Pc infecté
Résolu
BOTTIsam1965
Messages postés
2572
Date d'inscription
Statut
Membre
Dernière intervention
-
BOTTIsam1965 Messages postés 2572 Date d'inscription Statut Membre Dernière intervention -
BOTTIsam1965 Messages postés 2572 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Quelqu'un pourrait-il jeter un coup d'oeil sur le rapport joint SVP ?
Je suis sur le portable d'un ami qui avait des fenêtres intempestives. J'ai préalablement passé ADWcleaner, mis les programmes à jour, supprimé son deuxième AV McAfee, passé Malwarebytes et effacé sa quarantaine et pour finir passé un scan minutieux d'avast. (pas de rapports j'ai tout nettoyé)
Il reste néanmoins des traces que je ne sais pas enlever et surtout une fenêtre qui ne cesse de vouloir installer un Tuto4pc.
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130217_n5z12c6n1510
Merci
Quelqu'un pourrait-il jeter un coup d'oeil sur le rapport joint SVP ?
Je suis sur le portable d'un ami qui avait des fenêtres intempestives. J'ai préalablement passé ADWcleaner, mis les programmes à jour, supprimé son deuxième AV McAfee, passé Malwarebytes et effacé sa quarantaine et pour finir passé un scan minutieux d'avast. (pas de rapports j'ai tout nettoyé)
Il reste néanmoins des traces que je ne sais pas enlever et surtout une fenêtre qui ne cesse de vouloir installer un Tuto4pc.
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130217_n5z12c6n1510
Merci
A voir également:
- Pc infecté
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
7 réponses
Salut,
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Re,
Merci pour ton aide Malekal :)
https://pjjoint.malekal.com/files.php?read=20130217_p9q6m7w9i8
https://pjjoint.malekal.com/files.php?read=20130217_z11k15k8h11h11
Merci pour ton aide Malekal :)
https://pjjoint.malekal.com/files.php?read=20130217_p9q6m7w9i8
https://pjjoint.malekal.com/files.php?read=20130217_z11k15k8h11h11
C'est bizarre qu'AdwCleaner n'ait rien supprimé.
Tu peux poster le rapport voir s'il est à jour.
~~
Envoie ces deux fichiers sur http://upload.malekal.com :
C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe
C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe
Si ça marche pas, zip les et envoie sur spamhere-@wanadoo.fr
~~
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
SRV - [2012/11/06 19:00:40 | 003,057,512 | ---- | M] () [Auto | Running] -- C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe -- (supt4pc_fr_17)
E - HKU\S-1-5-21-2126022167-1929567407-3844583703-1002\..\SearchScopes\{64C9C020-181B-D9E8-456A-31B8F6178879}: URL = http://search.babylon.com/?q={searchTerms}&affID=115303&tt=270912_7a_3912_7&babsrc=SP_ss&mntrId=6459e9a6000000000000446d5778cd9f
IE - HKU\S-1-5-21-2126022167-1929567407-3844583703-1002\..\SearchScopes\{8A778A36-7103-4455-9168-03A8130BA123}: URL = https://fr.search.yahoo.com/web?fr=mcafee{SearchTerms} <b>[Pays - ]</b>
IE - HKU\S-1-5-21-2126022167-1929567407-3844583703-1002\..\SearchScopes\{E6449FBF-3D3B-41EC-B1A5-A063EF73B69E}: URL = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=607A351A-0291-47AD-A7BB-59F20A7AF61A&apn_sauid=9A15721A-AB96-4E8E-A42F-7F874EF47070
[2013/01/09 17:07:26 | 000,000,000 | ---D | M] (Special Savings) -- C:\Users\Salomé\AppData\Roaming\mozilla\Extensions\specialsavings@vshsolutions.com
[2013/01/09 17:05:32 | 000,000,000 | ---D | M] (Smiley Bar for Facebook) -- C:\Users\Salomé\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks
[2012/08/20 12:05:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Salomé\AppData\Roaming\mozilla\Firefox\extensions
[2012/08/20 12:06:21 | 000,000,000 | ---D | M] (01NET.com) -- C:\Users\Salomé\AppData\Roaming\mozilla\Firefox\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
O4 - HKLM..\RunOnce: [upt4pcfr4.exe] C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe ()
* redemarre le pc sous windows et poste le rapport ici
Tu peux poster le rapport voir s'il est à jour.
~~
Envoie ces deux fichiers sur http://upload.malekal.com :
C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe
C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe
Si ça marche pas, zip les et envoie sur spamhere-@wanadoo.fr
~~
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
SRV - [2012/11/06 19:00:40 | 003,057,512 | ---- | M] () [Auto | Running] -- C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe -- (supt4pc_fr_17)
E - HKU\S-1-5-21-2126022167-1929567407-3844583703-1002\..\SearchScopes\{64C9C020-181B-D9E8-456A-31B8F6178879}: URL = http://search.babylon.com/?q={searchTerms}&affID=115303&tt=270912_7a_3912_7&babsrc=SP_ss&mntrId=6459e9a6000000000000446d5778cd9f
IE - HKU\S-1-5-21-2126022167-1929567407-3844583703-1002\..\SearchScopes\{8A778A36-7103-4455-9168-03A8130BA123}: URL = https://fr.search.yahoo.com/web?fr=mcafee{SearchTerms} <b>[Pays - ]</b>
IE - HKU\S-1-5-21-2126022167-1929567407-3844583703-1002\..\SearchScopes\{E6449FBF-3D3B-41EC-B1A5-A063EF73B69E}: URL = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=607A351A-0291-47AD-A7BB-59F20A7AF61A&apn_sauid=9A15721A-AB96-4E8E-A42F-7F874EF47070
[2013/01/09 17:07:26 | 000,000,000 | ---D | M] (Special Savings) -- C:\Users\Salomé\AppData\Roaming\mozilla\Extensions\specialsavings@vshsolutions.com
[2013/01/09 17:05:32 | 000,000,000 | ---D | M] (Smiley Bar for Facebook) -- C:\Users\Salomé\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks
[2012/08/20 12:05:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Salomé\AppData\Roaming\mozilla\Firefox\extensions
[2012/08/20 12:06:21 | 000,000,000 | ---D | M] (01NET.com) -- C:\Users\Salomé\AppData\Roaming\mozilla\Firefox\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
O4 - HKLM..\RunOnce: [upt4pcfr4.exe] C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe ()
* redemarre le pc sous windows et poste le rapport ici
C'est bizarre qu'AdwCleaner n'ait rien supprimé.
Tu peux poster le rapport voir s'il est à jour.
Non, désolé, j'avais préalablement passé un coup de Slowin'Killer et Delfix donc pas de rapport.
C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe
C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe
Pas trouvé ces deux fichiers :/ Je ne vois aucun AppData sous C:\Users\Salomé
https://pjjoint.malekal.com/files.php?read=20130217_t12l13g8p14q15
Tu peux poster le rapport voir s'il est à jour.
Non, désolé, j'avais préalablement passé un coup de Slowin'Killer et Delfix donc pas de rapport.
C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe
C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe
Pas trouvé ces deux fichiers :/ Je ne vois aucun AppData sous C:\Users\Salomé
https://pjjoint.malekal.com/files.php?read=20130217_t12l13g8p14q15
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
J'ai réussis à envoyer C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe
Quant à celui là, il ne veut rien entendre et il ne veut même pas se zipper :/
C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe
J'ai réussis à envoyer C:\Users\Salomé\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe
Quant à celui là, il ne veut rien entendre et il ne veut même pas se zipper :/
C:\Users\Salomé\AppData\Local\tuto4pc_fr_17\supt4pc_fr_17.exe
Tant pis laisse :)
Tes popups étaient dûes à PCTuto/Tuto4PC qui installe un adware (un agent publicitaire qui va ouvrir des publicités sur ton PC) permanent en échange d'un tuto de 20/30s en vidéo.
Ces tutos sont en autre proposés :
* sur Softonic : https://www.malekal.com/softonic-bundle-tuto4pc/
* ou en propositions commerciales sur les moteurs de recherches.
Attention à l'avenir quand tu installes un programme, ne pas installer les programmes additionnels.
Protester contre les pratiques PCTuto/Eorezo/Tuto4PC :
Si vous estimez que ces pratiques sont discutables et vous avez été en quelques sortes victimes, vous pouvez protester en envoyant une lettre type à votre député ainsi qu'à la CNIL afin d'obliger les éditeurs d'adwares commerciaux à le stipuler de manière clair sur le site et lors de l'installation des logiciels qu'un agent publicitaire va être installé - pour plus d'informations sur la lettre type, se reporter à la page suivante : https://pjjoint.malekal.com/files.php?id=b22c377c74l9t12l13g116f10b7f815u7c12e6u15r8b7g14v14x8u10n14
Tes popups étaient dûes à PCTuto/Tuto4PC qui installe un adware (un agent publicitaire qui va ouvrir des publicités sur ton PC) permanent en échange d'un tuto de 20/30s en vidéo.
Ces tutos sont en autre proposés :
* sur Softonic : https://www.malekal.com/softonic-bundle-tuto4pc/
* ou en propositions commerciales sur les moteurs de recherches.
Attention à l'avenir quand tu installes un programme, ne pas installer les programmes additionnels.
Protester contre les pratiques PCTuto/Eorezo/Tuto4PC :
Si vous estimez que ces pratiques sont discutables et vous avez été en quelques sortes victimes, vous pouvez protester en envoyant une lettre type à votre député ainsi qu'à la CNIL afin d'obliger les éditeurs d'adwares commerciaux à le stipuler de manière clair sur le site et lors de l'installation des logiciels qu'un agent publicitaire va être installé - pour plus d'informations sur la lettre type, se reporter à la page suivante : https://pjjoint.malekal.com/files.php?id=b22c377c74l9t12l13g116f10b7f815u7c12e6u15r8b7g14v14x8u10n14