Ou alors par Windows update
Pas sûr que cela fonctionne car ta version de windows n'est pas officielle

Mise à jour Java 7 update 9 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 9

Mise à jour vers Adobe Reader
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1454471165-839522115-1417001333-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:SR - | Auto 30/08/2011 390504 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
CTFDisabled

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
- Dans la barre des tâches de Windows, clique sur Démarrer. 
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
- Clique sur Appliquer. 
- Ensuite décoche "Désactiver la restauration du systeme" 
- Clique sur appliquer puis ok
 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares[ http://www.malekal.com/HOSTS_filtre/HOSTS_Anti-Adware.exe HOSTS Anti-PUPs/Adware]
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peux  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commandel


- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up pibcitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Tibo · Answer

Merde ! J'avais les rapports à t'envoyer, ils étaient coller dans une réponse au sujet, mais un redémarrage de Firefox (pour l'installation de WOT) a effacé la réponse en attente... Je n'ai donc plus les rapports à te fournir...



Sinon, non, je n'ai pas de questions, juste un grand, immense merci pour tout çà !
Promis, je ferai plus attention à l'avenir !

Et dès que je peux je change d'ordinateur aussi ! ^^

Encore merci !

Tibo.

Smart91 · Answer

C'est surement l'antivirus qui bloque. ce n'est pas grave si tu ne peux installer Anti-PUP Adaware.

Sinon Heureux de t'avoir aidé 

Smart

Désinfection et nettoyage d'un ordinateur

23 réponses

Discussions similaires

Newsletters