Virus pub et ralentissement du pc Fermé

Question

Bonjour, 

Depuis qlq jours j'ai d'étrange pub qui s'ouvre quand je navigue sur internet, du genre "Powered by Deal Finder " etc ...  je pense qu'à cause de ça, mon pc perd en performence.


SVP comment je peux résoudre ce problème ?

Merci d'avance

factor23 · Answer

Bonjour,


Tu peux analyser ton PC à l'aide de ZHPDiag  

Voici la procédure

Si ton antivirus est Avast, désactive le

Télécharge ZHPDiag de Nicolas Coolman sur ZHPDiag   installe le
Si Windows Smartscreen bloque l'installation tu cliques sur Informations complémentaires puis sur Exécuter quand même 

Tu lances ZHPDIag en cliquant sur l'icône qui figure sur le bureau

Une fenêtre te signale une élévation de privilèges tu acceptes.
Si un message te signale l'existence d'une mise à jour tu acceptes et tu effectues les 4 points qui suivent.
   - Tu acceptes le téléchargement.
   - Le téléchargement terminé, il t'est proposé d'installer la nouvelle version, tu acceptes.
   - Tu fais l'installation et à la fin la fenêtre ZHPDiag se referme.
   - Tu relances ZHPDiag et acceptes l'élévation de privilèges. 

Clique sur l'icône représentant un tournevis  situé parmi les icônes de droite et clique sur la case tous.
Clique sur l'icône loupe situé juste à droite du tournevis pour lancer l'analyse.
A la fin de l'analyse un fichier  ZHPDiag.txt est placé sur ton bureau, héberge le sur ci-joint  puis copie/colle le lien fourni dans ta prochaine réponse.

Bon courage et @+

JJ

factor23 · Answer

Bonjour,

tu as pas mal d'infections en particulier des programmes publicitaires et potentiellement indésirables (PUP)

tu peux désinstaller ( par le panneau de configurations les applications suivantes qui sont néfastes )

Batman Arkham City version 1.0 )
BrowserDefender 
Bundled software uninstaller -
IB Updater Service 
Internet Explorer Toolbar 4.6 by SweetPacks
Lyrics-Pal
Services x86 
Update Manager for SweetPacks 1.1
Web Assistant 2.0.0.572 


Puis faire un passage de MalwareBytes Anti Malwares ( MBAM) que tu as déjà d'installer


Lance lMBAM et fait la mise à jour du logiciel 
Lance une analyse complète en cliquant sur "Exécuter un examen complet"
Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
L'analyse peut durer un bon moment.....
Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

Refais derrière la même analyse que précédemment avec ZHPDIAG

@+

factor23 · Answer

Bonjour,

Tu peux faire une analyse avec ADWcleaner de Xplode pour détecter les PUPs et adwares présent sur ton PC

Voici la procédure :

Télécharge [url=https://toolslib.net]AdwCleaner[/url] ( d'Xplode ) sur ton bureau.
Lance le (si tu es sous Windows Vista  Windows 7 ou Wndows 8, fais le par un clic-droit --> Exécuter en temps qu'administrateur)

Si ton antivirus est Avira
[list][*]Clique sur le point d'interrogation en haut à gauche et clique sur "options"
[*]Coche la case DisableAskDetection et clique sur OK[/list]
Clique sur [Recherche] puis patiente le temps de l'examen.
Une fois l'examen fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

@+

factor23 · Answer

Bonsoir,

Tu vas pouvoir relancer ADWcleaner en mode suppression pour éliminer les programmes malsains détectés
 

Télécharge [url=http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner]AdwCleaner[/url] ( d'Xplode ) sur ton bureau.
Lance le (si tu es sous Windows Vista  Windows 7 ou Wndows 8, fais le par un clic-droit --> Exécuter en temps qu'administrateur)

Si ton antivirus est Avira
[list][*]Clique sur le point d'interrogation en haut à gauche et clique sur "options"
[*]Coche la case DisableAskDetection et clique sur OK/list
Clique sur [Suppression] puis patiente le temps du traitement
Une fois celui fini une fenêtre de conseil s'affiche après lecture clique sur OK
Une nouvelle fenêtre apparait demandant le redémarrage du PC  tu cliques sur OK pour redémarrer
Après le redémarrage  un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

@+

JJ

factor23 · Answer

Bonjour,

Tu peux refaire un rapport ZHPdiag SVP

@+

JJ

factor23 · Answer

Bonjour,

Tu peux me refaire un passage ADWCLEANER en mode  suppression

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le ( Sous Vista/7/8 bouton droit et Excécuter en tant qu'administrateur )
Lance le, 
Si tu utilises le Webguard de Avira
    Clique sur le point d'interrogation, puis sur options
    Coche la case ASK
    Clique sur OK

Clique sur [Suppression] puis patiente le temps du traitement
Une fois celui fini une fenêtre de conseil s'affiche après lecture clique sur OK
Une nouvelle fenêtre apparait demandant le redémarrage du PC  tu cliques sur OK pour redémarrer
Après le redémarrage  un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S2].txt

@+

JJ

 
Helper Diplômé HF

factor23 · Answer

Bonjour,

Tu vas passer ZHPFIX de Nicolas Coolman pour éliminer quelques restes d'infection.

Voici la procédure

Tu copies les lignes suivantes dans le presse papier ( sélection puis control-c ):


R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww25.allssearch.com/ 
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\OptimizerPro1UpdaterTask{60BF38FA-C196-482F-9008-BFEF3454E5C3}.job   [390] 
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [EPUpdater] (...) -- C:\Users\Bill Gates\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [OptimizerPro1UpdaterTask{60BF38FA-C196-482F-9008-BFEF3454E5C3}] (...) -- C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (.not file.)   [0]
[HKLM\Software\WNLT]
[HKLM\Software\Wow6432Node\SweetIM]
O43 - CFD: 24/08/2012 - 17:45:29 - [0,115] ----D C:\ProgramData\OptimizerPro1
O45 - LFCP:[MD5.14D14DE366E65B10122F1B5740D7FB95] - 16/07/2013 - 23:11:02 ---A- - C:\Windows\Prefetch\BROWSERDEFENDER.EXE-E8C448EB.pf
O45 - LFCP:[MD5.BC63BCADFBE709C542455A77B56CF8BA] - 18/07/2013 - 08:54:25 ---A- - C:\Windows\Prefetch\LYRICS.EXE-4954B66E.pf 
O45 - LFCP:[MD5.6A403011E26204B29FC858A1DAA7E826] - 18/07/2013 - 22:59:59 ---A- - C:\Windows\Prefetch\BABMAINT.EXE-402710E6.pf 
O64 - Services: CurCS - ??\??\???? - Pas de propriétaire (esgiguard)  .(...) - LEGACY_ESGIGUARD 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C] 
[HKCU\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM] 
[HKLM\Software\WNLT] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD] 
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211701196}]
O43 - CFD: 21/08/2012 - 16:41:19 - [0,058] ----D C:\ProgramData\InstallMate    => Toolbar.Tarma
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
SysRestore
EmptyTemp
EmptyFlash


Tu lances ZHPFIX à partir de l'icône qui figure sur le bureau
Les lignes se collent automatiquement dans ZHPFix
Tu cliques sur « Go» , le traitement commence
A la fin de l'opération un rapport est affiché,tu le postes dans ta prochaine réponse, le rapport est situé sur ton bureau


Après tu refais un passage de MalwaressBytes Anti Malware
( même procédure qu'au dessus ) et tu envoie le rapport résultat

Tu fait un rapport ZHPDIAG après .

@+

JJ

factor23 · Answer

Bonjour,

Bon il y a des restes on va poursuivre avec un analyse à l'aide de RogueKiller 

Voici les instructions

Télécharge sur le bureau RogueKiller
    Quitte tous tes programmes en cours
    Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    Sinon lance simplement RogueKiller.exe
    Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
    Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

    * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

@+

JJ

factor23 · Answer

Bonsoir, 

Tu vas repasser Roguekiller en mode suppression

Voici la procédure
 
Télécharge sur le bureau RogueKiller
    Quitte tous tes programmes en cours
    Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    Sinon lance simplement RogueKiller.exe
    Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
  Verifie que tous les éléments sont cochés puis clique sur "Suppression"
    Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

    * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

@+

factor23 · Answer

Bonjour,

Tu peux repasser ZHPDIAG 
 

Si ton antivirus est Avast, désactive le

Télécharge  ZHPDiag  et installe le
Si Windows Smartscreen bloque l'installation tu cliques sur Informations complémentaires puis sur Exécuter quand même 

Tu lances ZHPDIag en cliquant sur l'icône  qui figure sur le bureau (pour Vista/7/8 : clic droit et "exécuter en tant qu'administrateur")

Si un message te signale l'existence d'une mise à jour tu acceptes et tu effectues les 4 points qui suivent. 
- Tu  acceptes le téchargement.
- Au bout d'un moment le téléchargement terminé, il t'est proposé d'installer la nouvelle version, tu acceptes.
- Tu fais l'installation et à la fin la fenêtre ZHPDiag se referme.
- Tu relances ZHPDiag (pour Vista/7/8 : clic droit et "exécuter en tant qu'administrateur") .

Clique sur l'icône CONFIGURER pour préciser le type d'analyse.
Clique sur l'icône loupe le plus à droite 
Repond Ok a la question Voulez-vous un rapport full options ?
L'analyse démarre.
A la fin de l'analyse le rapport  ZHPDiag.txt  se trouve sur le bureau, héberge le sur https://www.cjoint.com/cjoint.com], puis copie/colle le lien fourni dans ta prochaine réponse.

Bon courage et @+

factor23 · Answer

Bonjour,

Tu peux refaire une analyse avec roguekiller et me joindre le rapport

@+

JJ

factor23 · Answer

Bonjour,

Tu peux me refaire un ZHPDiag

Normalement un dossier temp contient des temporaires, par contre il est à une place bizarre.
On va voir si le diag nous dit quelque chose

@+

JJ

factor23 · Answer

Bonjour,

on va repasser Adwcleaner en mode suppression ( tu connais la procédure maintenant)
puis tu refais un zhpdiag et tu m'envoie les 2 rapports

@+

factor23 · Answer

Bon

Tu es à nouveau réinfecté.

Tu repasses ADWcleaner en mode suppression.
Tu m'envoie le rapport.
Et tu refais un ZHPDiag et tu m'envoies le rapport

@+

JJ

factor23 · Answer

Bonsoir,

IL reste des cochonneries ...

On va passer Junkware Removal tool

Télécharge Junkware Removal Tool  (ne clique pas sur télécharger, le téléchargement va débuter automatiquement).
Enregistre-le sur ton bureau.
Ferme toutes les applications en cours.
Ouvre JRT.exe : (Si tu es sous Windows Vista / 7 ou 8, fais clic droit => Exécuter en tant qu'administrateur)
Une fois le logiciel ouvert, appuie sur la touche Entrée.
Patientez le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.
À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le sur ici et poste le lien obtenu dans ta prochaine réponse

et tu me refais un ZHPdiag à la suite

@+

JJ

factor23 · Answer

Bonjour,

As tu sur ton PC une version crackée de MS office  ce qui pourrait expliquer la présecence de AutoKMS.exe ? Si c'est le cas souhaites tu le conserver .

@+

factor23 · Answer

Bonsoir,

Oui, j'aimerais bien le conserver parce que j'utilise MS Office très souvent. AutoKMS.exe pose-t-il un problème particulier pour le PC ?

C'est toi qui décide c'est ton PC, il est parfois classé comme cheval de Troie.

On peut faire une analyse du fichier sur le site de Virustotal

Voici la procédure 

Vas  sur le site Virustotal
Sélectionne le fichier 
Le résultat donne sur une analyse par plusieurs moteurs

et tu me donnes le résultat

Pour éliminer le reste on le fera par script.

@+

Jean-Jacques
 
 
Helper Diplômé HF

factor23 · Answer

Bonjour,

Compte tenu du faible taux de détection on peut laisser AutoKMS.

Nous allons passer maintennt un script ZHPFIX 

Tu copies les lignes suivantes dans le presse papier ( selection puis control-c ):

R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww25.allssearch.com/O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\PutLockerDownloader V6.0-chromeinstaller.job   [2020]O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\PutLockerDownloader V6.0-updater.job   [1384][MD5.00000000000000000000000000000000] [APT] [PutLockerDownloader V6.0-chromeinstaller] (...) -- C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-chromeinstaller.exe (.not file.)   [0][MD5.00000000000000000000000000000000] [APT] [PutLockerDownloader V6.0-updater] (...) -- C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-updater.exe (.not file.)   [0]O42 - Logiciel: SecretSauce - (.SecretSauce.) [HKLM][64Bits] -- SecretSauce[HKCU\Software\SecretSauce][HKLM\Software\Wow6432Node\SecretSauce]O64 - Services: CurCS - 11/12/2013 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD[MD5.A672E4C77ED7CCC851575B10B46CC8AD] [WIS][12/05/2012] (.IMinent - IMinent Toolbar.) -- C:\Windows\Installer\768306.msi   [1019392][HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD][HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375][HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]C:\Windows\Tasks\PutLockerDownloader V6.0-chromeinstaller.jobC:\Windows\Tasks\PutLockerDownloader V6.0-updater.jobC:\Windows\Installer\768306.msi

Tu lances ZHPFIX à partir de l'icône qui figure sur le bureau
Les lignes se collent automatiquement dans ZHPFix
Tu cliques sur « Go» , le traitement commence
A la fin de l'opération un rapport est affiché,tu le postes dans ta prochaine réponse, le rapport est situé sur ton bureau

Tu fait un rapport ZHPDIAG après exécution du script

@+

JJ

factor23 · Answer

Bonjour,

C'est de ma faute, j'ai oublié de mettre à jour la procédure, maintenant il faut commencer le script avec cette ligne : Script ZHPFIX

le script à coller est donc :

Script ZHPFIXR0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww25.allssearch.com/O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\PutLockerDownloader V6.0-chromeinstaller.job   [2020]O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\PutLockerDownloader V6.0-updater.job   [1384][MD5.00000000000000000000000000000000] [APT] [PutLockerDownloader V6.0-chromeinstaller] (...) -- C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-chromeinstaller.exe (.not file.)   [0][MD5.00000000000000000000000000000000] [APT] [PutLockerDownloader V6.0-updater] (...) -- C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-updater.exe (.not file.)   [0]O42 - Logiciel: SecretSauce - (.SecretSauce.) [HKLM][64Bits] -- SecretSauce[HKCU\Software\SecretSauce][HKLM\Software\Wow6432Node\SecretSauce]O64 - Services: CurCS - 11/12/2013 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD[MD5.A672E4C77ED7CCC851575B10B46CC8AD] [WIS][12/05/2012] (.IMinent - IMinent Toolbar.) -- C:\Windows\Installer\768306.msi   [1019392][HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD][HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375][HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]C:\Windows\Tasks\PutLockerDownloader V6.0-chromeinstaller.jobC:\Windows\Tasks\PutLockerDownloader V6.0-updater.jobC:\Windows\Installer\768306.msi

@+

JJ

factor23 · Answer

Bonsoir,

Il faudrait que tu désinstalles SecretSauce

et puis tu refais un passage de Roguekiller

Télécharge sur le site http://www.geekstogo.com/forum/files/file/413-roguekiller/ la version correpondante à ton OS et sauve la sur le bureau
    Quitte tous tes programmes en cours
    Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    Sinon lance simplement RogueKiller.exe>
    Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
    Un rapport (RKreport.txt)a du se créer sur le bureau, poste-le.

    * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

@+

JJ

factor23 · Answer

Bonjour,

Secret Sauce n'a pas été désinstallé ???

Il faudrait le faire ...

On va analyser avec Farbar Recovery Scan Tool


    - Télécharge sur son ton bureau Farbar Recovery Scan Tool (FRST) depuis ce lien : https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    - Choisis la version 32 ou 64 bits en fonction de ton PC.
    - Lance FRST et accepte le disclaimer en répondant [YES].
    - Coche toutes les options et clique sur le bouton [Scan].
    - Une fois le scan terminé, une fenêtre le signale et deux rapports sont générés : FRST.txt et Addition.txt
    - Ces deux rapports se trouvent sur le bureau avec le programme FRST.
    - Héberge-les comme ceci, et poste les liens des deux rapports.

    Note:
    Les rapports sont également créés dans ce dossier C:/FRST à la racine du disque C:/.


@+

JJ

factor23 · Answer

Bonjour,


On va faire un passage de ZHPFix

Tu copies les lignes suivantes dans le presse papier ( selection puis control-c ):

Script ZHPFixO42 - Logiciel: SecretSauce - (.SecretSauce.) [HKLM][64Bits] -- SecretSauce    O64 - Services: CurCS - 15/01/2014 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://allssearch.com EmptyCLSIDEmptyFlashEmptyTempEmptyprefetchShortcutFixSysRestore


Tu lances ZHPFIX à partir de l'icône qui figure sur le bureau ( sous Vista Windows 7 Windows 8 clic droit et lancer en tant qu'administrateur )
Tu autorises le programme si cela est demandé
[u cliques sur le bouton [b]IMPORTER[/b]
Les lignes se collent automatiquement dans ZHPFix, si ce n'est pas le cas tu colles les lignes
Tu cliques sur le bouton [b]GO[/b] en bas de la fenêtre à gauche , et tu confirmes le nettoyage
Tu acceptes ou tu refuses le nettoyage de la corbeille
A la fin de l'opération un rapport est affiché,tu le postes dans ta prochaine réponse, le rapport est situé sur ton bureau


Puis un rapport ZHPDiag

@+

JJ
 
Helper Diplômé HF

factor23 · Answer

Bonjour,

Il y a toujours des infections qui reviennent

On va faire une recherche dans le registre avec ZHPScan qui est inclus dans ZHPDiag

Tu lances ZHPDIag en cliquant sur l'icône  qui figure sur le bureau (pour Vista/7/8 : clic droit et "exécuter en tant qu'administrateur")

Si un message te signale l'existence d'une mise à jour tu acceptes et tu effectues les 4 points qui suivent. 
- Tu  acceptes le téléchargement.
- Au bout d'un moment le téléchargement terminé, il t'est proposé d'installer la nouvelle version, tu acceptes.
- Tu fais l'installation et à la fin la fenêtre ZHPDiag se referme.
- Tu relances ZHPDiag (pour Vista/7/8 : clic droit et "exécuter en tant qu'administrateur") .

Clique sur l'icône CONFIGURER
Clique sur le premier petit icône à gauche representant des jumelles.
Sur la fenêtre qui s'affiche clique sur bouton CONFiGURER
Décoche à droite Explorateur
Coche au milieu tous les éléments de la base de registre
Dans la zone Saisir un critére de recherche tape : allssearch.com 
et clique sur le bouton RECHERCHER
Copie le contenu de  fenêtre résultat et colle le dans ta prochaine réponse

@+