Desinstaller Favorit Résolu/Fermé

Question

Bonjour, 

Suite à une multiplication de spams je me suis aperçu que mon ordi était infecté par "Favorit".
N'étant pas très doué avec les ordinateurs j'aurai souhaité être assisté pour le désinstaller (car de ce que j'ai lu ça à l'air coton) et savoir quel type de logiciel je dois installer pour l'empêcher de revenir.
Je voudrais aussi savoir quelles conséquences les manipulations de cette désintégration peuvent avoir sur les autres programmes et fichiers présents dans mon ordinateur.

Merci de votre attention

Configuration: Windows Vista / Chrome 25.0.1364.152

cabrier · Answer

Bonjour,

Vieille infection !

Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

ATTENTION : Si ton Antivirus est Avast, désactive la sandbox sinon l'analyse risque d'être faussées.
Voici comment faire ici 

* Télécharge >ZHPDiag< (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* Maintenant clique sur l'icône du "tournevis" et dans la fenêtre d'options qui apparait coche "Tous"
* Clique sur la loupe pour  « lancer le diagnostic » .
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long. 
* Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 
* Transmets moi le lien du fichier.
* Rappel des dépôts : cijoint ou  pjoint 
 
A+

NSGL · Answer

je m'y met de suite et te tiens au jus.

NSGL · Answer

Je n'ai pas trouvé comment t'envoyer le lien du fichier

NSGL · Answer

Je ne sais pas si ça sert à quelque chose désormais, mais voilà le lien :

https://www.cjoint.com/?3CioWWCKHP5

cabrier · Answer

Oui le lien m'est indispensable parce que ton rapport était tronqué (trop long !)

Je vais examiner ce rapport mais dis moi,
as-tu vérifié  si Favorit ne se désinstallait pas par le Panneau de Config ?

A+

cabrier · Answer

NSGL 

Pas mal d'infections dont Navipromo ! 

Tes logiciels ne sont pas à jour et laissent la porte ouverte à des exploits. 

1- Désinstalle par le panneau de configuration tes deux versions de Java (on réinstallera la dernière version plus tard ) 

2 - Utilise cet outil de désinfection spécifique aux logiciels publicitaires :  

* Télécharge sur ton bureau  AdwCleaner ( d'Xplode ) 
* Lance le, clique sur [Recherche] puis patiente le temps du scan. 
* Une fois le scan fini, un rapport s'ouvrira. 
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt 
sauvegarde ce rapport sur ton bureau 
* Héberge-le sur cijoint ou  pjoint  
* Envoie-moi le lien fourni par l'hébergeur dans ta prochaine réponse sur le forum 


A+ 
  
  
----------Contributeur Sécurité----------- 
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

NSGL · Answer

cabrier,

Voila le rapport Adwcleaner :

https://www.cjoint.com/c/CCiqD7t1Lf6

J'ai effectivement tenté de désinstaller Favorit par le panneau de configuration mais en vain.

cabrier · Answer

OK,

Maintenant relance AdwCleaner mais cette fois clique sur [Suppression]

Poste moi le lien du rapport.

A+

cabrier · Answer

NSGL,

Une fois le lien du rapport posté :

* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download Now-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
* Tu as un tuto si tu en as besoin : tuto

* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

* /I\ Sous Vista ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

* Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou  pjoint

*  Envoie-moi le lien fourni dans ta prochaine réponse.


Ensuite :


Refais un ZHPDiag, ça me permettra de vérifier s'il reste encore quelque chose.

Tu as du travail ! 


A+

NSGL · Answer

Cabrier,
voila le rapport

https://www.cjoint.com/?3Cirv7VK5mF

Je vais faire ce que je peux jusqu'à 18h car il faut que j'aille travailler mais je m'y remet dès que possible

cabrier · Answer

OK,

mais avant de lancer MalwareByte j'aurai préféré de faire faire un scan de tes supports externes. 


¶ Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
¶ Branche TOUTES tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
¶ Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
¶ Au menu principal, clique sur "Suppression"
¶ Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
¶ Laisse travailler l'outil jusqu'au bout
¶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse.
 

A+

NSGL · Answer

voilà, le rapport malwaresbytes

https://www.cjoint.com/?3CiuFh6DUEn

Je lance un ZHPDiag

NSGL · Answer

et le rapport ZHPDiag

https://www.cjoint.com/?3Ciu4u6A1WO

Je viens d'ailleurs juste de voir qu'on s'est manqués sur ton dernier post, je n'ai donc pas fait le scan USBFix.

cabrier · Answer

NSGL,

Oui dommage, il te faudra donc le réaliser à ton retour !

Ensuite :

Ce script va cibler certains éléments à supprimer :

Mais ATTENTION il te faut absolument désactiver la sandbox d'Avast.
Voici comment faire ici 


* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C
--------------------------------------------------------------


O42 - Logiciel: Favorit (fuljrige) - (.Pas de propriétaire.) [HKLM] -- fuljrige
[MD5.3042CC7CFE302F5BB08F06B415B59086] [APT] [{D165759D-5AB9-4779-A150-45BD3C3A0FD3}] (...) -- c:\users\Nico\appdata\local\fuljrige.bat
O51 - MPSK:{d33cdbf4-618d-11df-82a5-00238b9189bd}\AutoRun\command. (...) -- I:\wyskq6lt.exe (.not file.)
O61 - LFC: 08/03/2013 - 10:01:39 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage   [3072]
O61 - LFC: 08/03/2013 - 10:01:39 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage-journal   [3608]
O61 - LFC: 08/03/2013 - 10:12:25 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_staticf.dealply.com_0.localstorage   [3072]
O61 - LFC: 08/03/2013 - 10:12:26 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_staticf.dealply.com_0.localstorage-journal   [3608]
O69 - SBI: SearchScopes [HKCU] {9BAC0327-091D-4E59-9C57-9CF879D5E88D} - (Kelkoo) - http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
[MD5.0BF369C8765A03092F0337D80BA519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Nico\AppData\Local\Temp\MyBabylonTB.exe   [862832]
[HKLM\Software\Classes\AppID\{937936af-28ca-4973-b8ae-f250406149a2}]    
[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]    
[HKLM\SoftwareCanneverbe Limited\OpenCandy]
C:\Users\Nico\AppData\Local\Temp\MyBabylonTB.exe
C:\Users\Nico\AppData\Local\Temp\GoogleToolbarInstaller1.log
C:\Users\Nico\AppData\Local\Temp\GoogleToolbarInstaller2.log
[MD5.626A24ED1228580B9518C01930936DF9] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.626A24ED1228580B9518C01930936DF9] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.00000000000000000000000000000000] [APT] [{0C9DDFDF-D8AC-4877-8125-307124F74FC2}] (...) -- F:\.\Autorun.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F801B2DB-94A9-430A-9FA0-CCAB354FAB52}] (...) -- F:\NintendoWFCReg\setup.exe (.not file.)
[MD5.872E9D3DC886561AF1D27C72C4166727] [SPRF][12/06/2012] (...) -- C:\Users\Nico\AppData\Local\Temp\Setup.exe   [818424]
O42 - Logiciel: Bing Bar - (.Microsoft Corporation.) [HKLM] -- {449CE12D-E2C7-4B97-B19E-55D163EA9435}
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}    => Toolbar.Google
[HKCU\Software\YahooPartnerToolbar]    => Toolbar.Yahoo
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (@ieframe.dll,-12512) - https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&FORM=IE8SRC    => Toolbar.Bing
[MD5.4B0F633738A9B0A57362173D1A669F4A] [SPRF][04/10/2009] (.Ask.com - wrapper Application.) -- C:\Users\Nico\AppData\Local\Temp\uttA1AB.tmp.exe   [2311048]
[HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\Software\Classes\ToolBand.EasyHideBtn]
[HKLM\Software\Classes\ToolBand.EasyHideBtn.1]
[HKLM\Software\Classes\ToolBand.Localizer]*
[HKLM\Software\Classes\ToolBand.Localizer.1]
[HKLM\Software\Classes\ToolBand.NameHighlighter]
[HKLM\Software\Classes\ToolBand.NameHighlighter.1]
[HKLM\Software\Classes\ToolBand.NameHighlighterStatistics]
[HKLM\Software\Classes\ToolBand.NameHighlighterStatistics.1]
[HKLM\Software\Classes\ToolBand.SkypeIEHelper]
[HKLM\Software\Classes\ToolBand.SkypeIEHelper.1]
[HKLM\Software\Classes\ToolBand.SNameProxy]
[HKLM\Software\Classes\ToolBand.SNameProxy.1]
O90 - PUC: "D21EC9447C2E79B41BE9551D36AE4953" . (.Bing Bar.) -- C:\Windows\Installer\{449CE12D-E2C7-4B97-B19E-55D163EA9435}\icon_installer_ico
O43 - CFD: 16/11/2012 - 08:15:41 - [0,234] ----D C:\ProgramData\McAfee
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

------------------------------------------------
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\ 
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton «GO » pour lancer le nettoyage 
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou  pjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.




A+

NSGL · Answer

Salut Cabrier,
J'ai lancé USBfix ce matin sur mon autre ordi, le bureau a bien disparu, il ne restait plus que le fond d'écran et la fenêtre USBfix. Le scan étai à 14%. 
Puis : écran noir mais mon ordi ne redémarre pas, ça fait environ 30 min, est-ce normal ?

NSGL · Answer

Pour info, ma machine me fait cela parfois lorsque j'installe des mises à jour, généralement je l'éteint et le rallume manuellement.

NSGL · Answer

Bon, j'ai redémarré mon ordi manuellement, et j'ai le rapport  USBfix (il n'était pas sur le bureau mais dans C:) :
Le voilà :

https://www.cjoint.com/?3CjkNFR76L1

je passe à la suite avec ZHPfix

NSGL · Answer

scan ZHPfix lancé mais il me demande si je veux supprimer "windows installer" et pas explorer.exe : est-ce normal ? que dois-je faire ,

NSGL · Answer

voilà le rapport ZHPfix :
https://www.cjoint.com/?3CjljEi31fs

j'ai accepté la suppression de windows installer : est-ce grave ?

NSGL · Answer

je viens aussi de m'apercevoir que ZHPfix est toujours ouvert et qu'une petite fenêtre m'indique "Traitement en cours".
Je t'avoue que je suis un peu perdu là, je ne sais pas ce qui normal et ce qui ne l'est pas et lorsque je vais sur le net pour communiquer avec toi j'ai toujours des spams. 
tu me disais que j'aurais du travail : je ne suis encore jamais allé jusque là, m'en reste-t-il ?

cabrier · Answer

NSGL,


Désolé j'étais absent pour la journée.

j'ai accepté la suppression de windows installer : est-ce grave ? 
Non, tu as bien fait !

ZHPFix a terminé et son rapport montre qu'il a supprimé ce qu'on lui avait demandé.

As-tu toujours "Favorit" ?

A+

NSGL · Answer

Salut
Non, il a disparu de mon gestionnaire des programme. Parcontre j'ai toujours des 
pubs comme par exemple :
- "Ads not by this site"
- Des liens hypertexte qui apparaissent sur des mots dans des articles d'internet, sur la titraille de mon compte mail ou de mon très jeune blog (obtublog.overblog.com) ... et lorsque je passe la souris dessus sans cliquer une petite fenêtre de pub apparaît et disparaît aussitôt que la souris est passée
- Des fenêtres de pub illisibles, comme endommagées du genre : "Vous avez été selectionné : (texte illisible)"

Mon ordi est un zombie ou quoi ?

cabrier · Answer

Hello,

Quitte tous les programmes en cours !

---> Télécharge sur le bureau RogueKiller (créé par Tigzy)
https://www.luanagames.com/index.fr.html

---> Après le pre-scan, Lancer un Scan par le bouton Scan à droite.

---> Clique sur [Suppression]

---> Puis clique sur [Rapport] une fois le scan terminé, et copie/colle le rapport dans ta réponse.

---> Redémarre ton ordinateur.

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
====================
Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/

NSGL · Answer

Rogue killer bloque sur "chargement du driver", au bout d'un certain temps mon bureau disparaît et je ne peux plus rien faire à part éteindre l'ordi.
J'ai coupé la sand box d'avast
Je l'ai renommé 
réinstallé
la disparition du bureau est-elle normale ??

NSGL · Answer

J'ai lancé RK en mode sans échec et mon ordi a pas trop apprécié mais il fonctionne encore. J'ai pas eule choix que de lancer un scan après le pré scan, j'ai donc deux 2 rapports que je t'envoi : RAPPORT 1 : RogueKiller V8.5.2 [Mar 9 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Nico [Droits d'admin] Mode : Recherche -- Date : 09/03/2013 20:18:00 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250320AS ATA Device +++++ --- User --- [MBR] 800ccd9c05d88cc43473b53c24352268 [BSP] 00f833f78562b2b4e14609e0625bd96b : Toshiba MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 227629 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 466188288 | Size: 10841 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST9250320AS ATA Device +++++ --- User --- [MBR] 6f36a8f486e774843d633f9526435d35 [BSP] 67a518c2d96e4da85bb4222081f7a11b : Windows Vista MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_09032013_201800.txt >> RKreport[1]_S_09032013_201800.txt RAPPORT 2 : RogueKiller V8.5.2 [Mar 9 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Nico [Droits d'admin] Mode : Suppression -- Date : 09/03/2013 20:19:11 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250320AS ATA Device +++++ --- User --- [MBR] 800ccd9c05d88cc43473b53c24352268 [BSP] 00f833f78562b2b4e14609e0625bd96b : Toshiba MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 227629 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 466188288 | Size: 10841 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST9250320AS ATA Device +++++ --- User --- [MBR] 6f36a8f486e774843d633f9526435d35 [BSP] 67a518c2d96e4da85bb4222081f7a11b : Windows Vista MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_09032013_201911.txt >> RKreport[1]_S_09032013_201800.txt ; RKreport[2]_D_09032013_201911.txt Pour info : en mode normal, RK identifiait 4 ou 5 "menaces" alors qu'en mode sans échec il n'en trouvait que 2 j'ai toujours les pubs

cabrier · Answer

Toujours des pubs ?

Alors refais un AdwCleaner en mode Suppression et en Mode sans Echec. 

Poste moi le rapport.

Puis relance un ZHPDiag (après avoir désactivé la sandbox d'Avast).

A+

NSGL · Answer

Voilà le rapport Adwcleaner

https://www.cjoint.com/?3Cjx2VKTPk8

en route pour le ZHPDiag

NSGL · Answer

Et le rapport ZHPDiag

https://www.cjoint.com/?3CkakhkUZAR

je pense que je vais m'arrêter là pour aujourd'hui

A+

cabrier · Answer

NSGL,

Je viens de relire nos échanges.

Ton rapport de USBFix est tronqué. Il en manque un morceau.

Peux tu le retrouver et me le reposter ?

NSGL · Answer

Salut, cabrier,  

J'étais absent hier mais le matin j'ai fais quelques recherches et je suis arrivé à quelques résultats.  

Je n'ai plus de pubs et j'ai fais comme suit :  
icône de personnalisation et de configuration Chrome (en haut à droite de la barre d'adresses) / Outils / Extensions = j'ai décoché "Fastsave 1.1" et plus de pubs.  
Mais la décocher est-ce l'éliminer ?  

J'ai aussi désinstallé deux programmes : Filezilla et le programme de détection winamp

Par ailleurs, comment le rapport USBfix peut-il être tronqué j'ai posté un lien "cijoint" avec l'ensemble du document dedans ?   
Quant aux deux précédents rapports (ADWcleaner et ZHPDiag) que disent-ils ? Je ne suis pas expert mais à les regarder il me semblait qu'ils ne trouvaient plus rien.

cabrier · Answer

NSGL,

Très bien. 

Mais effectivement ton rapport USBFix n'est pas complet !

Je t'avais préparé la prose ci-dessous :

Vider le cache de Chrome
http://www.memoclic.com/1692-google-chrome/14579-vider-cache-google-chrome.html

Installer WOT pour Chrome
https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

Installer AdBlock+ pour Chrome
https://www.commentcamarche.net/telecharger/web-internet/25023-adblock-plus/



Connais tu ce fichier ?
C:\Users\Nico\AppData\Local\eukbyi.bat   
Si non, vire le !


P2P----->danger 


-----------------------------------------------

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

O61 - LFC: 08/03/2013 - 10:12:25 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_staticf.dealply.com_0.localstorage   [3072]
O61 - LFC: 08/03/2013 - 10:12:26 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_staticf.dealply.com_0.localstorage-journal   [3608]
O61 - LFC: 09/03/2013 - 11:32:01 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage   [3072]
O61 - LFC: 09/03/2013 - 11:32:01 ---A- C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage-journal   [3608]
[HKLM\SoftwareCanneverbe Limited\OpenCandy]
O51 - MPSK:{56837a37-a4bc-11df-883c-806e6f6e6963}\AutoRun\command - Clé orpheline    => Orphean Key not necessary
O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\Windows\System32\l3codecp.acm
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (@ieframe.dll,-12512) - https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&FORM=IE8SRC 
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\Software\Classes\ToolBand.Localizer]
OPT:O4 - HKLM\..\Run: [WinampAgent] . (.Nullsoft, Inc. - Winamp Agent.) -- C:\Program Files\Winamp\winampa.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\ 
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton «GO » pour lancer le nettoyage 
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou  pjoint
-------------------------------------------------------------


Relance Malwarebyte et sélectionne l'onglet "Quarantaine". Supprime tout son contenu.


Installer java 
* Télécharge la nouvelle version de Java sur ce lien : 
https://www.java.com/fr/
Attention : Décoche la case qui te propose Mc Afee !

Le programme State est à mettre à jour :
Télécharge le premier programme (Intel_SSD_Toolbox-v3.0.2.exe) sur ton bureau https://downloadcenter.intel.com/download/29981?v=t
Une fois téléchargé, passe à la phase d'installation.
[Clic droit ---> Exécuter en tant qu'administrateur]



 Tiens moi au courant si tu as le courage de faire tout cela !

A+

NSGL · Answer

Cabrier, 
Avant de passer à la phase d'installation, voilà où j'en suis. 

Vider le cache de Chrome  : fait 

Installer WOT pour Chrome  et Installer AdBlock+ pour Chrome  : Impossible = je les reçois mais windows me dit qu'il ne peut pas lire ces fichiers. 

Connais tu ce fichier ?  
C:\Users\Nico\AppData\Local\eukbyi.bat  : Non je ne le connaît pas (j'ai juste lu que les fichiers .bat étaient potentiellement des logiciel malveillants et comme je suis curieux, si tu sais à quoi sert ekbyi.bat et comment il est arrivé sur mon ordi je suis preneur) et je ne l'ai pas trouvé. 

P2P----->danger  : et je sais bien mais les voies de l'internaute sans argent sont impénétrables 

Et voilà le rapport ZHPFix :  

http://cjoint.com/?3Clk0Uch4vX

NSGL · Answer

Cabrier,

- J'ai installé java mais il n'y avait pas de case Mc Afee : est-ce que cela veut dire qu'il ne faisait pas partie du pack d'installatoin ?

- Pour State : je ne l'ai pas encore installé car je souhaite avoir ton aval : il s'agit de la version : v.3.1.2.exe : puis-je lancer l'installation ?

cabrier · Answer

NSGL

Java sans Mc Afee ....... good !

State: Il t'est toujours proposé la dernière version (3.1.2)! 
 
Tu ne trouves pas : C:\Users\Nico\AppData\Local\eukbyi.bat
¶ Télécharge http://general-changelog-team.fr/fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf SEAF] (de C_XX) sur ton Bureau.
¶ Lance SEAF
¶ Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
¶ Tape C:\Users\Nico\AppData\Local\eukbyi.bat dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
¶ Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.


Tu as essayé de relancer USBFix ?


A+



----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

NSGL · Answer

J'ai installé intel SSD toolbox,
Que dois-je faire maintenant ?

cabrier · Answer

NSGL 

Je voudrais trouver ce  foutu fichier : 
C:\Users\Nico\AppData\Local\eukbyi.bat  

Fais ce que je t'ai demandé avec Seaf 
https://forums.commentcamarche.net/forum/affich-27313206-desinstaller-favorit?page=2#38 

A+ 
  
----------Contributeur Sécurité----------- 
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

NSGL · Answer

On s'est encore croisé,

j'ai lancé SEAF
https://www.cjoint.com/?3ClqURu7Kvh

Je vais lancer usbfix mais avant j'aurai aimé avoir quelques infos sur le déroulement du processus car la première fois le bureau a bien disparu même s'il restait la fenêtre d'USBfix bloquée à 14%. Puis le redémarrage a commencé mais n'a pas abouti si bien qu'au bout d'une heure je me suis impatienté et j'ai fait comme je fait d'habitude dans ces cas là : je le relance manuellement.

Ma question est la suivante : combien de temps une telle analyse peut-elle prendre car j'ai besoin de mon ordi pour mon travail
Pour info : 

j'ai branché mes 4 disques externes : 
1) : 698 Go de données sur 1To d'espace dispo
2) : 472 Go de données sur 1To
3) : 353 Go de donnée sur 500 Go
4) : 14 Go de données sur 300 Go

NSGL · Answer

J'ai trouvé le dossier Appdata (qui semblait être caché c'est pour cela que je ne l'ai pas vu) et dedans il y a bien eukbyi, désigné comme un fichier de commande windows

cabrier · Answer

NSGL

Effectivement compte tenu de la capacité de tes disques USBFix  risque d'être très long mais ne devrait pas faire planter ta machine.
Donc à lancer le soir avant d'aller te coucher.

--------------------------------------
Les fichiers .bat sont effectivement des fichiers de commande de windows, tout comme les exe, les com et autres et susceptibles de contenir ou de lancer des malwares.
Et comme ce nom me parait bizarre !

Rends-toi sur cette page
Clique sur "Choose File"
Vas sur ton disque chercher ce fichier à cet emplacement :

C:\Users\Nico\AppData\Local\eukbyi.bat

Clique ensuite sur le bouton "Scan It"

comme_ceci

Patiente le temps de l'analyse qui dépend de la taille du fichier
     
Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):

exemple

Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :

lien

NSGL · Answer

Salut cabrier, 

J'ai lancé il y a 2h USBfix et il travaille toujours (je t'écris d'un autre ordi bien entendu). 
Pour ce qui est de ce satané eukbyi je ne pourrais effectué la manipulation que tu me demande car après l'avoir trouvé, je l'ai supprimé comme tu me l'a demandé 9 posts plus haut : 
Connais tu ce fichier ?  
C:\Users\Nico\AppData\Local\eukbyi.bat  
Si non, vire le !  

J'ai toutefois fait quelques recherches en me basant aussi sur tes demandes et si google n'est pas très clair au sujet de ce vocable informatique, il propose tout de même quelques entrées dont celle-ci : 

https://md5.wintvs.com/eukby 

Elle semble montrer qu'il en existe différentes versions dont la notre (avec un i à la fin.)  J'ai lu l'article ci-dessous sans trop le comprendre, mais une question m'est venue : est-il possible qu'une application ou un compte de site ayant par le passé été attaqué et décidé de réinitialiser les mots de passes de ses utilisateurs ai pu mettre en place cette fonction sur des ordi personnels tels que le mien ?

http://www.eric-couchelou.net/encryptage-securisation-des-donnees-en-php/

En attendant le rapport USBFix, si tu trouve d'autres infos là dessus, je suis preneur car très curieux de voir qu'il intrigue aussi un spécialiste informatique.

NSGL · Answer

Cabrier,  

Je viens d'arrêter la suppression d'USBFix car elle durait depuis plus de 8h et l'ordi restait bloqué sur écran noir tout en étant allumé. 
Je n'arrivais pas à savoir si cette durée était normale et ça me faisait perdre un peu patience. 
je vais les scanner avec avast pour voir s'il n'y a pas d'infections superficielles et te tiens au courant. 
En attendant je t'envoi le rapport USBFix qui est comme le premier : incomplet :

https://www.cjoint.com/?3Cmqy03fDiz

A+

cabrier · Answer

Oui trop de capacité à vérifier !
USBFix à "pété" les plombs.


On va faire un scan en ligne de ta machine.
Va sur ce site : https://www.eset.com/fr/home/products/online-scanner/
et cliques sur : Lancer ESET Online scanner 

Poste moi le rapport résultant. 
 
A+ mais je crois que ce doit être bon maintenant !

NSGL · Answer

Cabrier, 
j'ai lancé ESET à partir de google, j'ai donc du télécharger l'application.
Le scan est terminé et il me dit qu'il n'y a pas de menace mais je ne trouve pas le rapport.
Je laisse la fenêtre ouverte en attendant ta réponse pour savoir ce qui suit

cabrier · Answer

NSGL,

Bon on tourne un peu en rond là !

Comment se porte ton PC ?

Encore des problèmes ?

A+

NSGL · Answer

Plus de problèmes, mon ordi se porte bien :

- Après avoir modifié les extensions Chrome les pubs ont disparue

- le scan ESET n'a pas trouvé de menace mais je ne trouve pas son rapport pour te le poster

- les scans Avast sur mes disques externes n'ont aussi pas trouvé de menace


et maintenant je voudrais savoir si :

- je dois garder ou non les divers logiciels de scan que j'ai installé pour ce nettoyage.

- comment faire pour maintenir mes logiciels à jour car certains se manifestent directement au démarrage mais pas tous.


Désolé pour les contacts éloignés mais j'ai plus de boulot que la semaine passée

cabrier · Answer

NSGL salut,

Les programmes que nous avons utilisés ne doivent pas être conservés. 
Beaucoup d'entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s'ils sont utilisés sans l'aide d'une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d'encombrer inutilement ton bureau.

1. Désinstallation des outils 

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections 
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 

3. Désactiver la restauration système et créer un point de restauration 
- Dans la barre des tâches de Windows, clique sur Démarrer. 
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
- Clique sur Appliquer. 
- Ensuite décoche "Désactiver la restauration du système" 
- Clique sur appliquer puis ok 

Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils système => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides 
 
--------------------------------------------------

Les logiciels à tenir ABSOLUMENT a jour sont les suivants :

1- Windows bien sur,
2- Ton navigateur
3- Java s'il est installé sur ta machine
4- Adobe Reader
5- Adobe Flash Player

Tu peux utiliser Update Checker pour vérifier les mises à jour.
http://www.filehippo.com/fr/updatechecker/

A+

----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

NSGL · Answer

Rapport Delfix

# DelFix v10.1 - Rapport créé le 15/03/2013 à 07:39:34
# Mis à jour le 23/02/2013 par Xplode
# Nom d'utilisateur : Nico - PC-DE-NICO

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\Users\Nico\Desktop\RK_Quarantine
Supprimé : C:\Program Files\SEAF
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix [Clean 1] PC-DE-NICO.txt
Supprimé : C:\UsbFix [Clean 3] PC-DE-NICO.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Nico\Downloads\adwcleaner.exe
Supprimé : C:\Users\Nico\Downloads\esetsmartinstaller_enu.exe
Supprimé : C:\Users\Nico\Downloads\RogueKiller.exe
Supprimé : C:\Users\Nico\Downloads\seaf.exe
Supprimé : C:\Users\Nico\Downloads\UsbFix.exe
Supprimé : C:\Users\Nico\Downloads\ZHPDiag2.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

cabrier · Answer

NSGL,

Donc on clôture ou il reste encore un problème ?

NSGL · Answer

Je pense qu'on peut clôturer.
Merci beaucoup pour l'aide que tu m'a apporté et pour ta patience, je recommanderais vivement le forum et y reviendrais, je pense à l'avenir pour d'autres sujets

Desinstaller Favorit

49 réponses

Discussions similaires